Con la transizione dalle fonti fossili (petrolio e gas) alle fonti rinnovabili, è lecito chiedersi quanto possa essere sicura questa fornitura di energia. Quanto sono sicuri dal punto di vista informatico gli impianti fotovoltaici collegati a case, aziende e infrastrutture di rete? E chi altro può accedervi?
Fattori di crescita delle fonti energetiche alternative
L’ascesa vertiginosa dell’energia solare in questi ultimi anni sottolinea come quest’ultima sia diventata una componente essenziale nel mix energetico rinnovabile – in grado di far risparmiare tutti sulle bollette elettriche, dal privato cittadino all’azienda, consentendo al contempo agli operatori di rete di gestire un flusso energetico distribuito a supporto della rete. A fine 2022, sono stati installati più di 1,300TWh di energia fotovoltaica a livello planetario, per una percentuale inferiore al 5% della produzione globale di elettricità. Una serie di fattori ha poi ulteriormente accelerato la diffusione dell’energia solare, il cui ritmo di installazione è più che raddoppiato ogni anno, rendendola di fatto la tecnologia di produzione di energia in più rapida crescita.
La richiesta di energia da parte della rete non è mai stata così alta e, probabilmente, aumenterà con la transizione dai combustibili fossili all’elettrificazione o ad altre applicazioni che richiedono energia, come la digitalizzazione, i data center e la crescita dell’intelligenza artificiale, o ancora la diffusione di massa di veicoli elettrici e le pompe di calore. I governi di tutto il mondo stanno incrementando ulteriormente le loro iniziative di sostenibilità per raggiungere gli obiettivi “net zero”. Nel frattempo, l’invasione dell’Ucraina ha contribuito ad un risveglio collettivo relativamente alla fragilità della sicurezza energetica, soprattutto quando si dipende da forniture fossili fuori dei confini nazionali. Questi sono tutti fattori che hanno contributo alla crescita esponenziale delle fonti di energia alternativa, come il solare, in prima linea nelle future strategie di sicurezza energetica.
Indice degli argomenti
Nuovi rischi per la sicurezza informatica
Lo sviluppo di minacce alla sicurezza informatica nel settore solare rispecchia fedelmente quanto abbiamo visto con l’avvento di Internet tre decenni fa. Se nel 1995 ci fossimo soffermati a progettare i protocolli di base di Internet in modo che fossero sicuri dal punto di vista informatico, l’industria avrebbe risparmiato centinaia di miliardi di dollari in interventi retroattivi.
Con il senno di poi, anche l’industria dell’energia solare dovrebbe progettare i propri prodotti tenendo conto della sicurezza informatica come standard, prima che la loro diffusione di massa inibisca la prevenzione di un evento informatico catastrofico o costi esorbitanti per implementare misure di sicurezza informatica a danno avvenuto.
Purtroppo, oggi ci sono pochi obblighi o autorità per imporre ai produttori di tecnologia solare l’adozione di queste misure.
La complessità degli attacchi informatici è aumentata enormemente negli ultimi anni, così come sono cresciuti gli attacchi basati sull’intelligenza artificiale, le botnet e gli attacchi 0-day, nonché le aggressioni sponsorizzate da altri Stati come strumento di offensiva geopolitica, poiché le reti energetiche e le infrastrutture di rete sono un obiettivo potenzialmente paralizzante.
Eventi recenti, come l’attacco informatico a un’importante società di comunicazioni satellitari durante il conflitto in Ucraina, hanno portato alla disconnessione di 11GW di turbine eoliche tedesche. Attacchi simili hanno preso di mira altre fonti di energia rinnovabile e le sottostazioni di rete, come dimostrano gli incidenti in Ucraina, dove sono state attaccate diverse sottostazioni, causando diffuse interruzioni di corrente a Kiev
Più di recente, un “hacker etico” olandese, noto come Jelle Ursem, ha avuto accesso a 40.000 abitazioni nei Paesi Bassi attraverso i loro sistemi fotovoltaici a tetto, grazie al sistema di monitoraggio remoto sviluppato da un produttore cinese, che gli ha permesso di visualizzare i dati personali dei proprietari di casa, creare nuovi clienti e cancellare gli utenti esistenti. È stato inoltre in grado di accedere alla quantità di elettricità generata dai pannelli solari dei clienti tramite le coordinate GPS e di scaricare, regolare e caricare il firmware degli inverter.
Minacce alla sicurezza informatica nel solare
L’inverter fotovoltaico è il componente fondamentale di un impianto, che converte l’energia prodotta dai moduli in elettricità utilizzabile dalla rete.
È anche il dispositivo che si collega sia alla rete elettrica di un’abitazione o di un’azienda, che alla rete elettrica nazionale.
Poiché per sostenere la stabilizzazione della rete elettrica molti Paesi si stanno spostando verso una generazione elettrica distribuita, se la sicurezza informatica non viene presa sul serio, si potrebbe dare accesso ad a un potenziale atto di pirateria ai danni dell’inverter, che potrebbe portare sia al controllo remoto della fornitura di energia che alla sua esposizione.
Che si tratti quindi di un proprietario di casa, di un’azienda o di un gestore di rete, è sempre buona prassi considerare chi ha accesso a questi inverter e verificare la sicurezza informatica della tecnologia dei produttori.
Negli ultimi anni abbiamo visto in prima persona l’impatto devastante dei guasti alla rete elettrica dovuti a eventi meteorologici estremi, come la gelata in Texas nel 2021 e l’ondata di caldo in California nel 2022, con interruzioni di corrente diffuse e prolungate che hanno colpito milioni di case e aziende destabilizzando la vita quotidiana delle persone.
Quando la rete va in tilt, il ripristino può richiedere anche più giorni. Se si tratta di un attacco informatico, poi, i tempi possono essere ancora più lunghi poiché gli operatori di rete devono innanzitutto identificare la causa e l’origine del problema, prima di liberare il sistema dalle intrusioni.
Solo a questo punto è possibile avviare un processo di black start per ripristinare gradualmente la rete e rimettere accuratamente in funzione gli asset per mantenere il bilanciamento tra domanda e offerta.
Se si descrivono le conseguenze di un attacco informatico alla rete in questi termini, il cinque per cento della produzione globale di energia da parte del fotovoltaico diventa improvvisamente più significativo, evidenziando la necessità di dare assoluta priorità alla sicurezza informatica.
Come rendere l’energia solare più cyber sicura
Per difendersi dagli odierni attacchi informatici altamente sofisticati e automatizzati è necessaria innanzitutto una maggiore consapevolezza da parte di proprietari di case, aziende, operatori di rete e governi del fatto che la sicurezza informatica dei componenti di impianti solari varia notevolmente da un produttore all’altro.
Comprendendo il rischio che ciò comporta per la sicurezza energetica, è necessario cambiare mentalità in tutta la catena valore dell’energia, adottando un approccio del tipo “prevenire è meglio che curare”, non diverso dalle solide misure di sicurezza informatica integrate di serie nei telefoni o nelle automobili.
A cominciare dai produttori stessi, che attualmente determinano i livelli di sicurezza dei loro prodotti in modo autonomo, senza alcuna regolamentazione, con conseguente disparità di standard.
Ciò equivarrebbe a consentire ai produttori di automobili di decidere in maniera indipendente i propri standard di sicurezza.
Le capacità tecnologiche per migliorare la sicurezza informatica durante lo sviluppo dei prodotti esistono, quindi è imperativo che i produttori diano priorità agli investimenti in queste tecnologie rispetto alla riduzione dei costi e all’aumento dei margini. La sicurezza informatica non dovrebbe essere negoziabile, proprio come la sicurezza antincendio o la sicurezza elettrica.
La regolamentazione da parte dei Governi è essenziale per far rispettare questo aspetto, stabilendo rigorosi standard di qualità per la sicurezza informatica ed obbligando il settore a seguirli.
Si potrebbe iniziare con l’imposizione di standard di cyber sicurezza di base per tutti i dispositivi connessi, comprese le risorse energetiche distribuite (DER), ma anche richiedendo ai produttori dell’industria solare di partecipare all’implementazione di misure di sicurezza fisiche, di software e di capacità di monitoraggio della cyber security, oltre a piani di mitigazione in caso di potenziali attacchi informatici.
La recente introduzione dello standard di cyber security PSTI da parte del Regno Unito ha creato un precedente a livello globale, richiedendo la conformità a tutti i produttori di dispositivi di consumo connessi – compresi gli inverter solari – relativamente alla sicurezza delle password, all’assistenza e alla documentazione tecnica.
In Europa, si prevede che il Cyber Resilience Act della Commissione Europea, che dovrebbe essere finalizzato entro la fine dell’anno, imponga un elenco più lungo di requisiti di cyber security a partire dal 2027.
La bozza di legge riguarda migliaia di prodotti IoT, tra cui gli inverter solari. Sebbene si tratti di un buon punto di partenza, il miglioramento della sicurezza informatica nel solare richiede una categoria legislativa a sé stante e un’attenzione prioritaria, soprattutto in una regione in cui il solare è considerato una delle fonti energetiche chiave per ridurre la dipendenza dal petrolio e dal gas esteri.
Alcune tendenze positive sono riscontrabili negli Stati Uniti, dove le associazioni di settore e i laboratori di certificazione prodotti hanno fatto i primi passi per avviare standard di certificazione.
Per concludere
Che si tratti di energia solare, eolica o di altre fonti rinnovabili, è evidente che l’abbondanza di energia pulita è fondamentale per migliorare le nostre vite e la salute del nostro pianeta.
Tuttavia, con l’aumento della diffusione di fonti energetiche alternative alle fossili, è indispensabile migliorare la sicurezza che sottende alla tecnologia, salvaguardare l’energia e l’infrastruttura di rete da potenziali minacce, prima che sia troppo tardi.
Anche se la probabilità che accada è rara, è imperativo mitigare le possibili conseguenze negative nel caso in cui si verifichi un simile evento. Sebbene i governi si stiano rendendo conto di questo, la sicurezza informatica nelle energie rinnovabili non funzionerà senza una collaborazione internazionale, in particolare in Europa, dove il commercio di elettricità tra Paesi è prevalente.
La legislazione deve essere accompagnata da pressioni dal basso verso l’alto, richiedendo sia ai proprietari di casa che alle aziende che investono nel solare di pretendere elevati standard di cyber sicurezza come prerequisito.
Si torna sempre alla saggezza senza tempo: investire nella prevenzione è meglio che investire nella cura.
