Cybersecurity del fotovoltaico: come garantire la sicurezza degli impianti connessi

L’eventualità che gli impianti fotovoltaici possano essere bersaglio di cyber minacce è reale. L’Europa si è mossa con norme dedicate, ma occorre prestare attenzione ad alcuni aspetti per contare su una maggiore sicurezza IT. Ecco qualche consiglio utile

A cura di:

Cybersecurity del fotovoltaico: come garantire la sicurezza degli impianti connessi

Assicurare un’adeguata cybersecurity del fotovoltaico è una priorità da considerare bene, specie pensando allo sviluppo degli impianti solari.

Nel 2023, Solar Power Europe ha rilevato che, con oltre 600 GW di capacità fotovoltaica installata totale entro il 2030, la rete elettrica europea deve prepararsi ad accogliere la crescita esponenziale dell’energia solare. La stessa associazione, quest’estate ha sottolineato che la digitalizzazione del settore energetico è una conseguenza naturale dell’evoluzione tecnologica. Inoltre, sarà anche fonte di risparmi, dato che aumenterà l’efficienza delle centrali elettriche e consentirà una migliore gestione dell’energia distribuita per soddisfare la domanda e la capacità della rete. Tuttavia, come le rivoluzioni tecnologiche precedenti, porta con sé anche nuove sfide, anche in termini di cyber sicurezza.

L’insicurezza informatica è un problema che va affrontato: già oggi è sensibile nel settore energetico. Secondo un recente report di Clusit (Associazione italiana per la sicurezza informatica) focalizzato su Energy & Utilities, il numero di attacchi che hanno colpito il settore energetico e delle società di servizi andati a buon fine è raddoppiato tra il 2018 ed il 2022. Mentre si è assistito a una flessione lo scorso anno, rispetto al 2022, «il 2024 vede, solo nel primo trimestre, più della metà del numero di incidenti verificatisi nell’intero anno precedente».

Porre attenzione alla cybersecurity del fotovoltaico

Quest’estate la piattaforma di giornalismo investigativo Follow the Money ha riportato il caso di un hacker etico che sarebbe riuscito a prendere il controllo (potenziale) di milioni di impianti fotovoltaici in ben 150 Paesi diversi.

Porre attenzione alla cybersecurity del fotovoltaico

A questo esperimento vanno aggiunte le preoccupazioni sollevate dall’Ispettorato nazionale delle infrastrutture digitali (RDI) dei Paesi Bassi riguardo agli inverter per pannelli solari sul mercato. Dalla ricerca condotta dall’RDI su nove inverter sul mercato si evidenziava che nessuno di loro soddisfacesse i requisiti attesi. «Di conseguenza, possono causare interferenze con altri dispositivi wireless o essere hackerati», riporta lo stesso ente olandese, che consigliava l’acquisto di inverter con marcatura CE.

Il tema della sicurezza informatica è al centro dell’attenzione degli Stati membri dell’Unione Europea. Gli stessi, sostenuti dalla Commissione europea e dall’ENISA – Agenzia UE per la sicurezza informatica, hanno pubblicato a luglio il primo report sulla cybersecurity e la resilienza dei settori delle telecomunicazioni e dell’elettricità in Europa. Il documento evidenzia preoccupazioni circa una serie di rischi tra cui la dipendenza da componenti critici provenienti da Paesi terzi e le vulnerabilità legate alla catena di fornitura, che rappresentano un rischio particolare per entrambi i settori. «Inoltre, la crescente importanza delle fonti di energia rinnovabile, come l’energia eolica e solare, introduce molte nuove – e spesso meno sicure – tecnologie digitali nelle reti energetiche critiche per la società», scrive ENISA.

Pochi giorni prima, la stessa Solar Power Europe ha pubblicato un position paper per definire una baseline armonizzata sulla cybersecurity per il fotovoltaico.

In esso si proponevano quattro priorità: migliorare i requisiti di governance nell’attuazione della direttiva sulla sicurezza delle reti e delle informazioni (NIS 2) e aumentare la visibilità del rischio sulle reti a bassa tensione nei quadri UE e nazionali. Rafforzare la sicurezza informatica a livello di prodotto, tramite i requisiti di conformità al Cyber ​​Resilience Act.

«Analogamente al trattamento dei dati personali ai sensi del GDPR, i dati operativi degli impianti fotovoltaici dovrebbero rimanere nell’UE o in giurisdizioni in grado di garantire livelli di sicurezza analoghi».

Infine, si raccomanda che gli utenti e gli installatori di impianti fotovoltaici di piccole dimensioni debbano gestire la sicurezza informatica dei propri dispositivi, impostando password complesse e installando aggiornamenti di sicurezza.

L’insicurezza IT dei dispositivi connessi a internet

L’insicurezza informatica è un problema che non riguarda solo soluzioni o componenti riguardanti fotovoltaico o eolico.

Fotovoltaico e cybersecurity

Lo conferma Claudio Telmon, consulente nella gestione della sicurezza IT e membro del comitato direttivo Clusit:

«che ci siano vulnerabilità in dispositivi di ogni genere connessi a internet è cosa nota e ampiamente sfruttata. Tra le soluzioni sensibili ci sono anche gli inverter, che contano anch’essi su app per il monitoraggio e il controllo. Il principio di funzionamento è sempre quello: l’inverter si collega a un servizio in cloud, l’app a sua volta fa lo stesso e così riesce a gestire il componente. Le modalità per connettersi, i protocolli sono analoghi per tutte le soluzioni. Quindi se ci sono milioni di inverter e di pannelli solari collegati, questi impianti sono accessibili e controllabili anche da chi conosce la vulnerabilità e decide di sfruttarla».

Ma quali sono i pericoli che questo pone, in termini di cybersecurity per il fotovoltaico? «Per quanto riguarda gli impianti fotovoltaici domestici, posto che un malintenzionato possa assumere il controllo, al massimo può spegnere l’impianto. Ma se dovesse avere un controllo più interno al sistema, potrebbe anche causare malfunzionamenti capaci di trasformarsi in guasti dell’impianto».

I rischi per l’Europa e le contromisure

Come mette in luce il già citato report CLUSIT, a livello mondiale, Europa e le Americhe si dividono equamente l’80% dei casi di attacco esaminati.

È davvero così a rischio il Vecchio Continente?

«Sì, è molto probabile che sia esposta. Quando è iniziato il confitto in Ucraina, si sono manifestati cyber attacchi volti ad aumentare la pressione sulla questione degli approvvigionamenti di gas. Ma, oltre a quelli organizzati in grande stile, sono molti i casi di minacce mediante ramsomware utilizzati quotidianamente da organizzazioni criminali. A livello UE ci sono azioni in corso e una serie di norme che stanno affrontando i vari problemi in termini di vulnerabilità di sistemi e di componenti».

Telmon fa riferimento alla Direttiva NIS 2 (che intende stabilire una strategia comune UE in termini di cybersecurity, estendendo gli obblighi specifici a un maggior numero di settori e servizi), che l’Italia ha da poco recepito e al già citato Cyber Resilience Act. Quest’ultimo entrerà nel merito della qualità dal punto di vista della sicurezza dei prodotti immessi sul mercato europeo. «L’entrata in vigore di queste normative apporterà dei miglioramenti che però si avvertiranno negli anni a venire».

Raccomandazioni e consigli utili

Per garantire un più elevato livello di cybersecurity sul fotovoltaico, quali sono le contromisure o i consigli di buon senso da considerare?

«Innanzitutto, dobbiamo distinguere un impianto domestico da uno di medie e grandi dimensioni. Un tema comune è legato al cambio di password dei dispositivi, che spesso non vengono aggiornate, causando la potenziale accessibilità a chiunque abbia le password di quel tipo di dispositivo. Comunque va considerato che l’impianto domestico, non è così facilmente raggiungibile, se il router non è stato configurato per farlo. Di norma, sono dispositivi che permettono una connessione in uscita, quindi permettono all’inverter nello specifico di connettersi al servizio in cloud, ma non a un qualsiasi indirizzo IP generico di accedere al dispositivo. In questo caso, dipende da come è stata realizzata la connettività dell’inverter. L’installatore, in questo caso, può fare poco», specifica ancora Telmon.

«In ogni caso, è importante che gli installatori si mantengano aggiornati sui prodotti che installano e sulle vulnerabilità che dovessero risultare per ripristinare le condizioni di sicurezza».

Un tema, inoltre, su cui c’è una certa attenzione riguarda «la possibilità che alcuni dispositivi siano già stati realizzati volutamente vulnerabili, da parte di alcuni produttori, in particolare cinesi». È una preoccupazione generale e diffusa che potrebbe interessare svariati prodotti consumer. L’esempio può essere quello segnalato dalla società di sicurezza Human Security che ha scoperto Badbox, una rete mondiale di prodotti consumer infetti mediante cui un malware denominato Triada è stato installato nel firmware di oltre 200 modelli tra smartphone, tablet e tv box fabbricati in Cina. Si sono contati oltre 70mila dispositivi Android infetti destinati ai mercati internazionali.

«Le normative sopra citate mirano anche a prevenire questo genere di problemi, per quanto possibile. Tuttavia per sfruttare una vulnerabilità, il componente dovrebbe essere raggiungibile da chi vuole sfruttarla. A mio parere, più che focalizzarsi sulla possibilità di backdoor (porte di accesso ai dispositivi, installate per scopi spesso fraudolenti – nda), sarebbe il caso di focalizzarsi sulla sicurezza e sulla protezione in generale degli impianti», conclude l’esperto membro CLUSIT.

Consiglia questo approfondimento ai tuoi amici

Commenta questo approfondimento



Tema Tecnico

Le ultime notizie sull’argomento



Secured By miniOrange