Dacă ești unul dintre cei peste 200.000 de români care au montate panouri fotovoltaice pe casă, e foarte posibil ca rețeaua de WiFi care îți permite să citești acest text să fie aceeași la care este conectat și invertorul sistemului tău fotovoltaic. Știai că asta poate fi, în cazul unui atac cibernetic, o vulnerabilitate? Majoritatea invertoarelor inteligente folosite în sistemele fotovoltaice din România sunt produse de companii din China, care depind de regimul comunist de la Beijing.
Vorbim de o dilemă la care, ce-i drept, nici Uniunea Europeană și nici alte țări occidentale nu au găsit răspuns: cum să produci din ce în ce mai multă energie verde fără să depinzi atât de mult de China? Echipamentele ieftine vin însă cu un cost. Ministerul Energiei recunoaște pentru Europa Liberă că, în cazul unui conflict, Beijingul ar putea destabiliza sistemul energetic din România, folosindu-se de zecile de mii de invertoare chinezești, „fără să tragă un foc de armă”.
În 2023, Constantin Ștefănucă (43 de ani) și-a montat un sistem fotovoltaic de 5kW în locuința sa din Moșnița, județul Timiș.
Invertorul – adică dispozitivul care transformă curentul continuu produs de panourile fotovoltaice în curent electric alternativ – era făcut de Growatt, o companie chineză.
După 30 de zile în care a folosit aplicația propusă de producător, Constantin a decis să renunțe la acel soft și, implicit, să mai trimită datele colectate de invertorul său către cloudul producătorului chinez.
Așa că și-a instalat acasă un mini-server care să stocheze datele colectate de invertor și a plătit 50 de euro pentru o aplicație personalizată cu care să poată accesa informațiile.
În acest fel, toate datele personale care sunt colectate de regulă de un invertor conectat la internet (în special legate de consum) nu au mai ajuns într-un cloud al producătorului, ci au rămas în propria casă.
Însă nu a făcut asta doar pentru a proteja aceste informații, mărturisește Constantin.
Odată ce invertorul nu mai este conectat la internet, „ai garanția că nu există o terță parte care poate interveni în setările de funcționare a invertorului, care poate duce la dezastre nedorite. De exemplu: modificarea valorilor de încărcare a acumulatorilor, tensiune livrată către casă”.
Sunt îngrijorările lui Constantin întemeiate?
Invertoarele hibride IoT (Internet of Things, n.r.) nu sunt simple gadgeturi – ele fac parte din infrastructura energetică casnică. În absența controlului asupra software-ului și a locației unde ajung datele, utilizatorii sunt expuși la riscuri majore – unele vizibile, altele ascunse.Alexandru Angheluș, expert în securitate cibernetică
Da, spun statul și experții cibernetici consultați de Europa Liberă. În cazul unui atac cibernetic sofisticat, invertoarele pot fi folosite – dacă nu sunt configurate corect – chiar pentru a opri electricitatea sau a dezechilibra rețeaua electrică.
Nu, răspund reprezentanții unor asociații de pe piață, care consideră temerile nejustificate.
Toți recunosc însă evidența: România, Europa și restul lumii sunt dependente de China – un stat comunist – în privința energiei verzi.
Sunt atât de dependente încât sunt nevoite să permită unor companii precum Huawei – interzisă în infrastructura 5G din cauza temerilor privind spionajul – să împânzească rețelele energetice cu dispozitive conectate la rețelele de WiFi ale locuitorilor.
Să le luăm pe rând.
Gigantul tehnologic chinez Huawei este, de departe, cel mai important producător de invertoare de pe piața din România, spun surse din domeniu.
Potrivit operatorului Distribuție Energie Electrică România, producătorul chinez are dreptul să vândă 53 de tipuri de invertoare pe piața românească – de la cele cu capacitate mică, de câțiva kilowați, până la cele de până la 215 kW, folosite în parcurile industriale.
Președintele Asociației Prosumatorilor și a Comunităților de Energie, Dan Pîrșan spune că 70% din cei peste 200.000 de prosumatori din România folosesc, în prezent, invertoare din China. 60% dintre ele sunt produse de Huawei.
Asta înseamnă că în România există în prezent cel puțin 85.000 de invertoare Huawei doar printre prosumatori – persoane care livrează în rețea energia electrică produsă de panourile lor fotovoltaice pe care nu o consumă în gospodărie.
O evidență precisă a acestora e imposibil de făcut – pentru că nimeni nu centralizează această informație. Autoritatea Națională pentru Reglementare în Domeniul Energiei (ANRE) nu a răspuns unei solicitări a Europei Libere pe această temă.
În Europa, potrivit Wood Mackenzie – furnizor de date din industria energetică – mai bine de un sfert din toate invertoarele folosite sunt de la Huawei.
Huawei este o companie înființată de Ren Zhengfei, un fost membru al Partidului Comunist și care se supune legilor regimului de la Beijing, conform cărora toți cetățenii și organizațiile sunt obligați să ajute statul dacă guvernul le cere.
Din acest motiv, gigantul tehnologic a fost criticat de nenumărate guverne occidentele, fiind acuzat de spionaj în favoarea regimului de la Beijing.
În România, în 2023, Consiliul Suprem de Apărare al Țării (CSAT) a interzis Huawei – pe modelul altor țări occidentale – să furnizeze operatorilor de telecomunicații echipamente folosite în infrastructura 5G a țării.
Companiile din grup menționate în decizia CSAT au dat în judecată Administrația Prezidențială, Guvernul și CSAT pentru a obține revocarea acelei interdicții. Procesul e pe rol.
Termeni & condiții Made in China
Deși echipamentele sale sunt interzise în rețelele de comunicații (Orange, Telekom, Digi, Vodafone), zeci de mii de români, firme sau instituții folosesc invertoarele sau bateriile companiei chineze.
Iar dispozitivele au acces nu doar la informații precum obiceiurile de consum din locurile în care sunt montate, ci – de cele mai multe ori – și la rețelele WiFi din locuințele pe acoperișul cărora au fost montate.
Într-un răspuns pentru Europa Liberă, Huawei – care are 1.500 de angajați în România – spune că respectă standardele internaționale și industriale de securitate cibernetică.
„Infrastructura noastră IT pentru aplicația FusionSolar împreună cu centrul de operare și întreținere sunt localizate în Europa, astfel, toate datele aferente sunt stocate în Europa și pot fi accesate numai în Europa pe baza autorizației prealabile a utilizatorului invertorului, în conformitate cu Regulamentul general privind protecția datelor.”
Compania ne-a mai transmis că „nu se angajează niciodată în nicio activitate care amenință securitatea cibernetică a clienților săi sau încalcă confidențialitatea datelor utilizatorilor finali.”
În manualul aplicației prin intermediul căreia se folosește invertorul Huawei se menționează însă că compania poate partaja datele colectate cu furnizori de servicii intragrup, inclusiv cu Huawei Technologies Co., Ltd. din Republica Populară Chineză, care oferă servicii de mentenanță.
Cum functioneaza un invertor smart?
Un invertor modern are două componente principale:
- Firmware-ul-software-ul intern care controlează funcționarea hardware-ului, precum încărcarea și descarcarea bateriilor, prioritizarea surselor de energie etc. Acest firmware este preinstalat și funcționeaza local, fără a avea nevoie de internet.
- Dongle-ul WiFi/4G - interfața care conectează invertorul la internet, permițând accesul prin aplicații mobile sau platforme cloud pentru monitorizare și control de la distanță. Prin acest dongle se pot face inclusiv actualizări de firmware.
De ce ar fi o problemă un invertor nesecurizat?
Pentru că invertorul nu este doar un dispozitiv care controlează fluxul de energie electrică.
El comunică în mod direct cu rețeaua electrică, cu bateria sau, prin intermediul internetului, cu alte sisteme externe.
Dacă ai devenit prosumator, probabil știi că, înainte de a injecta energie în rețea, invertorul tău a fost limitat de inginerul care ți-a instalat sistemul să capteze din panourile solare doar energia pe care o consumi în casă. După ce operatorul de distribuție ți-a montat un nou contor, acea limitare a fost ridicată, în timp real, de la distanță, de instalator.
De la zeci sau sute de kilometri distanță, așadar, cineva a stabilit ca invertorul tău să valorifice mai mult din energia captată de panourile de pe casă.
Dacă pe acel traseu, în loc să fie o persoană de bună credință (instalatorul), s-ar afla un hacker, ce daune ar putea provoca?
Pentru un simplu consumator – explică expertul în securitate cibernetică Alexandru Angheluș – un astfel de actor rău-voitor ar putea să-i oprească de la distanță producția de energie, să modifice setările de funcționare ale invertorului sau chiar să transmită comenzi malițioase prin care să deterioreze bateria. Ultima variantă ar putea îmbrăca, în anumite situații, și o formă sinistră: incendierea bateriei.
În infrastructuri de mari dimensiuni – precum ferme fotovoltaice sau instituții publice care se alimentează cu energia produsă de panouri – consecințele pot fi mult mai mari, pot ajunge până la destabilizarea rețelei electrice locale sau regionale.
Teoretic, hackerii pot să oprească, de la distanță, furnizarea de electricitate din punctul în care e montat sistemul de panouri fotovoltaice. Fie că e vorba de o casă sau un spital.
„Deși nu este o funcționalitate justificată legal sau etică, posibilitatea tehnică de oprire de la distanță există în anumite configurații, iar dependența de aplicațiile cloud și de producători poate reprezenta un risc serios pentru continuitatea furnizării de energie prin intermediul sistemului fotovoltaic”, spune expertul în securitate cibernetică Alexandru Angheluță.
Cătălin Stâncel este CEO la ddroidd, o companie de IT cu 200 de angajați, din Cluj, care realizează aplicații software la comandă.
Printre proiectele lansate de compania sa se numără și YellowGrid, prin intermediul cărora propune clienților un dongle inteligent – adică interfața care conectează invertorul la internet – care protejează datele consumatorului.
„Într-un scenariu teoretic, dacă infrastructura cloud a unui producător ar fi compromisă, milioane de invertoare ar putea fi blocate sau controlate simultan pentru a descărca/reîncărca bateriile în mod necontrolat. Pentru a evita acest lucru, dongle-ul nostru oferă control complet asupra invertorului si bateriei, comunică prin rețele 4G securizate (VPN privat) ce nu sunt accesibile actorilor externi și păstrează datele și comenzile pe teritoriul Romaniei”.
Ce poate face un utilizator pentru a evita a-și securiza invertorul
Dispozitivul:
- Să nu conecteze invertorul la Internet, prin port forwarding, DMZ sau alte metode care permit accesul din exterior.
- Să schimbe imediat datele implicite de acces (utilizator/parolă) atât pentru aplicația mobilă, cât și pentru panoul web al invertorului.
- Să dezactiveze accesul la cloud, dacă acest lucru este posibil și nu afectează funcționarea critică.
- Să verifice periodic dacă există actualizări de firmware și să le aplice doar din surse oficiale ale producătorului.
- Să conecteze invertorul pe o rețea separată (VLAN sau guest Wi-Fi), izolată de restul echipamentelor din locuință.
Rețeaua:
- Să utilizeze un firewall dedicat (ex: MikroTik, pfSense, OPNsense) și să blocheze traficul de ieșire către IP-uri necunoscute sau nesigure.
- Să monitorizeze traficul invertorului folosind un sistem IDS/IPS, precum Suricata, pentru a detecta activități neobișnuite.
- Să intercepteze și să analizeze traficul API/telemetriei inverterului (dacă este posibil) pentru a înțelege ce date sunt trimise extern.
La nivel legal și contractual:
- Să aleagă producători care oferă transparență contractuală privind colectarea, utilizarea și stocarea datelor.
- Să se înregistreze ca prosumatori informați, solicitând detalii clare despre locația serverelor, accesul la date și posibilitatea de a revoca accesul cloud.
- Să evite produse fără suport regional, documentație clară sau contact direct în cazul unor probleme de securitate.
Sursă: expertul în securitate cibernetul Alexandru Angheluș
Ministerul Energiei vorbea de spionajul prin invertoare
Pe 29 octombrie 2024, Ministerul Energiei punea în dezbatere publică un proiect de modificare a Legii energiei electrice care avea să stârnească rumoare.
Printre modificările propuse prin acel proiect se număra și „obligația auditării cibernetice anuale și periodice a invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice”.
În nota de fundamentare a acelui proiect de lege, sub semnătura ministrului Energiei, Sebastian Burduja, apăreau o serie de informații șocante referitoare la sistemul energetic românesc.
Ministerul susținea că are informații că în România sunt montate invertoare fotovoltaice și controlere energetice aduse din China care sunt „frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care pot permite atacatorilor să preia controlul asupra dispozitivului/rețelei energetice.”
„Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice”.
Nota de fundamentare a Ministerului Energiei
Atât proiectul de lege, cât și nota de fundamentare au fost retrase de minister.
Mai mult, spre deosebire de alte propuneri care rămân doar în stadiu de proiect, documentele publicate de Ministerul Energiei în octombrie 2024 au fost șterse de pe site-ul Ministerului.
Ce a stat la baza acuzațiilor atât de grave ale Ministerului Energiei?
Ministrul Sebastian Burduja spune, pentru Europa Liberă, că avertismentele din proiectul retras rămân valabile și astăzi.
„În scenariul unui conflict hibrid, câte clickuri îi trebuie unui actor ostil ca să scoată din funcțiune zeci de mii de invertoare interconectate, fără să tragă un foc de armă? O singură comandă «over the air» poate destabiliza frecvența rețelei”, se întreabă ministrul, referindu-se la China.
El spune că Ministerul a renunțat la legea care ar fi permis auditarea cibernetică a invertoarelor pentru că Guvernul lucra în paralel la o altă lege, care stabilește cadrul legal general prin care statul – prin Direcția Națională de Securitate Cibernetică (DNSC) – își poate proteja sectoarele de importanță critică.
România nu va fi prinsă nepregătită. O spun clar: vom reglementa, vom audita, vom sancționa. Cu măsură și cu cap, dar cu fermitateSebastian Burduja, ministrul Energiei
Primul dintre aceste sectoare este energie. Acea lege a intrat în vigoare pe 31 decembrie 2024, totuși, în privința energiei, nu au fost încă stabilite normele de aplicare – adică cum, când și ce măsuri poate luat DNSC pentru a proteja sistemul energetic din punct de vedere cibernetic.
Sebastian Burduja promite că aceste norme ar putea fi gata în curând.
„Suntem într-un grup tehnic interinstituțional, coordonat de DNSC. Se lucrează la norme de cotrol, audit, evaluare risc, control, precum și la o listă pozitivă de producători și integratori cu risc cibernetic. E similar cu ceea ce facem în domeniul centralelor de apartament – unde nimeni nu are voie să aducă piese neomologate sau să modifice sistemul fără aprobări stricte si unde centrala se controlează periodic de experți autorizați”, ne-a spus ministrul Sebastian Burduja.
Acesta a mai precizat că DNSC urmează să adopte un regulament care va stabili cine și când trebuie să auditeze echipamentele electronice de pe piața energiei „și mai ales care este protocolul de retragere de pe piață în caz de identificare a unei amenințări cibernetice”.
Cine verifică invertoarele?
Potrivit legii, pentru ca un invertor să poată fi acceptat pe piața energiei, e nevoie ca el să fie autorizat de către unul dintre cei patru distribuitori de energie electrică din România (Delgaz, Distribuție Energie Oltenia, Rețele Electrice – Banat, Dobrogea Muntenia, Distribuție Energie Electrică România – Transilvania Nord, Transilvania Sud, Muntenia Nord).
Această autorizare se face pe baza unor criterii stabilite de Autoritatea Națională de Reglementare în domeniul Energiei, prin ordinul nr. 208/14.12.2018.
Verificarea are legătură mai degrabă cu respectarea normelor tehnice de funcționare în rețeaua electrică a aparatului. Nu și cu posibilele vulnerabilități informatice ale sale, spune inginerul unui distribuitor din zona Moldovei, care nu a vrut să-și facă publică identitatea.
„Autorizarea invertoarelor implică prezentarea unor certificate care arată rezultatele unor teste efectuate de laboratoare recunoscute pe plan european. Acestea atestă conformitatea cu cerințele pentru variații de frecvență, de tensiune sau capacitatea de trecere peste defect. În norme nu sunt menționate explicit măsuri de protecție împotriva amenințărilor cibernetice sau proceduri de evaluare a vulnerabilităților”, ne-a transmis inginerul.
Acest lucru ar trebui să se schimbe, crede deputatul Mădălin George Borș, membru al Comisiei pentru Industrii și Servicii din Camera Deputaților.
Parlamentarul PSD lucrează la o propunere legislativă prin care, spune el, statul român ar trebui să se asigure că astfel de echipamente, „odată introduse în rețea, nu mai au aceste vulnerabilități”.
„Din punct de vedere tehnic, se poate acționa pe două planuri. Ori producătorul își «mută» cloudul pe teritoriul țării sau pe teritoriul UE sau, varianta doi, pe care eu o consider cea mai viabilă, este ca firmware-ul care este instalat pe echipament – practic softul de pe acest invertor – să fie auditat, verificat, aprobat de către autoritățile statului român”, spune deputatul Mădălin George Borș.
Însă cum s-ar putea, în practică, realiza acest lucru?
Deputatul dă exemplul Registrului electronic național al producătorilor, distribuitorilor și integratorilor de tehnologii, echipamente și programe software destinate infrastructurilor informatice și de comunicații de interes national – care urmează să fie gestionat de Autoritatea pentru Digitalizarea României, dacă un proiect de lege propus de Guvern va fi adoptat de Parlament.
Executivul propune înființarea acestui registru pentru a ține evidența producătorilor care au voie să vândă echipamente care sunt folosite în infrastructura 5G.
Mai mult, legea menționată propune ca avizul Consiliului Suprem de Apărare a Țării (CSAT) – necesar în prezent unei companii care vrea să vândă echipamente pentru rețelele 5G – să fie extins și în cazul distribuitorilor și integratorilor de sisteme IT care folosesc aceste rețele.
Adică servicii publice digitalizate, precum ghiseul.ro, cloudul guvernamental etc.
Deputatul Mădălin George Borș crede că în acest registru ar putea fi incluse și companiile care vând echipamente folosite pe piața energiei.
„Această acțiune trebuie să fie cu impact zero – atât financiar, cât și tehnic, asupra prosumatorului. Nu are nimeni de gând să elimine de pe piață prosumatori, să își retragă echipamentele. Ne dorim doar ca funcționarea lor să se înfăptuiască în parametri normali și să asigurăm un grad de protecție ridicat”.
O dilemă: energie verde ieftină sau securitate cibernetică?
Există însă o mare diferență între sistemul de comunicații și cel al energiei verzi: rețelele 5G, cel puțin cele din România, pot funcționa fără companiile din China, în timp ce industria fotovoltaicelor este dependentă de China.
În lista producătorilor autorizați de Consiliul Suprem de Apărare a Țării pentru a furniza echipamente pentru rețelele 5G se află doar o companie chineză, Lenovo. Cele mai multe firme sunt din România sau SUA.
În schimb, dacă ne uităm pe lista invertoarelor autorizate de către distribuitorul Distribuție Energie Electrică România – care e similară cu cea a celorlalți distribuitori – găsim invertoare de la 30 de producători din China, care domină piața.
Dependența industriei fotovoltaice de China nu e doar o problemă a României, ci și a Europei și restului lumii.
„Toată piața globală este în proporție de peste 85% dependentă de China, și în privința fotovoltaicelor, și a invertoarelor. Înțelegem toată această discuție din jurul acestui subiect (securitatea cibernetică, n.r.), însă nu suntem singurii în această situație, nici la nivel global, nici din Europa”, spune Andrei Manea, director executiv al Asociației Industriei Fotovoltaice din România, pentru Europa Liberă.
„Din punctul nostru de vedere, nu este o vulnerabilitate specifică României și nu este una care să ne împiedice să operăm parcurile fotovoltaice într-un mod corect”, mai spune el.
Mult mai radical este Dan Pîrșan, președintele Asociației Prosumatorilor și a Comunităților de Energie, care crede că subiectul securității cibernetice a invertoarelor este un narativ pus pe piață de Transelectrica și ANRE pentru „a intra în invertoarele românilor”, cu scopul de a modifica curbele de funcționare ale acestora.
„Adică să vedeți cu stupoare că luna trecută ați produs o anumită cantitate de energie, iar după ce ar intra un tehnician de la Transelectrica în softul invertorului dumneavoastră, veți produce la jumătate”, spune Pîrșan.
El se referă la o temere mai veche a prosumatorilor din România – că energia injectată în rețea de aceștia ar putea fi limitată.
Prosumatorii mai spun că sunt nemulțumiți și de modul inechitabil prin care furnizorii de energie – în baza actualei legi – plătesc pentru energia livrată în rețea. În prezent, energia în surplus este decontată financiar abia după doi ani de la injectarea în Sistemul Energetic Național (SEN). O lege care ar urma să permită decontarea lunară este în prezent în Parlament.
„Colectarea de date care poate să o facă un invertor este consumul unei familii, ori acestea nu sunt informații sensibile, din punctul nostru de vedere. Din rețea, nu citește nimic senzitive decât valoarea tensiunii, care nu reprezintă un secret național”, conchide Pîrșan.
Alte țări iau deja măsuri
Discuția privind dependența față de China a industriei solare nu are loc doar în România.
În Marea Britanie, acolo unde Huawei are – de asemenea – interdicție să furnizeze echipamente pentru rețeaua 5G, lidera Opoziției, Kemi Badenoch, avertiza la finele lunii martie că, în cursa sa pentru a ajunge la zero emisii de carbon nete, țara a ajuns „periculos de dependentă” de China.
„Întreaga problemă este una de interconectare. Trebuie să ne uităm la securitatea energetică, iar ideea că securitatea energetică depinde de sursele regenerabile fabricate în China este complet nebunească. Guvernul pare să accepte riscul, dar nu știe cum să îl gestioneze pe termen mediu și lung”, a precizat politiciana conservatoare.
Într-o declarație pentru The Telegraph, Sir Richard Dearlove, fostul șef al MI6, serviciul de spionaj extern al Marii Britanii, a spus că dependența față de China în acest domeniu „este o potențială vulnerabilitate”.
„China nu este o națiune prietenă – este o națiune foarte competitivă și, în anumite circumstanțe, este un adversar”, a spus Dearlove.
O dezbatere pe această temă – concretizată cu o însprire a legislației – a avut loc la finele anului trecut și în Lituania, țară membră a Uniunii Europene.
În noiembrie, Parlamentul lituanian a adoptat o lege prin care a introdus în legislație un articol numit „cerințe de securitate pentru sistemele de control ale dispozitivelor electrice” în legislația țării.
Noua lege prevede că sistemele de producție a energiei electrice și/sau de gestionare a informațiilor (invertoare, de exemplu) cu o capacitate instalată mai mare de 100 kW trebuie configurate în așa fel încât țările care reprezintă o amenințare la adresa securității naționale a Republicii Lituania să nu aibă acces la ele.
China este una dintre aceste țări – vizați direct de noua lege fiind practic producătorii care au legături cu regimul de la Beijing, cum este Huawei.
Noile reglementări vor intra în vigoare de la 1 mai, iar parcurile solare care folosesc în prezent astfel de sisteme au la dispoziție un an să le schimbe.
Europa Liberă România e pe Google News. Abonați-vă AICI.
