Utilizzando una backdoor, un hacker olandese ha potuto accedere ai sistemi informatici di alcuni pannelli solari “intelligenti”, mettendo in luce la loro vulnerabilità agli attacchi.
Fortuna ha voluto che si sia trattato di un “white hat”, che nel gergo sta ad indicare un hacker in grado di introdursi nei sistemi per aiutarne i proprietari a prendere coscienza di eventuali problemi di sicurezza.
L’uomo in questione si chiama Wietse Boonstra e ha preso di mira gli inverter dell’americana Enphase. L’azienda permette ai clienti di condividere il proprio sistema e gestirlo tramite un account personale.
Secondo quanto riferisce il sito investigativo FollowTheMoney, Boonstra ha scoperto un errore nel software che permetteva a qualcuno di diventare amministratore di altri account. Per verificarlo, ha acquistato due sistemi da Enphase e ha creato due account amministratore. Si è scoperto che il suo primo account poteva controllare anche il secondo.
“Poi ho creato altri venti account e li ho controllati tutti a partire dal primo account. Per avere davvero la conferma”, spiega l’hacker. Insieme al collega Hidde Smit, inoltre, ha esaminato il sistema operativo dei dispositivi Enphases, scovando altre “sei vulnerabilità” diverse.
I due esperti avrebbero potuto scrivere un algoritmo in grado di infettare milioni di impianti fotovoltaici in tutto il mondo con malware.
I risultati confermano un rapporto del 2023 di un’agenzia olandese, l’ispettorato governativo per le infrastrutture digitali, che ha scoperto che gli inverter, solitamente collegati ad internet, possono essere “facilmente hackerati, disattivati da remoto o utilizzati per attacchi DDoS (Distributed Denial of Service)”.
L’associazione di settore SolarPower Europe (SPE) ha affermato che l’Ue “ha bisogno di regole di sicurezza informatica più solide” in una dichiarazione citata da Euractiv in cui commentava l’attacco informatico portato avanti da Boonstra.
Il mese scorso SPE ha anche pubblicato un position paper nel quale forniva alcune raccomandazioni in tema di cyber sicurezza del fotovoltaico. Ecco le principali:
- migliorare i requisiti di governance nell’implementazione della direttiva Nis 2 e aumentare la visibilità del rischio sulle reti a bassa tensione nel quadro europeo e nazionale;
- rafforzare la sicurezza informatica a livello di prodotto, attraverso i requisiti di conformità del Cyber Resilience Act (CRA) e uno standard dedicato per le risorse energetiche distribuite;
- rafforzare la sicurezza informatica per il funzionamento delle centrali elettriche; un elenco di migliori pratiche di funzionamento sicuro per le grandi centrali elettriche dovrebbe essere obbligatorio e gli organismi di standardizzazione dovrebbero implementare un quadro di base di sicurezza informatica per il funzionamento di piccole risorse energetiche distribuite, digitalmente connesse e controllate da remoto;
- gli utenti e gli installatori di impianti fotovoltaici su piccola scala dovrebbero gestire la sicurezza informatica dei propri dispositivi impostando password complesse e installando aggiornamenti di sicurezza.
Un altro rapporto (link in basso) pubblicato il 24 luglio dall’agenzia per la sicurezza informatica dell’Ue ha rilevato che gli Stati membri non sono preparati ad affrontare un attacco concertato alle sue infrastrutture energetiche.
I pannelli solari sono stati indicati come una vulnerabilità in diversi scenari. Da tempo l’industria chiede che questi vengano classificati come prodotti critici, così da essere soggetti a valutazioni di cybersicurezza più rigorose, fattore che potrebbe rivelarsi un valore aggiunto rispetto a quelli offerti dai competitor cinesi.
Sul piano normativo i 27 stanno già correndo ai ripari. I quadri normativi europei di riferimento in materia di sicurezza informatica sono la direttiva NIS2 e la Legge sulla sicurezza informatica dell’Ue.
La NIS2, entrata in vigore nel 2023, impone nuovi obblighi di sicurezza informatica alle aziende a decorrere da ottobre 2024. A differenza della NIS, in vigore dal 2016, in base alla quale gli Stati membri potevano decidere individualmente quali operatori fossero essenziali, la NIS2 definisce due macro-categorie di soggetti interessati, all’interno di diversi settori di applicazione.
L’energia rientra tra i settori considerati essenziali, insieme a sanità, acqua, pubblica amministrazione, finanza, trasporti.
Il seguente documento è riservato agli abbonati a QualEnergia.it PRO:
Prova gratis il servizio per 10 giorni o abbonati subito a QualEnergia.it PRO