Güneş artık düşük riskli değil. Benimseme, invertörleri, toplayıcıları ve kontrol yazılımlarını hizmeti kesintiye uğratabilecek ve geçişe olan güveni sarsabilecek saldırı yüzeylerine dönüştürdü.
Siber tehditler güneş enerjisi sistemlerindeki zayıf noktaları açığa çıkarıyor
Yakın zamana kadar güneş sistemlerindeki güvenlik riskleri çok az ilgi görüyordu. Enerji sektöründe farkındalık arttıkça bu durum değişmeye başlıyor. Temmuz 2024’te FBI, kuruluşları yenilenebilir enerji sistemlerine yönelik tehditler konusunda uyaran bir sektör uyarısı yayınladı.
Tahminler, yenilenebilir enerjinin elektrik üretimindeki payının 2023’teki %30’dan 2030’a kadar %46’ya çıkacağını ve bu büyümenin çoğunu güneş ve rüzgarın sağlayacağını gösteriyor. Tek başına bu bile siber güvenliğin neden birinci öncelik olması gerektiğinin altını çiziyor.
Gerçek dünyadaki olaylar neyin tehlikede olduğunu zaten ortaya çıkarıyor. İber Yarımadası’nda bir siber saldırıyla ilgisi olmasa da elektrik kesintisi, enerji sektörünün güvenliği konusundaki tartışmaları yeniden alevlendirdi. Olay, İspanya’nın yenilenebilir enerji kaynaklarının yüksek payının şebeke başarısızlığına katkıda bulunup bulunmadığı konusunda soruları gündeme getirdi.
Avrupa Siber Güvenlik Ağı (ENCS) Genel Müdürü Anjos Nijk, “Yenilenebilir enerji kaynakları ve EV şarj ağları gibi bağlantılı altyapılar, şebeke operatörlerinin doğrudan kontrolünün dışında kalıyor ve aynı zamanda şebekede kesintilere de neden olabiliyor. Bağlantılı altyapıların kontrolünün hack yoluyla değiştirilmesi veya tedarik zincirindeki güvenlik açıklarından yararlanılması, enerji altyapısının dayanıklılığı ve güvenilirliği açısından büyük bir risk oluşturuyor” dedi.
ABD merkezli bir güvenlik araştırmacısı olan Aditya K. Sood, varsayılan kimlik bilgilerini kullanarak Hindistan’ın Tamil Nadu kentindeki bir güneş enerjisi santraline ne kadar kolay giriş yapabileceğini gösterdi.
Bilgisayar korsanları, banka hesabı hırsızlığı planının bir parçası olarak Japonya’daki bir güneş enerjisi tesisindeki yaklaşık 800 uzaktan izleme cihazını ele geçirdi. Mirai botnet’iyle bağlantılı bilinen bir yazılım kusurunu (CVE-2022-29303) kullandılar ve hatta bundan nasıl yararlanılacağını gösteren bir videoyu çevrimiçi olarak paylaştılar.
Just Evil hacktivist grubu, Litvanya’daki Ignitis Group’un kullandığı güneş izleme sistemini hedef alan bir saldırı daha gerçekleştirdi.
Güneş PV ekosistemindeki güvenlik açıkları
İnvertör, güneş fotovoltaik (PV) sisteminin en çok maruz kalan parçalarından biridir. Panellerden gelen doğru akımı şebeke için alternatif akıma dönüştürür.
İnvertörler artık uzaktan izleme ve kontrole olanak tanıyan Wi-Fi, hücresel veya bulut platformları aracılığıyla bağlanıyor. Aynı bağlantılar aynı zamanda siber saldırı olasılığını da artırır. İhlal edilmesi durumunda invertörler şebeke stabilitesini bozabilir ve güç kaybına neden olabilir.
Araştırmacılar, güneş enerjisi sistemlerinde, bazıları tüm invertör filolarının ele geçirilmesi için kullanılabilecek 46 yeni güvenlik açığı buldu.
İnvertörler aynı zamanda tedarik zinciri endişelerini de artırıyor. Birçoğu, küresel güneş PV üretimine hakim olan Çin’den ithal ediliyor. Bu bağımlılık, veri güvenliği ve içe aktarılan sistemlerdeki potansiyel kusurlar hakkında soruları gündeme getiriyor.
Bitdefender, PV tesis yönetim platformlarında, bağlı güneş enerjisi sistemlerini uzaktan erişime ve manipülasyona maruz bırakabilecek çeşitli güvenlik açıkları tespit etti.
Son bulgular, Çin yapımı bazı güneş enerjisi invertörlerinin içindeki gizli iletişim modüllerini ortaya çıkardı. Bu belgelenmemiş bileşenler doğrudan hücresel ağlara bağlanarak güvenlik duvarlarını ve izleme araçlarını aşabilecek bir arka kapı oluşturabilir. Bunlar kötüye kullanılırsa uzaktan erişime, invertör ayarlarında değişiklik yapılmasına veya şebeke operasyonlarının kesintiye uğramasına neden olabilir.
Güneş enerjisi siber güvenliğinin arkasındaki çerçeveler
Çeşitli siber güvenlik çerçeveleri, enerji sektörünün dijital riski nasıl yönettiğine rehberlik ediyor. NIST Siber Güvenlik Çerçevesi, ISO 27001 ve IEC 62443, riski değerlendirmeye, ağları bölümlere ayırmaya ve invertörler ile kontrol sistemleri arasındaki iletişimi korumaya yönelik yöntemler sağlar.
ABD’de Enerji Bakanlığı’nın 2024 Siber Güvenlik Uygulama Planı, pil entegrasyonu ve olay raporlamaya odaklanarak yenilenebilir ve dağıtılmış enerji sistemlerine yönelik korumayı güçlendirmeye yönelik adımları özetlemektedir.
AB genelinde, NIS2 ve Kritik Varlıkların Dayanıklılığı direktifleri, güneş enerjisi projeleri de dahil olmak üzere enerji operatörleri için daha güçlü siber güvenlik ve tedarik zinciri gözetimi gerektirmektedir. Ulusal Yenilenebilir Enerji Laboratuvarı’nın Dağıtılmış Enerji Kaynakları Siber Güvenlik Çerçevesi, ABD’deki benzer öz değerlendirme uygulamalarını desteklemektedir
Bu standartların erken uygulanması, izleme ve kontrol sistemlerindeki riskleri azaltabilir, olaylardan sonra toparlanmayı hızlandırabilir ve güneş enerjisi genişlemeye devam ederken uyumluluk riskini azaltabilir.
Savunma tedbirleri
Güneş enerjisi ve depolama sistemleri artık daha geniş şebekenin bir parçası. Bağlantıları görünürlüğü ve kontrolü artırır, ancak aynı zamanda izinsiz girişlere de yol açar. Güvenlik, ağ tasarımı, ekipman bütünlüğü ve müdahale hazırlığının bir karışımına bağlıdır.
Ağ mimarisini ve erişim kontrolünü güçlendirin
Güneş enerjisi sistemleri, invertörleri, kontrolörleri ve izleme platformlarını birbirine bağlayan ağlara dayanır. Her bağlantı olası bir giriş noktasıdır. Maruziyeti azaltmak için:
- Ağları, kontrol sistemlerini iş ve satıcı ağlarından ayıran bölgelere ayırın.
- BT, OT ve bulut katmanları arasındaki verileri yönetmek için güvenlik duvarlarını veya veri ağ geçitlerini kullanın.
- Uzaktan oturum açma için rol tabanlı erişim kontrolü ve MFA uygulayın.
- Paylaşılan veya varsayılan hesapları kaldırın.
- Satıcı bağlantılarını doğrudan cihaz erişimi yerine izlenen ağ geçitleri üzerinden yönlendirin.
Ürün yazılımını ve yazılımı güncel tutun
Pek çok invertör ve kontrol cihazı güncel olmayan donanım yazılımını çalıştırarak bilinen güvenlik açıklarını saldırılara açık hale getiriyor. Önerilen uygulamalar şunları içerir:
- Bakım pencerelerine uygun olarak düzenli yama döngüleri planlayın.
- Kurulumdan önce güncellemeleri doğrulayın ve mevcut olduğunda imzalı ürün yazılımını kullanın.
- Yetkisiz kodu engellemek için güvenli önyüklemeyi destekleyen cihazları kullanın.
- Satıcıların sürekli ürün yazılımı desteği ve güvenlik açığı raporlaması sunduğunu doğrulayın.
- Satıcıların iletişim modüllerinde şifrelemeyi ve anahtar depolamayı nasıl yönettiğini inceleyin.
Olaylara müdahale ve kurtarma yetenekleri oluşturun
Tespit ve kurtarma planlaması normal operasyonların bir parçasıdır. Tanımlanmış bir plan, hasarın kontrol altına alınmasına ve sistemlerin onarılmasına yardımcı olur:
- Olayı kimin ilan ettiğini ve izolasyon adımlarını kimin başlattığını belirleyin.
- Dahili ekipler ve ortaklar için bir iletişim planı tutun.
- Temiz sistem görüntülerini ve test edilmiş yedeklemeleri koruyun.
- Prosedürleri test etmek için her yıl masa üstü veya canlı tatbikatlar yapın.
- Herhangi bir olay veya sistem değişikliğinden sonra planı gözden geçirin ve güncelleyin.