James Showalter përshkruan një skenar makthi mjaft specifik, edhe pse jo krejt i pamundur. Dikush afrohet me makinë te shtëpia juaj, hyn në Wi-Fi-n tuaj dhe nis të manipulojë inverterin diellor të montuar pranë garazhit — atë kuti gri të zakonshme që shndërron rrymën direkte nga panelet e çatisë në rrymë alternative për përdorim në shtëpi.
“Në këtë rast, duhet të kesh një ‘përgjuës diellor’”, thotë Showalter, duke e përshkruar si dikë që jo vetëm duhet të vijë fizikisht në oborrin tuaj, por edhe të ketë njohuritë teknike dhe motivimin për të hakuar sistemin tuaj të energjisë.
Showalter, CEO i kompanisë EG4 Electronics me bazë në Texas, nuk e sheh këtë skenar si shumë të mundshëm. Megjithatë, kompania e tij u gjend në qendër të vëmendjes kur agjencia amerikane e sigurisë kibernetike CISA publikoi një paralajmërim për dobësitë e sigurisë në inverterët e tyre. Sipas CISA, këto cenueshmëri mund t’i lejonin një sulmuesi me qasje në të njëjtin rrjet dhe me numrin serial të pajisjes që të ndërpriste të dhënat, të instalonte “firmware” të dëmshëm apo të merrte kontrollin e plotë të sistemit.
Për rreth 55,000 klientët që zotërojnë modelin e prekur të inverterit EG4, ky ishte një lajm shqetësues për një pajisje që pak e kuptojnë. Çfarë po mësojnë ata është se inverterët modernë nuk janë më thjesht konvertues energjie. Ata tashmë monitorojnë performancën, komunikojnë me kompanitë e shpërndarjes së energjisë dhe dërgojnë tepricën e rrymës përsëri në rrjet.
“Në fakt, para pesë vitesh askush nuk e dinte çfarë ishte një inverter diellor,” thotë Justin Pascale, ekspert në sigurinë e sistemeve industriale. “Tani po flasim për to në nivel kombëtar dhe ndërkombëtar.”
Dobësitë dhe ankesat e klientëve
Sipas të dhënave të EIA (Administrata e Informacionit për Energjinë në SHBA), instalimet e vogla diellore — kryesisht rezidenciale — janë rritur më shumë se pesëfish mes viteve 2014–2022. Çdo sistem i ri shton një nyje tjetër në rrjetin gjithnjë e më të ndërlidhur të pajisjeve, duke ofruar pavarësi energjetike por edhe rrezik potencial për sulme kibernetike.
Showalter e pranon se standardet e sigurisë kanë pasur të meta, por thekson se “kjo nuk është problem vetëm i EG4, por i gjithë industrisë.” Ai paraqiti një raport me 88 dobësi të sigurisë të zbuluara në sisteme diellore komerciale e rezidenciale që nga 2019.
Por shumë klientë nuk ishin aspak të kënaqur, veçanërisht pasi CISA zbuloi dobësi bazike: komunikim të pakriptuar mes aplikacioneve dhe inverterëve, mungesë të kontrolleve të integritetit të “firmware”-it dhe autentifikim shumë të thjeshtë.
Një klient anonim tha: “Këto ishin lëshime elementare sigurie. Dhe më keq akoma, EG4 as nuk më njoftoi apo të paktën të sugjeronte masa mbrojtjeje.”
Lidhjet me Kinën dhe frika për sigurinë
Kriza e EG4 erdhi në një kohë kur zyrtarët amerikanë po shqyrtonin më nga afër pajisjet kineze në zinxhirin e furnizimit të energjisë së rinovueshme. Një hetim i Reuters zbuloi pajisje komunikimi të padeklaruara në inverterë dhe bateri të disa prodhuesve kinezë, duke shtuar dyshime për përdorim të paautorizuar.
Duke qenë se Kina dominon tregun global të inverterëve (Huawei, Sungrow, Ginlong Solis), rreziku merr një peshë gjeopolitike. Për shembull, Lituania ndaloi vitin e kaluar përdorimin e inverterëve kinezë në instalime mbi 100 kW. Showalter thotë se edhe kompania e tij po nis të zhvendoset drejt furnizuesve gjermanë dhe evropianë.
Por ekspertët paralajmërojnë se rreziku nuk lidhet vetëm me origjinën e komponentëve, por me faktin që miliona inverterë rezidencialë janë pjesë e një rrjeti të shpërndarë. NIST paralajmëron se nëse dikush do të kontrollonte nga distanca një numër të madh të këtyre pajisjeve, mund të dëmtonte seriozisht rrjetin elektrik.
Rregullimi dhe boshllëqet ligjore
Standardet e detyrueshme të sigurisë kibernetike aktualisht vlejnë vetëm për instalime të mëdha (75 MW e lart), jo për sistemet rezidenciale. Kjo i lë pronarët e paneleve të vegjël në një zonë gri, ku siguria varet vetëm nga ndërgjegjja e prodhuesve.
Showalter e sheh ndërhyrjen e CISA-s si një “përmirësim besimi” për kompaninë e tij. Ai thotë se EG4 ka reduktuar problemet nga 10 në vetëm 3 dhe pret t’i zgjidhë deri në tetor, duke përfshirë protokolle më të sigurta të përditësimeve dhe kontrolle shtesë të identitetit.
Por për klientët që ndihen të tradhtuar, ky incident tregon se ata që blenë teknologji miqësore me klimën janë bërë pa dashje pjesë e një peizazhi të ndërlikuar kibernetik, ku siguria është ende e pasigurt.
