James Showalter descreve um cenário de pesadelos bastante específico, se não completamente inacreditável. Alguém dirige para sua casa, toca sua senha de wifi e começa a mexer com o anel solar que é montado ao lado da sua garagem. Esta modesta caixa cinza converte a corrente direta dos seus painéis de telhado na corrente alternada que sua casa unir.
“Você precisa ter um estábulo solar” para esse cenário jogar, diz Showalter, que descreve o tipo de pessoa que fisicamente deve aparecer em sua garagem com o know-how técnico e a motivação para invadir seu sistema de energia doméstica em casa.
O CEO da EG4 Electronics, uma empresa com sede em Sulthur Springs, Texas, não considera essa sucessão de eventos particularmente provável. No entanto, foi a razão pela qual sua empresa estava em destaque na semana passada, quando a Agência Americana de Segurança Cibernética CISA publicou um conselho sobre as vulnerabilidades de segurança no EG4, Made Made EG4. Os erros, observou a CISA, poderia permitir que um invasor tenha acesso à mesma rede que um inversor afetado e seu número de série para interceptar dados, instalar firmware maligno ou agarrar o controle sobre todo o sistema.
Para os aproximadamente 55.000 clientes que têm o inversor afetado do EG4, o episódio provavelmente parecia uma introdução perturbadora de um dispositivo que eles não entendem muito. O que eles aprendem é que a energia solar moderna solar não é mais um conjunto de energia simples. Eles agora servem como espinha dorsal das instalações da energia da casa, monitorando o desempenho, comunicando -se com empresas de serviços públicos e, quando houver força excedente, para alimentá -lo na grade.
Muito disso aconteceu sem que as pessoas percebam. “Ninguém sabia que um anel solar de energia solar era há cinco anos”, observa Justin Pascale, consultor -chefe da Dragos, uma empresa de segurança cibernética especializada em sistemas industriais. “Agora estamos falando sobre isso em nível nacional e internacional”.
Deficiências de segurança e reclamações de clientes
Algumas figuras enfatizam até que ponto as casas individuais nos EUA se tornam usinas de energia em miniatura. De acordo com a Administração de Informações sobre Energia dos EUA, as instalações solares em pequena escala eram mais residenciais incontroladamente do que cinco vezes entre 2014 e 2022. O que antes era a província de defensores climáticos e os primeiros adotantes se tornaram mais populares na queda de custos, governamentais e uma crescente consciência das mudanças climáticas.
Evento do TechCrunch
São Francisco
|
27-29 de outubro de 2025
Cada instalação solar adiciona uma junção diferente a uma rede em expansão de dispositivos interconectados, cada um dos quais contribui para a independência energética, mas também se tornando um ponto de acesso potencial para alguém com intenção maligna.
Quando ele é impresso nos padrões de segurança de sua empresa, Showalter reconhece suas deficiências, mas ele também se dobra. “Este não é um problema de EG4”, diz ele. “Este é um problema amplo.” Durante uma chamada de zoom e, posteriormente, na caixa de entrada deste editor, ele produz um relatório de 14 páginas com uma catalogação de 88 divulgações para energia solar em aplicações comerciais e residenciais desde 2019.
Nem todos os seus clientes – alguns dos quais foram para o Reddit para reclamar – são simpáticos, especialmente em vista de que o conselho da CISA revelou erros de design fundamental: comunicação entre aplicativos de monitoramento e inversores que ocorreram em texto comum não codificado, firmware – updates que não tinham controle de integridade.
“Essas eram quedas fundamentais de segurança”, diz uma empresa da empresa, que pediu para falar anonimamente. “Adicionar insulto à lesão”, continua essa pessoa, “o EG4 nem se deu ao trabalho de me informar ou oferecer mitigações propostas”.
Questionado sobre por que os clientes do EG4 não avisaram imediatamente quando a CISA entrou em contato com a empresa, Showalter o chama de momento de “Live and Leather”.
“Como estamos tão próximos (ao enfrentar as preocupações de CISA) e é um relacionamento tão positivo com a CISA, iríamos ao botão ‘feito’ e depois aconselharmos as pessoas, por isso não estamos no meio do bolo que está sendo assado”, diz Showalter.
No início desta semana, o TechCrunch entrou em contato com a CISA para obter mais informações; A mesa não respondeu. Em seus conselhos sobre o EG4, a CISA afirma que “atualmente não há exploração pública conhecida sobre essas vulnerabilidades destinadas a essas vulnerabilidades”.
Conexões com a China façam problemas de segurança
Embora não esteja relacionado, o momento da crise de relações públicas do EG4 coincide com medos mais amplos sobre a proteção da cadeia de suprimentos de equipamentos para energia renovável.
No início deste ano, os funcionários da American Energy começaram a re -avaliar os riscos de dispositivos feitos na China depois de descobrir equipamentos de comunicação inexplicáveis em alguns inversores e baterias. De acordo com um estudo da Reuters, rádios celulares sem papéis e outros dispositivos de comunicação foram encontrados em equipamentos de vários fornecedores chineses – componentes que não apareceram em listas oficiais de hardware.
Essa descoberta relatada tem um peso especial, dada o domínio da China na produção de energia solar. A mesma história da Reuters observou que a Huawei é o maior fornecedor de inversores do mundo, bom para 29% das remessas em todo o mundo em 2022, seguidas pelos colegas chineses Sungrow e Ginlong Solis. Cerca de 200 GW de capacidade de energia solar européia está ligada a inversores fabricados na China, o que é aproximadamente igual a mais de 200 usinas nucleares.
As implicações geopolíticas não escaparam da notificação. O ano passado adotou uma lei que bloqueia o acesso chinês a instalações solares, de vento e bateria acima de 100 quilowatts, o que limita efetivamente o uso de inversores chineses. Showalter diz que sua empresa responde às preocupações dos clientes, começando da mesma maneira com os fornecedores chineses e aos componentes feitos por empresas em outros lugares, também na Alemanha.
Mas as vulnerabilidades descritas nos sistemas EG4 levantam questões que vão além das práticas de uma única empresa ou onde mantém seus componentes. A Agência Americana de Padrões Nist alerta que “se você controlar remotamente um grande número de inversores em casa Zonne -ZoneSteres e imediatamente fizer algo de Snodes que pode ter implicações catastróficas para a grade por um período mais longo”.
A boa notícia (se houver) é que, embora teoricamente possível, esse cenário experimenta muitas limitações práticas.
Pascale, que trabalha com instalações solares em escala de utilidade, observa que os inversores residenciais servem principalmente duas funções: converter eletricidade de energia direta para alternar e facilitar a conexão com a grade novamente. Um ataque enorme comprometeria um grande número de casas individuais ao mesmo tempo. (Esses ataques não são impossíveis, mas são mais propensos a se concentrar nos próprios fabricantes, alguns dos quais têm acesso remotamente aos formadores solares de seus clientes, como é aparente dos pesquisadores de segurança no ano passado.)
A estrutura regulatória que regula as instalações maiores atualmente não é aplicável a sistemas residenciais. Os padrões críticos de proteção contra infraestrutura da Corporação de Confiabilidade Eletricular Americana Americana atualmente se aplicam apenas a instalações maiores que produzem 75 megawatts ou mais, como fazendas solares.
Como as instalações residenciais caem tão abaixo desses limites, elas trabalham em uma zona cinza regulatória, onde os padrões de segurança cibernética permanecem sugestões e não os requisitos.
Mas o resultado final é que a proteção de milhares de pequenas instalações depende em grande parte do critério de fabricantes individuais que trabalham em um vácuo legal.
Em relação à questão da transferência de dados não codificada, por exemplo, uma razão pela qual o EG4 recebeu que os ataques da CISA, Pascale observa que em ambientes operacionais no campo da escala de utilidade são comuns e, às vezes, incentivados para fins de monitoramento de rede.
“Se você olhar para codificar em um ambiente corporativo, ele não é permitido”, explica ele. “Mas se você olhar para um ambiente operacional, a maioria das coisas é transferida para o texto normal”.
Em outras palavras, o cuidado real não é uma ameaça imediata a proprietários individuais. Em vez disso, está de acordo com a vulnerabilidade agregada de uma rede em rápido crescimento. Como a letra de energia é cada vez mais distribuída, com eletricidade que flui de milhões de pequenas fontes em vez de dezenas de grandes, a superfície de ataque cresce exponencialmente. Cada inversor representa um ponto de pressão potencial em um sistema que nunca foi projetado para compensar esse nível de complexidade.
Showalter adotou a intervenção da CISA como o que ele chama de “atualização de confiança” – uma oportunidade de distinguir sua empresa em um mercado movimentado. Ele diz que o EG4 trabalha com a agência desde junho para enfrentar as vulnerabilidades identificadas, reduzindo uma primeira lista de dez preocupações a três itens restantes que a empresa espera resolver em outubro. O processo refere -se à atualização de protocolos de transmissão de firmware, implementando verificação adicional de identidade para chamadas de suporte técnico e a re -designação de procedimentos de autenticação.
Mas para aqueles como o cliente anônimo EG4 que conversou com frustração com a reação da empresa, o episódio enfatiza a posição estranha na qual os adotantes solares estão localizados. Eles compraram o que entendiam como uma tecnologia amigável ao clima, apenas para descobrir que se tornariam participantes indesejados em um cenário de segurança cibernética que poucos entendem completamente.
