מערכות סולאריות ואבטחת סייבר
העלייה בהתקנת מערכות סולאריות שמפיקות למעלה מ-15 קילוואט שעה הולכת וצוברת תאוצה בישראל ובעולם. יותר ויותר מדינות פועלות אקטיבית בכדי לעודד את התקנתן של המערכות הללו במטרה לעמוד ביעדים הבינלאומיים בתחום האנרגיה המתחדשת או – בהתאם לשיח החדש בתחום - להגשים "עצמאות אנרגטית". כשהמגמות האלה פוגשות רציונאל עסקי, השמיים הם הגבול (תרתי משמע).
ככל שהמערכות הסולאריות מתפתחות ברמה הטכנולוגית, כך הן נשענות יותר ויותר על אלמנטים חדשניים של תוכנה וחומרה. כבר היום, למשל, יש למעלה מ-50 יישומים פוטנציאליים של בינה מלאכותית באנרגיה מתחדשת ואין ספור ספקים סולאריים שמשלבים AI במוצרים שלהם.
יותר טכנולוגיה, יותר חשיפה לתקיפות סייבר
הצד השני של המשוואה הוא הגדלת החשיפה לפריצות ותקיפות סייבר. נושא שבחברת סולאראדג' שמים עליו דגש מיוחד ומשקיעים בו משאבים רבים. במאמר הקצר הבא נסקור את איומי הסייבר המרכזיים שעומדים בפני מערכות סולאריות. נעסוק מעט גם בפעילות של מדינות שונות בדרך להתמודד עם איומי סייבר וניגע בפתרונות מומלצים.
בישראל, שנמצאת תמיד תחת איומי סייבר לאור מעמדה הגיאו-פוליטי, הדברים נאמרים ביתר שאת. הסיכונים העסקיים והפליליים הנובעים מתקיפות סייבר משתלבים אצלנו לעיתים קרובות עם אלמנטים של טרור של ממש.
לפי מערך הסייבר הלאומי, בשנת 2024 חוותה ישראל למעלה מ-17,000 תקיפות סייבר אשר יותר מ-10% מתוכן הוגדרו כהתקפות "בעלות פוטנציאל נזק משמעותי". עלייה של כ-24% (!) ביחס ל-2023. לגבי ענף הסולאר נציין שיותר מ-200 מהדיווחים שהגיעו בשנת 2024 למוקד 119 של מערך הסייבר הלאומי היו ממגזרי "אנרגיה ומים" (ממוצע של יותר מדיווח בכל יומיים). רק לפני מספר שנים דווח שהותקפו תשתיות מים חיוניות בישראל (מכוני שאיבה, טיהור וביוב) על ידי האקרים איראניים.
הממיר הסולארי - נקודת עוצמה ונקודת התורפה
נקודת הפריצה העיקרית של מערכות סולאריות, המסחריות והפרטיות, היא הממיר שמתפקד בתור "המוח" של המערכת כולה. הדברים באים לידי ביטוי באופן ספציפי במערכות סולאריות שהן גדולות, מורכבות, משולבות אגירה ו/או פרוסות על פלטפורמות שונות. למשל, שילוב של מספר גגות סולאריים או אתרים מבוזרים תחת אותו לקוח (ואותה מערכת ניהול אנרגיה).
מערכות סולאריות מסחריות הן מטרה מועדפת על ידי האקרים לאור הכיס העמוק והנתונים שהן כוללות (בניגוד, למשל, למערכת על גג של בית פרטי, אם כי גם מערכות אלה חשופות לפריצות שיכולות להסב נזק עצום).
מערכות מסחריות גדולות עובדות עם תוכנה לניהול אנרגיה, Energy Management System, המהווה גם היא לצד הממיר, מטרה אפשרית לתקיפות סייבר. פריצה למערכת סולארית באמצעות מתקפת סייבר מגלמת בחובה סיכונים שונים ומגוונים. החל מסיכונים שקשורים לסחיטה וכופר ועד אפילו לנזקים פיזיים. למשל:
- פריצה לרשת הארגונית דרך הממיר: מתקפה שמנצלת את היות המערכת הסולארית "החוליה החלשה בשרשרת" ולהיכנס דרכה לרשת הארגונית של בית העסק, הכוללת נתונים רגישים.
- פריצה ונעילת המערכת: מתקפה שמנצלת פרצת אבטחה לא בכדי לגנוב נתונים, אלא בכדי לנעול את המערכת ולאיים בהשבתתה המוחלטת, אלא אם יישלח כופר (כמו ביטקוין לכתובת של הפורצים).
- פריצה לטובת שיבוש אספקת החשמל וגרימת נזק: מתקפה שמשתלטת על יכולות ייצור האנרגיה של המערכת ומנתבת אותן באופן שייצור נזק למערכת ולבית העסק.
- פריצה לטובת שיבוש אספקת חשמל ברמה ארצית: מתקפה משולבת על מספר רב של מערכות בו זמנית בכדי לגרוע יכולות ייצור חשמל בכמויות נרחבות מהרשת הארצית בבת אחת, באופן שיכול לגרום לעלטה ממושכת.
- השפעה על יציבות הרשת: התקפה שמביאה לשינויים בלתי צפויים בזרימת החשמל, כגון העלאת או הורדת כוח, מה שמוביל למתיחות או לחוסר יציבות ברשת החשמל.
- התקפת מניעת שירות (DDoS): מתקפת ונדליזם שמטרתה להעמיס על מערכות הניהול והבקרה ובכך להשבית את פעילות המערכת.
איך האקרים פורצים למערכות סולאריות?
האקרים מנצלים פגיעויות במתקני סולאר דרך שיטות תקיפה שונות. תקיפות של רכיבים מחוברי אינטרנט (IoT) הינן נפוצות מאוד ובמקרה של מערכות סולאריות מכוונות לממירים, אשר לעיתים קרובות מחוברים לאינטרנט עם אבטחה חלשה.
האקרים מתמחים בניצול פגיעויות כגון סיסמאות ברירת מחדל (למשל, 12345678), או חולשות אבטחה ידועות בקוד המקור של הממיר, וזאת בכדי לתמרן מערכות, לשבש תקשורת, להשבית מכשירים וכו'.
מערכות סולאריות חשופות גם לתקיפות Wi-Fi המצריכות קרבה פיזית למערכת, ומנצלות רשתות אלחוטיות לא מוצפנות או בעלות סיסמא חלשה. האקרים יכולים להיכנס דרך "סדקים אלה" ולשבש פעולות, לגנוב נתונים, לדרוש כופר ולגרום לנזק.
ישנן גם תקיפות שבהן האקרים מתמקדים דווקא בספקי צד שלישי שאין להם בקרת כניסה ראויה ודרכם ההאקר יכול לקבל גישה לרשת הסולארית. דוגמאות לכך יכולות לכלול מודמים חיצוניים, בקרי נתונים או שירותי צד ג' לניטור ואבחון תקלות במערכות סולאריות. מדובר כמובן בדוגמאות שהן בבחינת קצה הקרחון בלבד.
התלות בממירי Low-Cost והסכנה שטמונה בהם
אחת הבעיות במאבק כנגד מתקפות סייבר בענף הסולארי היא התלות במוצרי Low Cost. מוצרים שזמינים אמנם בעלויות אטרקטיביות, אך שרמת האבטחה שלהם נמוכה משמעותית ביחס למוצרים ותיקים בשוק. בשנים האחרונות, שוק הממירים חווה הצפה של מוצרי Low Cost, שמקורם בעיקר מסין ואשר מאופיינים ברמת אבטחת סייבר נמוכה.
אם נחזור שוב לנקודה הישראלית, חוסר היציבות הביטחונית באזור מגביר את הצורך ביכולת מוגנת לייצר חשמל ובעצמאות אנרגטית ישראלית. למערכות סולאריות יש פוטנציאל להיות המפתח לביטחון אנרגטי בישראל, אבל לשם כך נדרשת רמת אבטחה בסיסית וחוסר תלות בייצור החשמל.
במאמר מוסגר נציין למשל את היתרון שבהיעדר תלות של הממירים בתקשורת שיוצאת מהארץ וחוזרת, כך שגם אם ישראל תנותק מתקשורת עולמית, המערכות הסולאריות תמשכנה לעבוד (כמו המערכות של סולאראדג', לדוגמה). הסתמכות ישראל על יצרנים זרים לצורך ציוד סולארי לא הייתה עד לאחרונה לסוגיה מרכזית, שכן תרומת הסולאר למערכת החשמל המקומית הייתה מוגבלת.
בשנים האחרונות חלה עלייה ניכרת בייצור החשמל מאנרגיות מתחדשות ועמה גדלה גם החשיפה לסיכונים. הגידול במספר מתקפות הסייבר על תשתיות החשמל הישראליות מאז ה-7 באוקטובר מעורר (בצדק רב) חששות מפני ניצול פרצות אבטחה בהתקנים חשמליים בידי מדינות זרות או גופים הפועלים מטעמן.
לפרוץ למערכת סולארית עם טלפון נייד?
ישראל איננה לבד במערכה ומדינות רבות מתמודדות כאמור עם האתגר.
רק לא מזמן, בכנס אבטחת מידע שנערך בליסבון, הציג החוקר היווני, ואנגליס סטיקאס, כיצד מתקפות סייבר יכולות לגרום לשיבושים רחבי היקף בפעילות מאות אלפי ממירים סולאריים ועמדות טעינה לרכבים חשמליים, ובכך לאיים על יציבות רשתות חשמל ארציות.
סטיקאס זיהה מגוון עצום של ליקויי אבטחה חמורים בממירים מתוצרת המזרח הרחוק של מותגים מהגדולים ביותר בעולם. הוא מצא שהליקויים קשורים בעיקר להיבטים בעייתיים בפרוטוקולי התקשורת של הממירים, מה שעלול לאפשר לתוקפים להתערב בפעולתם ולנצל את החיבור שלהם למערכות ניהול האנרגיה החיצוניות. יתרה מזו – סטיקאס הזהיר שהכניסה לחלק משמעותי מהפרצות לא דרשה ממנו יותר מטלפון נייד ומחשב נייד (!).
הולנד, ארה"ב, ליטא, אירופה ועוד
ממשלת הולנד התריעה כבר לפני שנתיים מפני סכנות סייבר הקשורות לממירי Low Cost, בשל החשש מפגיעותם למתקפות. אזהרה שהגיעה בעקבות ממצאיו של חוקר אבטחת מידע מקומי, שהצליח לחדור ללא קושי לממירים המחוברים למערכת ניטור של חברה סינית. בדיקה שהעלתה גישה למידע רגיש של משתמשים, כולל פרטים אישיים ונתוני צריכת חשמל.
הרגולטור ההולנדי ערך בעקבות כך בדיקה לתשתיות דיגיטליות של תשעה ממירים סולאריים שונים, וגילה כי כולם סובלים מחולשות אבטחה חמורות. הממצאים העלו שהממירים עלולים לשמש יעד לפריצות שיאפשרו השבתת מערכות מרחוק, גניבת מידע ואף פגיעה במכשירים סמוכים, כולל אמצעי תחבורה כגון אוניות ומטוסים.
ליטא היא דוגמה מצוינת נוספת, לאחר מתקפת סייבר פרו-רוסית על חברת החשמל הליטאית בפברואר 2024. תקיפה שהובילה את הפרלמנט הליטאי לאסור על מדינות המסווגות כאיום על הביטחון הלאומי לגשת מרחוק להתקני שמש, רוח ואגירה.
המדינה החלה ממאי 2025 איסור מוחלט על שיווק של ממירים סולאריים בליטא מסין ומעוד כמה מדינות הנחשבות ליריבות לפי החוק המקומי שהממירים שלהן אינם עומדים בתנאי אבטחה בסיסיים. מתקנים קיימים יהיו מחויבים בניתוק ממירים שאינם תואמים את התנאים הללו.
ההחלטה צפויה להסב נזק כלכלי לבעלי עסקים שבחרו לפני כמה שנים בפתרון Low Cost, ולא שיערו בנפשם שבעוד כמה שנים תוחל רגולציה רטרואקטיבית ושהם ישלמו את המחיר. ייתכן שזו גם נורת אזהרה עבורנו בישראל.
גם ה-SolarPower Europe – האגודה הסולארית המובילה באירופה – הצהירה שהאיחוד האירופי חייב לפעול בהקדם לאכיפת סטנדרטים גבוהים של אבטחת סייבר על יצרני הממירים הסולאריים על מנת להגן על אבטחת האנרגיה.
בארה"ב פרסם ה-FBI אזהרה מפני האקרים שפוגעים בתשתיות קריטיות, ובמיוחד במערכות סולאריות ביתיות ועסקיות, תוך ציון התלות הגוברת במקורות ירוקים והיעדר פרוטוקולים ותקנות אבטחת סייבר מספקים.
מינהל הסייבר הלאומי האמריקאי (ONCD), היושב בבית הלבן, פרסם מפת דרכים המתארת את הטכנולוגיות הקריטיות הזקוקות לאבטחת סייבר ככל שמתגבר המעבר לאנרגיה ירוקה, כולל זיהוי קטגוריות מוצרים וסימון הסכנה הטמונה בממירים סולאריים ומטענים לרכבים חשמליים, הדורשים תשומת לב מיוחדת.
האחריות המוטלת על החברות המייצרות את המערכות הסולאריות
סולאראדג' הינה ספקית ויצרנית מובילה של מערכות סולאריות ומאמינה שגם על החברות היצרניות בתחום מוטלת אחריות להבטיח את אבטחת הסייבר של התעשייה, והיא כבר מיישמת זאת במוצריה. בעידן שבו אנרגיה מתחדשת הופכת לחלק בלתי נפרד מתשתיות חשמל קריטיות, אנו סבורים שיש לחברות היצרניות תפקיד מתוך תחושת שליחות.
ככל שהרגולוציה לא מספיקה לעמוד בקצב של הטכנולוגיה הדוהרת, מוטל על יצרני הממירים להבין שהם לא רק מייצרים מוצר, אלא בונים תשתית חיונית. עליהם להעדיף השקעה בטכנולוגיות אבטחת סייבר על פני חיסכון בעלויות ורווחים גבוהים יותר, וזאת בכדי להבטיח את היציבות, הבטיחות והעתיד של המערכות הסולאריות ברחבי העולם.
כך גם עסקים וצרכנים שמשקיעים באנרגיה סולארית צריכים להיות מודעים לסיכוני הסייבר, לבחור בספקי ציוד מהימנים ולבחון היטב את ספקי הציוד שלהם. כך, למשל, מומלץ תמיד לשאול:
- מי יכול לגשת מרחוק ולשלוט במערכת הסולארית (למשל, כדי להתקין עדכוני תוכנה)?
- היכן מאוחסנים הנתונים שנאגרים על-ידי המערכת הסולארית?
- כיצד הנתונים שלי מוגנים?
- כיצד המערכת שלי מוגנת?
- כיצד הרשת של העסק שלי מוגנת, בעוד שהמערכת הסולארית נמצאת בה?
- האם הספק שאני בוחר בו נחשב למוביל בתחום אבטחת הסייבר, ויעמוד ברגולציה עתידית?
- ועוד.
אי-הקפדה על בדיקות אלו עלול להוביל למצב שבו המערכת אינה פועלת כראוי, או גרוע מכך – לרכישת מערכת סולארית מיצרן שאיננו שם דגש על התאמת המערכת לדרישות האבטחה המתהוות בעולם, מה שעלול לחייב החלפה מוקדמת ולפגוע בתשואה על ההשקעה.
לסיכום, כולנו - יצרנים, מתקינים ולקוחות – צריכים לפעול מתוך מודעות ואחריות, בכדי להבטיח שהעתיד של האנרגיה הסולארית יהיה לא רק ירוק, אלא גם בטוח.
