最近,新能源领域发生第一起针对光伏电站逆变器远程监控系统的黑客攻击事件。
01
网络黑客,这次盯上了逆变器
众所周知,逆变器是光伏电站的大脑和心脏。
2024年5月,日本工控电子制造商康泰克确认,有黑客组织攻击了该公司的太阳能电站中的800台康泰克所生产的远程监控设备。这是有史以来第一次针对光伏电站的网络攻击。
黑客的目的是勒索钱财。攻击者利用了尚未修补漏洞CVE-2022-29303的系统。该漏洞由 Palo Alto Networks于 2023 年 6 月发现。该网络安全公司表示,该漏洞正在被积极利用,以传播Mirai 僵尸网络。攻击者甚至发布了一个YouTube 视频,展示了他们在 SolarView 系统上的漏洞利用。Contec 随后于 2023 年 7 月 18 日修补了该漏洞。
韩国安全公司S2W在接受分析师采访时表示,发动此次攻击的组织是Arsenal Depository。在日本政府从福岛核电站排放受污染水之后,该黑客组织参与了针对日本基础设施的黑客攻击,S2W 称之为“日本行动”。
虽然这次发动攻击的黑客主要动机是经济利益,而不是破坏电站的运行,但在当前中美脱钩断链、发达国家对中国新能源设备设置高贸易壁垒的背景下,这次针对光伏电站的攻击可能为发达国家禁止中国新能源设备的进入提供了某些安全上的借口。
实际上,自从美国开启与中国的脱钩进程以来,发达国家对中国逆变器设备的安全性质疑就没有停止过。
早在2018年,美国前国土安全部部长汤姆·李奇就在一份报告中表示,外部供应商容易在逆变器中嵌入恶意软硬件,从而有机会通过控制多个逆变器来减少电力供应、控制电力流动或造成电涌。他建议为防止俄罗斯和中国利用供应链漏洞来攻击电力基础设施,应对外国逆变器厂商进行安全审查,同时美国政府特别是美国国防部,不应将外国制造的设备和部件纳入保障电网可靠性的电力设施中。
2018年8月,当时的美国总统特朗普就签署法案,禁止政府机构和承包商使用华为的电信产品。澳大利亚也在同月禁止华为参与5G网络建设。现在,华为已经彻底退出了美国逆变器市场。
2023年7月,澳大利亚反对党议员声称中国生产的并网逆变器存在网络安全漏洞,可能会被利用而造成电网破坏。他提供的一份所谓“可疑名单”中包括华为、阳光电源、固德威等中国企业。此前,这个议员已经成功说服澳大利亚政府拆除了海康威视的摄像头,并停止使用中国大疆无人机。
我们担心的是,发达国家以网络安全为借口,对中国占据优势地位的新能源产品的打压和抵制会不断扩大范围。今天是逆变器,明天可能就会是电池或其他产品。
2024年初,美国通过新法律,禁止国防部从2027年10月开始从宁德时代、比亚迪、远景能源、亿纬锂能、国轩高科、海辰储能等6家中国公司购买电池。虽然这次对国防部的禁令仅适用于国防采购,但会对商业应用产生影响,不排除未来美国企业在选择供应商时会延用这项禁令。
02
反制中国产品,安全成了一种借口
对于发达国家以安全为借口进行的抵制和无端打压,中国企业一直都在积极回应和澄清。
2019年初,针对美国政府的市场进入禁令,华为发出声明,表示:“作为全球领先的ICT和网络能源解决方案提供商,华为充分意识到网络安全的重要性。”
“截至目前,我们的产品和解决方案已在40多个国家安全稳定地投入使用,赢得了全球数万客户的信赖。我们从未收到过客户提出的任何网络安全指控。
“华为致力于为客户提供高质量的产品和服务。目前,华为太阳能逆变器的质量和可靠性高于行业平均标准。华为在美国销售的太阳能产品和解决方案符合美国当地的网络安全规则。
“网络安全与隐私保护是客户的基本诉求,也是华为为客户创造的核心价值。华为明确将网络安全与隐私保护作为公司的最高优先事项,保护客户的网络安全,确保全球客户安全稳定发展。
“华为遵守其运营所在地的所有适用法律法规,包括联合国、美国和欧盟适用的出口管制和制裁法律法规。”
针对2023年澳大利亚议员的攻击,固德威也在发送给RenewEconomy 的电子邮件中表示,“固德威坚定地致力于数据安全和网络安全。”
“鉴于最近人们对智能逆变器和中国在澳大利亚能源行业的所有权相关的安全风险感到担忧,我们向我们的客户、合作伙伴和消费者保证,我们会极其严肃地对待这些问题。
“透明度和合规性是我们企业价值观的核心。我们遵守中国和我们产品经销的其他国家的所有适用法律和法规。”
“我们公司独立运营,不受外部影响,我们可以向客户保证,我们的智能逆变器在制造时考虑到了最高的数据安全标准。”
2023年12月,宁德时代在官网上发布了关于安全问题的声明。声明中表示:“关于宁德时代电池构成安全威胁的指控是虚假的,具有误导性。”
“宁德时代在美国的业务和产品不收集、出售或共享数据,也不能直接与电网或任何其他关键基础设施交互。宁德时代遵循最高的商业和道德标准,并遵守宁德时代运营所在地区的法律和法规。我们的产品已通过严格的安全和安保审查,包括美国当局和企业的审查。
“宁德时代销往美国的储能产品仅包含“无源”设备,这些设备没有配备可能使宁德时代能够控制所售产品的通信接口。此外,宁德时代的美国产品不具备收集、传输或发送数据的能力,因此不会构成任何安全威胁。
“宁德时代的产品不能直接与美国电网互动或影响美国电网。宁德时代向美国集成商提供储能电池,由于是集成商管理与电网的连接,而电网运营商设置了一层额外的安全措施,因此宁德时代的产品无法与其交互。
“宁德时代致力于为绿色能源的未来提供动力,我们致力于与来自世界各地的国际合作伙伴透明地做到这一点。我们始终坚持我们产品的安全。
如果说逆变器还存在与监控软件的数据交互,那储能电池就完全不具有与外部网络的物理连接。
宁德时代的声明想表达的是,储能系统的网络连接由集成商控制,集成商可以选择他们认为安全的网络设备来管理储能系统。电池本身是不能与外部网络产生信息交换的,因而不会受到网络攻击的影响。
03
没有一家逆变器企业,会自掘坟墓
厂家与客户在网络安全问题上的利益是一致的
事实上,就算是对可能受到互联网攻击的逆变器来说,从厂家角度出发也不具有主动设置软硬件后门的动机。厂家的利益来源是客户,而不是像黑客一样从数据窃取和权限控制上获取利益,相反厂家希望最大限度地保证用户系统能够稳定运行,从而体现出自身产品的价值。全球这么多政府和企业的检测机构,如果有后门的话,厂家敢确信没有一家检测机构能发现所设置的后门吗?一旦被发现,厂家信誉将遭到严重打击。
有很多案例来观察产品安全性遭受破坏所导致的后果。
比如2008年美国次贷危机发生后,美国司法部要求瑞银集团交出美国客户名单,否则瑞银集团就可能遭到美国司法部起诉,甚至停止在美国营业。最终瑞银集团服软,交出了美国客户信息。在瑞银集团藏匿资产的美国客户只能补交税金、罚款。经此一役,瑞银集团保护用户信息的光环损失殆尽,全球超高净值客户的流失成为必然。
2021年时曾爆出,美国司法部要求苹果和谷歌公司提供用户相关的信息,包括电子邮件、电话号码等。苹果公司承认在不知情的情况下,提交了国会工作人员及其家人和至少两名国会议员的数据信息,而这只是司法部所要求的大量数据信息之一。这件事让苹果陷入了极其被动的舆论环境。而在同一泄密事件的调查中,谷歌并未按司法部的要求交出4名纽约时报记者的电子邮件数据。但司法部的信息请求一直在持续,甚至有些美国盟国也要求苹果和谷歌提供用户信息。在舆论压力下,到2023年末,苹果和谷歌都要求政府人员要先获得法院的授权,才能获取用户信息。
德业股份2023年遭遇了欧洲市场的重挫。起因是在德国销售的微逆产品中没有配置继电器,与其在德国的一项产品并网标准认证中的声明不符。继电器作为逆变器内部的冗余保护,可以在逆变器出现电路故障时,自动断开电路,使逆变器与电网脱开,从而保护用电安全。大多数国家并没有要求微逆中要配继电器,但德国的并网认证中有专门的要求。就是这么一项用电安全上的减配,使得德业的微逆产品在德国遭受大量退货,销量同比大幅下滑,逆变器库存飙升。可以想见,如果逆变器遭遇的是网络安全问题,其后果可能同样严重。
后记
在这个大趋势没有得到根本性扭转的情况下,未来中国的储能系统产品,包括电池、逆变器、控制系统、监控系统在内,将会遭遇发达国家越来越多的“找茬”。中国储能企业要对可能出现的外部环境的变化提前做好准备。
郑重声明:
赶碳号所有原创文章,未经授权,严禁转载、摘录、翻录视频及各种形式的变形传播。
