La UE está respondiendo a diversas acciones de los Estados europeos y una creciente preocupación por la ciberseguridad en el sector solar, a medida que crece el dominio del mercado de las empresas chinas de inversores y las energías renovables se integran cada vez más en la red eléctrica europea.
Según Uri Sadot, jefe del área de trabajo de digitalización de SolarPower Europe y ex director de ciberseguridad de SolarEdge, es probable que la UE haya publicado un proyecto de legislación de ciberseguridad para el sector a finales de año.
«Creo que para fin de año tendremos claridad. Veo voces tan fuertes y autorizadas que hacen declaraciones contundentes que todo estará terminado para fin de año», dice. Tecnología fotovoltaica premium. Sadot sugiere que en Bruselas se están llevando a cabo debates sobre la legislación y su implementación, y el resultado podría adoptar diversas formas.
Antes de cualquier legislación futura, Tecnología fotovoltaica premium se pregunta si Europa se ha tomado suficientemente en serio la ciberseguridad, qué tan grandes son los riesgos cibernéticos para el sector solar y qué impacto tendrá una mayor seguridad en la industria.
Tensiones geopolíticas
Europa está más expuesta a los riesgos de ciberseguridad derivados de los inversores solares que cualquier otra parte del mundo, según un informe de junio de la empresa de ciberseguridad Forescout. Identificó alrededor de 35.000 “dispositivos” solares (es decir, inversores, registradores de datos y monitores, entre otros) en todo el mundo que están expuestos al acceso externo a Internet. De ellos, el 76% estaban en Europa.
«Dada la geopolítica actual, todo es muy difícil en este momento», dice Erika Langerova, jefa de investigación en ciberseguridad de la UCEEB, un centro de investigación dependiente de la Universidad Técnica Checa en Praga. Tecnología fotovoltaica premium.
Datos de la plataforma del mercado fotovoltaico sun.store muestra que las empresas chinas actualmente tienen un dominio absoluto sobre el suministro europeo de inversores, pero muchas empresas chinas «quieren ser rápidas en el mercado y quieren vender inversores baratos», dice Langerova, «lo que significa que a menudo pasan por alto por completo la ciberseguridad y envían productos muy baratos pero muy inseguros».
Langerova ha realizado una extensa investigación sobre las amenazas a la ciberseguridad en el sector energético desde diversos ángulos, incluidos estudios de la investigación china sobre ataques a las redes europeas.
Mientras los países europeos y la Comisión Europea están empezando a tomar medidas legislativas, la UE, en su opinión, «tiene miedo de admitir que tenemos un problema con [dependence on] Porcelana.»
«Simplemente dicen ‘dependencia de fabricantes extranjeros’, pero todos sabemos que se trata de China. Y luego surge una serie de problemas de este enfoque, porque no se pueden tomar medidas de mitigación específicas, solo se tienen recomendaciones vagas».
Como lo describe Langerova, la red energética europea y la industria de las energías renovables están simultáneamente integradas y temerosas de la influencia china. Sostiene que la participación de grandes empresas chinas de energías renovables en las asociaciones comerciales y comités de estandarización de Europa, y el hecho de que la tecnología china haya permitido la transición energética de Europa, ha permitido que la situación llegue a su punto actual.
Una posición vulnerable
Langerova tiene claro que nada de esta prueba, o indica necesariamente, la intención de los grupos de hackers, como los citados por el gobierno checo, o la propia China, de atacar la red europea. De hecho, sostiene que los intereses económicos chinos en el mercado europeo son los hilos que impiden que caiga la espada de Damoclean del ciberataque.
“Europa ha cambiado una dependencia por otra”, dice, mientras Europa pasa de una dependencia de los combustibles fósiles rusos a las energías renovables chinas. Esta vulnerabilidad se ve agravada por el hecho de que no se cuenta con la infraestructura de seguridad y la protección necesarias.
«Todavía tenemos problemas básicos como credenciales débiles, contraseñas débiles y muchas vulnerabilidades en las plataformas en la nube para administrar esos inversores», dice.
«Necesitamos proteger estos sistemas», añade Sadot. “Tener una contraseña predeterminada [on an energy platform] Es una mala idea y todos deberían estar de acuerdo en eso. Incluso si China es el 28th mañana como estado miembro de la UE, debemos acordar que las puertas deben estar cerradas con llave y los sistemas energéticos críticos deben tener contraseñas seguras”.
China tampoco es el único atacante internacional potencial para la infraestructura solar de Europa; Resulta que esto hace que la mayoría de los sistemas digitales se implementen. Rusia es más agresiva hacia Europa que China, dice Langerova, y las vulnerabilidades en los inversores y las instalaciones del sistema de almacenamiento de energía en baterías (BESS) del continente podrían ser explotadas por malos actores de cualquier país.
Los riesgos de la ciberinseguridad
China no permite el control remoto de dispositivos en ninguna de sus redes, incluida la red eléctrica, según la ley del Esquema de protección multinivel (MLPS) 2.0 de 2019. Europa, sin embargo, no tiene ese nivel de protección.
Langerova dice que la principal fuente de riesgos de ciberseguridad es «la infraestructura de nube a la que están conectados los inversores», y el principal problema es el «acceso remoto».
La base de datos de vulnerabilidades de ciberseguridad Common Vulnerabilities and Exposures (CVE) enumera decenas de entradas bajo búsquedas de los principales fabricantes de inversores solares occidentales y chinos, y algunas vulnerabilidades supuestamente permiten el control remoto total de los inversores a través de infraestructura de nube o conexiones wifi.
«Tenemos problemas tan críticos que cuando atacas a ciertos proveedores… podrías crear un problema grave en la red eléctrica, lo que significa, como mínimo, apagones locales y, como máximo, un apagón a nivel nacional», dice Langerova. También es posible dañar sustancialmente los inversores mediante el acceso remoto, afirma, por ejemplo desactivando los ventiladores de refrigeración y provocando que el equipo se sobrecaliente.
Las posibles consecuencias son extremas, pero ¿qué posibilidades hay de que se produzca un ciberataque a los inversores europeos? Hay informes periódicos de ciberataques en otros campos; el Centro Nacional de Ciberseguridad del Reino Unidodirigido por la Sede de Comunicaciones del Gobierno del país (GCHQ), dijo la semana pasada que se obtuvo de 204 incidentes cibernéticos “de importancia nacional” en 2024, más de tres veces la cantidad en 2023, y de esos 18 se consideraron “altamente significativos… lo que significa que tenían el potencial de tener un impacto grave en los servicios esenciales”.
Crowdstrike, Sungrow e Iberia
«La red está cambiando», dice Sadot. «Y la mayor parte de la producción de energía no provendrá de grandes plantas con chimeneas. Provendrá de estos pequeños sistemas. Así que debemos asegurarnos de que sean inteligentes y estén protegidos».
Eso significa más puntos potenciales de vulnerabilidad digital. Sadot señala el incidente Crowdstrike de 2024, donde una actualización defectuosa de la empresa estadounidense de ciberseguridad Crowdstrike bloqueó inadvertidamente alrededor de 8,5 millones de sistemas informáticos. «Fue un error humano, los aeropuertos quedaron atascados y los aviones no despegaron», dice.
También menciona un incidente de 2023 en el que el fabricante chino de inversores y BESS, Sungrow, envió una “mala actualización” y alrededor de 800 sistemas de almacenamiento de energía fallaron.
Sungro dijo Tecnología fotovoltaica premium que sus productos son «probados periódicamente por expertos en seguridad independientes» y que sus servidores están «completamente alojados en un centro de datos compatible con GDPR ubicado en Frankfurt, Alemania, lo que garantiza que todos los datos permanecerán dentro de la Unión Europea».
En mayo, el gobierno español públicamente Descartó un ciberataque como la causa del apagón de este año en la Península Ibérica, en el que partes de la red española y portuguesa se apagaron durante horas, pero Sadot todavía tiene preocupaciones de ciberseguridad por el incidente.
Sadot continúa: «Mire… He leído cada palabra de la investigación del apagón en España. Aún no está claro qué pasó y la causa raíz. Aún no está claro. Podría ser un ciberataque; habiendo estado en ese mundo, se podría enmascarar algo como si fuera un ciberataque sin evidencia clara».
«A fin de cuentas, si miras hacia el futuro a diez o veinte años, no querrás construir una roja continental que sea tan arriesgada», dice Sadot.
Una característica preocupante del panorama de la ciberseguridad es la idea de “posicionamiento previo”, que es donde los piratas informáticos (ya sean respaldados por el estado o no) pueden obtener acceso a los sistemas de infraestructura sin instalar malware y pueden permanecer allí, inactivos y sin ser. detectados.
Las agencias de seguridad de Estados Unidos y el Reino Unido han advertido sobre los riesgos de que China se posiciona previamente antes de los ciberataques, y Langerova describe la práctica como “una buena ventaja”.
“[Pre-positioned actors] «Puedo simplemente decir ‘Estoy controlando tu infraestructura, harás lo que te diga, de lo contrario te cerraré'», dice. «La gente suele decir que el escenario de cierre no es realista, pero el mero hecho de que puedan tener esta capacidad se percibe como un gran problema en la comunidad de seguridad».
Cuando se le preguntó si es probable que haya una amenaza preposicionada en la infraestructura energética europea en la actualidad, Langerova dice que esto requeriría un “análisis forense realmente difícil” para determinarlo, pero señala los ciberataques Salt Typhoon y Vault Typhoon, perpetrados por actores de amenazas persistentes (PTA) supuestamente vinculados a China en las telecomunicaciones y la infraestructura militar de EE.UU. UU.
«La gente suele pensar que esto sólo estaba sucediendo en Estados Unidos, pero también tuvimos problemas con los tifones en Europa. Sabemos que al menos intentaron hacer cosas similares para infiltrarse en infraestructuras críticas, de la misma manera que lo hicieron en Estados Unidos».
En resumen, Europa no debería descartarlo.
Implicaciones para la industria solar
Una forma de reducir el riesgo de ciberataques por parte de países fuera de Europa sería apoyar a los fabricantes europeos de inversores.
Si bien han estado luchando durante el último año, con muchos actores no chinos anunciando pérdidas financieras y rondas de recortes de empleo a medida que el mercado cambia y sus productos se ven socavados por importaciones más baratas, el organismo comercial, SolarPower Europe, ha pedido Mayor apoyo a los fabricantes de inversores del continente. y por mayores medidas de ciberseguridad.
Pero no es la única manera. Siguiendo a los gobiernos checo y lituano, la aparentemente próxima legislación de la UE podría ir en varias direcciones. Sadot dice que el más dramático de ellos sería el retiro del mercado de productos para inversores considerados inseguros. «Va a ser un gran drama, por supuesto, habrá mucha oposición política».
Incluso Lituania, “que es un país muy agresivo con relaciones amargas con China”, dice Sadot, limitó las retiradas de inversores en sistemas de 100 kW o más para evitar que millas de propietarios tuvieran que reemplazar sus productos “en un año electoral”.
Dado que hay «gradaciones» de retirada, que podrían incluir prohibir que los inversores se conecten directamente a Internet, excepto a través de un «controlador local».
«Las medidas más laxas serán algo así como establecer un estándar», dice, presumiblemente no del tipo que Langerova ha criticado anteriormente por ser «vago».
Lo más probable es que las mejoras en la ciberseguridad requieran «una creciente adopción del cambio de paradigma; que es infraestructura crítica», dice Sadot.
«No importa si se trata de una gran chimenea o un millón de pequeños inversores; es una inf raestructura crítica». Ese “paradigma” introduciría las auditorías y controles de seguridad en torno a la tecnología y la inversión extranjera directa que vienen con la etiqueta de infraestructura crítica.
Dice que se está «discutiendo» la posibilidad de introducir restricciones en los puntos de interconexión, por lo que la Red Europea de Operadores de Sistemas de Transmisión (ENTSO-e) dice que nada que supere un cierto umbral, que esté vinculado a un centro de datos en otro lugar del mundo, o que tenga credenciales de autenticación o contraseña débil, pueda conectarse a la red. Esta sería una medida similar a la ley MLPS de China.
En ese caso, “sus contratos de participación en el mercado serán nulos, no podría participar en los mercados de carga/descarga de baterías si no cumple con esos criterios”, afirma. «Es un mecanismo de aplicación muy fuerte que no necesita todo el alboroto legislativo».
Cualquiera que sea la forma que adopte la legislación, Europa parece estar despertando a los riesgos de ciberseguridad asociados a la energía solar. y. Pero los impactos sobre la propia industria solar no están claros. Sadot predice un camino relativamente tranquilo en el que las empresas chinas “ceden el control crítico” en respuesta a cambios en la legislación, pero las evaluaciones de Langerova sobre las tensiones geopolíticas en la relación de Europa con la tecnología china pueden complicar el panorama.
