Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor.
Dünyanın önde gelen siber güvenlik çözümleri sağlayıcılarından biri olan Trend Micro, dağıtılmış enerji sistemlerinin BT güvenliğini inceleyen yeni bir rapor yayınladı. Araştırmacılar özellikle merkezi olmayan enerji üretiminin en popüler biçimlerinden biri olan güneş enerjisi sistemlerinin ağ geçitlerini incelediler. Elektrik arzının giderek merkezileşmemesi, yalnızca enerji geçişindeki ilerlemeyi temsil etmekle kalmıyor, aynı zamanda yeni güvenlik sorularını da gündeme getiriyor.
Bazı güneş enerjisi sistemlerinin güvenlik riskleri vardır
Enphase, Outback, Phocos, Sol-Ark ve Victron gibi önde gelen üreticilerin sistemleri üzerinde yapılan çalışmada, bu sistemlerin siber güvenliğin nasıl tasarlandığına odaklanıldı. Özellikle güneş enerjisi ve fotovoltaik sistemlerin popülaritesi, BT güvenliğine olan ilginin artmasına neden oluyor. Outback ve Phocos sistemlerinde herhangi bir güvenlik açığı olmasa da araştırmacılar diğer tesislerdeki farklı güvenlik risklerini tespit edebildiler.
Veri aktarımı sırasında şifreleme eksikliği ve standart şifrelerle ilgili sorunların yanı sıra, potansiyel olarak güvenli olmayan ürün yazılımı güncellemeleri de risk oluşturuyor.Testteki bazı sistemler, uzaktan kapatılmaları veya yeniden yapılandırılmaları gibi saldırılara karşı da savunmasızdı. İncelenen iki sistem aynı zamanda yerel ağdaki tüm veri trafiğini güvenilir olarak sınıflandırmıştır. Bu, sistemin yanlışlıkla internete bağlanması durumunda risklere yol açabilir. Ek olarak, bazı güneş enerjisi sistemlerinin tam konumu, Erişim Noktası (AP) taramalarına yetkisiz erişim yoluyla belirlenebilir. Acil bir durumda bu, siber saldırganların spesifik olarak belirli bölgeleri hedeflemesine olanak tanıyacaktır.
Veri güvenliği ve konum bağımlılığı
Güvenlik araştırmacıları, bulut hizmetlerini kullanırken veri egemenliği ve depolama konumu sorunlarını da değerlendirdi. Üreticiye bağlı olarak bazı sistemler, örneğin ABD veya AB'deki Amazon Web Services'e (AWS), Brezilya'daki Microsoft Azure'a, Çin'deki Alibaba Cloud'a veya Hollanda'daki veri merkezlerine veri aktarır. Bu aktarımlar, ilgili bulut hizmeti sağlayıcılarına ve onların güvenlik önlemlerine yüksek düzeyde güven gerektirir. Hassas bilgilerin uluslararası sınırların ötesine aktarılması yalnızca teknik güvenilirliği değil, aynı zamanda farklı veri koruma düzenlemelerine uyumu da gerektirir. Bu, merkezi olmayan enerji üretimi bağlamında veri güvenliğinin karmaşıklığını ve küresel doğasını göstermektedir.
Bireysel olarak maruz kalan cihazların, dağıtılmış enerji tedariğinde yaygın kesintilere neden olması pek olası değildir. Bunun yerine saldırganlar, birden fazla cihazı aynı anda yöneten ve kontrol eden bulut hizmetlerini kötü amaçlarla kontrol etmek için hedefleyebilir. Bu tür saldırıların önlenmesi için bulut sağlayıcıların güvenlik önlemleri de aynı derecede önemlidir.
Siber suçlular, kimlik avı, kaba kuvvet şifreleri kullanma veya bilinen güvenlik açıklarından yararlanma gibi yöntemlerle uzaktan yönetim özelliklerine sahip kullanıcı hesaplarını ele geçirebilir. Erişim sağladıktan sonra, eğer bulut hizmetleri buna izin veriyorsa, mevcut verileri manipüle edebilir ve güneş enerjisi sistemlerini uzaktan kontrol edebilirler.
Güneş enerjisi sistemlerinin korunmasına yönelik öneriler
Trend Micro'nun güvenlik araştırmacıları, sistem operatörlerini ve teknisyenleri desteklemek için net eylem önerileri sunuyor:
- Uzaktan erişim sınırlaması: Kontrol arayüzüne uzaktan erişimin sınırlandırılması önerilir. Özellikle sistemlerin internete doğrudan maruz kalmasından kaçınılmalıdır.
- Şifre koruması: Varsayılan şifreleri değiştirmek ve şifre korumasını etkinleştirmek, yetkisiz erişimi önlemek açısından çok önemlidir.
- Ağ arayüzünün ayrılması: Araştırmacılar ayrıca potansiyel saldırılara karşı savunmasızlığı azaltmak için invertörlerin ağ arayüzünün diğer yerel ağlardan ayrılmasını da öneriyor.
- Harici BT güvenliği uzmanlarıyla işbirliği: En iyi güvenlik uygulamalarını takip etmeniz ve harici BT güvenliği uzmanlarıyla çalışmayı düşünmeniz tavsiye edilir.
Trend Micro Avrupa Güvenlik Evangelisti Udo Schneider, "Araştırma sonuçları, merkezi olmayan enerji üretiminin değişen ortamında dengeli bir BT güvenliği yaklaşımının önemini vurguluyor" dedi. “Yenilenebilir enerjinin entegrasyonu sadece teknik yenilikleri değil, aynı zamanda bu sistemlerin sorunsuz çalışmasını ve güvenilirliğini sağlamak için güvenlik hususlarının da dikkatli bir şekilde değerlendirilmesini gerektiriyor. Siber güvenlik, verimli bir enerji tedariğinin sağlanmasında önemli bir rol oynuyor.”
TrendMicro.com'da daha fazlası
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.
Konuyla ilgili makaleler