Como seu telhado solar se tornou uma questão de segurança nacional

James Showalter descreve um cenário de pesadelo bastante específico, se não totalmente implausível. Alguém dirige até sua casa, quebra sua senha Wi-Fi e começa a mexer com o inversor solar montado ao lado da sua garagem. Esta caixa cinza despretensiosa converte a corrente direta de seus painéis na cobertura na corrente alternada que alimenta sua casa. “Você precisa ter um perseguidor solar” para que esse cenário seja reproduzido, diz Showalter, descrevendo o tipo de pessoa que precisaria aparecer fisicamente em sua entrada com o know-how técnico e a motivação para invadir seu sistema de energia doméstica. O CEO da EG4 Electronics, uma empresa com sede em Sulphur Springs, Texas, não considera essa sequência de eventos particularmente provável. Ainda assim, é por isso que sua empresa na semana passada se encontrou no centro das atenções, quando a agência de segurança cibernética dos EUA, CISA, publicou uma consultoria de vulnerabilidades de segurança detalhando os inversores solares do EG4. As falhas, observou a CISA, poderia permitir que um invasor tenha acesso à mesma rede que um inversor afetado e seu número de série para interceptar dados, instalar firmware malicioso ou assumir o controle de todo o sistema. Para os cerca de 55.000 clientes que possuem o modelo de inversor afetado do EG4, o episódio provavelmente parecia uma introdução perturbadora a um dispositivo que pouco entende. O que eles estão aprendendo é que os inversores solares modernos não são mais simples conversores de energia. Eles agora servem como espinha dorsal das instalações de energia doméstica, monitorando o desempenho, comunicando -se com empresas de serviços públicos e, quando há excesso de poder, alimentando -o de volta na grade. Muito disso aconteceu sem que as pessoas percebam. “Ninguém sabia o que diabos um inversor solar era há cinco anos”, observa Justin Pascale, consultor principal da Dragos, uma empresa de segurança cibernética especializada em sistemas industriais. “Agora estamos falando sobre isso em nível nacional e internacional.” Deficiências de segurança e queixas de clientes Alguns dos números destacam o grau em que as casas individuais nos EUA estão se tornando usinas de energia em miniatura. De acordo com a Administração de Informações sobre Energia dos EUA, as instalações solares em pequena escala-principalmente residenciais-cresceram mais de cinco vezes entre 2014 e 2022. O que antes foi a província de defensores climáticos e os primeiros adotantes se tornaram mais populares devido à queda de custos, incentivos governamentais e uma crescente consciência das mudanças climáticas. Evento do TechCrunch São Francisco | 27-29 de outubro de 2025 Cada instalação solar adiciona outro nó a uma rede em expansão de dispositivos interconectados, cada um contribuindo para a independência energética, mas também se tornando um ponto de entrada potencial para alguém com intenção maliciosa. Quando pressionado sobre os padrões de segurança de sua empresa, Showalter reconhece suas deficiências, mas também desvia. “Este não é um problema de EG4”, diz ele. “Este é um problema em todo o setor.” Durante uma chamada de zoom e, posteriormente, na caixa de entrada deste editor, ele produz um relatório de 14 páginas que cataloga 88 divulgações de vulnerabilidades de energia solar em aplicações comerciais e residenciais desde 2019. Nem todos os seus clientes-alguns dos quais se referem a reclamação de que se reclamam entre a comunicação, principalmente, como a Aplicações de Settels, que se referem, que são relatados, que são de que as falhas de design não são de que as falhas de relevantes-são significativas, que não são de que as falhas de falhas de design de que são revertidas entre as que se queixam entre as falhas de design, que são significativas, que não são de que as falhas de falhas de falhas de design e a CISA e da CISA e que se reviam em que a CISA e a base de falhas de design e a CISA e as falhas de design da CISA e da CISA e a CISA e as que se reviam. Isso não possuía verificações de integridade e procedimentos de autenticação rudimentar. “Esses eram lapsos fundamentais de segurança”, diz um cliente da empresa, que pediu para falar anonimamente. “Adicionando insulto à lesão”, continua esse indivíduo, “o EG4 nem se deu ao trabalho de me notificar ou oferecer mitigações sugeridas”. Questionado sobre por que o EG4 não alertou os clientes imediatamente quando a CISA entrou em contato com a empresa, Showalter chama isso de um momento de “Live and Learn”. “Porque estamos tão perto [to addressing CISA’s concerns] E é um relacionamento tão positivo com a CISA, íamos chegar ao botão ‘feito’ e, em seguida, aconselhar as pessoas, por isso não estamos no meio do bolo sendo assado ”, diz Showalter. O TechCrunch alcançou a CISA no início desta semana para obter mais informações; a agência não respondeu. Em seu consultor, a CISA é mais conhecida, a mais que não foi relatada, a CISA, que não foi relatada, não foi relatada como um número de informações sobre a CISA, que“ não há mais informações sobre a CISA, não há mais informações que não foram relatadas, em sua consultoria. As conexões com a China provocam preocupações de segurança, enquanto não relacionam, o momento da crise de relações públicas do EG4 coincide com ansiedades mais amplas sobre a segurança da cadeia de suprimentos de equipamentos de energia renovável. Fornecedores chineses – componentes que não apareceram nas listas de hardware oficial. A China, que é aproximadamente equivalente a mais de 200 usinas nucleares. As implicações geopolíticas não escaparam. Mas as vulnerabilidades CISA descritas nos sistemas do EG4 levantam questões que se estendem além das práticas de qualquer empresa ou onde aborda seus componentes. As boas notícias (se houver algum) é que, teoricamente, esse cenário enfrenta muitas limitações práticas. É provável que envolva o direcionamento dos próprios fabricantes, alguns dos quais têm acesso remoto aos inversores solares de seus clientes, como evidenciado pelos pesquisadores de segurança no ano passado.) A estrutura regulatória que governa as instalações maiores não se estende a se estender atualmente a sistemas residenciais. Limiares, eles operam em uma zona cinza regulatória, onde os padrões de segurança cibernética permanecem sugestões, em vez de requisitos. Ambientes operacionais, transmissão de texto simples é comum e às vezes incentivado para fins de monitoramento de rede. Coloque de outra maneira, a verdadeira preocupação não é uma ameaça imediata para os proprietários individuais A intervenção da CISA como ele chama de “atualização de confiança” – uma oportunidade para diferenciar sua empresa em um mercado lotado. Procedimentos.

Fonte