儘管再生能源是實現全球淨零排放目標的一關鍵要素,但現實上,仍有許多待努力之處以確保再生能源能夠作為值得依靠的安全能源。有鑒於太陽能被視為未來全球主要能源之一,SolarEdge Technologies 網路安全專案主管暨長期投身於網路安全的專家 Uri Sadot 闡述了為何廠商、企業、電網營運商及政府日漸重視網路安全是保障能源安全未來的關鍵原因。
近年來,太陽能迅速崛起已在全球能源環境中成為越來越重要的組成部分為屋主及企業提供乾淨的能源來源以減少電費支出,同時使電網營運商能運用廣大的分散式能源以輔助電網運作。截至 2022 年,在全球各地裝設的太陽能容量已超過 1300 TWh,佔全球用電量的微幅超過 5% [1]。在此之後,我們看到各種因素推動加快了太陽能的部署,每年增加的系統容量接近翻倍。
對電網的能源需求已來到前所未有的高點,隨著全球從化石燃料轉型為電氣化及其他高耗電應用,此一需求只會增無減,包括數位化、資料中心、AI 的成長,以及大量推出的電動車及熱泵。全球各地的政府紛紛加強其發展永續發展計畫,以實現各國的淨零碳排目標。與此同時,俄羅斯入侵烏克蘭使全世界意識到當依靠外國供應自身能源時,能源安全將面臨存亡威脅。
以上各種因素已將太陽能等再生能源推到未來能源安全戰略的重要位置,但隨著倚賴性的負重從石油與天然氣轉向再生能源,我們必須捫心自問再生能源供應的安全性為何?隨著這些系統連結住家、企業及電網基礎設施,這些網路安全又是如何?以及是否會遭到其他人存取?
網路安全風險的新時代
太陽能的網路安全威脅發展緊密映照出三十年前興起的網際網路。若將時間停在 1995 年,花時間仔細設計網際網路的基礎通訊協定,則業界早已省下千百億美元為被動修復錯誤所消耗的高昂成本。回首過去,太陽能產業應在設計產品時將網路安全作為最重要的標準,然後再大量部署主流系統。但是,現在要防止災難性網路事件已經為時已晚,要往回追朔部署網路安全措施,更需要承受高昂的成本。不幸的是,現今幾乎無法強制太陽能系統製造商做到網路安全的任何要求或規範。
網路攻擊的精密度已在近年來大幅提升,如利用 AI、殭屍網路及零日攻擊,以及有國家作為地緣政治侵略工具的攻擊,使能源網路及電網基礎設施成為可能遭攻擊癱瘓的潛在目標。俄烏戰爭期間,對主要衛星通訊公司的網路攻擊就是近期的攻擊事件之一,該起事件造成德國 11GW 的風力電場斷網 [2]。類似的攻擊已將目標放在其他再生能源來源及電網變電站上,正如烏克蘭多座變電站遭到攻擊,導致基輔大規模斷電即證明此一觀點[3]。
太陽能的網路安全威脅
太陽能變流器是太陽能系統的關鍵元件,其可將太陽能模組的作用功率轉換為可用的電力。隨著各國朝向分散式能源來源轉型以提升電網穩定性,太陽能變流器也成為住家或企業能源網路以及電網的連接元件。若不嚴肅看待網路安全,駭客就有可能侵門踏戶駭入變流器,而導致能源供應被身處遠方的人劫持,任人宰割。無論您的身分是屋主、企業主或電網營運商,您皆應考量哪些人可以獲得變流器的存取權限及挑選著重網路安全的技術製造商。
近年來,我們看到多起電網因天災而受到災難性影響的情況,如 2021 年德州斷崖式降溫及 2022 年加州夏季熱浪造成大規模斷電,不僅數百萬住家及企業受到影響,且社會大眾的生活也因而大亂。當電網發生故障時,需要好幾天或更長的時間才能恢復。若是由於網路攻擊造成,電網營運商必須先找出問題的發生原因及位置,才能將駭客從系統趕出去,此恢復所需的時間也會更長。解決網路攻擊後,才能開始全黑啟動程序以逐步恢復電網,以及小心地讓相關設備上線以維持電網的供需平衡。網路攻擊的後果以上述的形式呈現時,佔全球發電量的 5% 太陽能發電就突然變得更為重大,也凸顯出由上而下優先因應網路安全的關鍵需求。
要保障太陽能系統的網路安全,必不可少的是?
為了防禦目前高精密度的自動化網路攻擊必須先提升屋主、企業主、電網營運商及政府的認知,即太陽能產品的網路安全性因製造商而異的理解。了解這件事對能源安全的風險後,能源價值鏈必須上上下下完整轉換心態,改採「預防勝於治療」的方法,就跟手機或汽車標配的堅實網路安全措施一樣。
首先要從製造商自身做起。產品安全等級目前大多是由製造商各自決定,無任何法規規範,因此標準各自不同,相當於車廠各自訂定不同的安全標準。現已有可在產品開發期間用來增強網路安全的技術能力,因此,廠商必須優先投資這類技術,而非看重削減成本及提高利潤。就跟防火安全或電力安全一樣,不該有任何討價還價的空間。
政府法規是強制實施網路安全的基礎,也就是訂定嚴謹的網路安全品質標準以供產業遵循。首先是要求所有連網裝置皆符合包括分散式能源資源(DER)在內的基本網路安全標準,接著是尋求太陽能系統製造商參與,以實施物理及軟體型安全措施及安全監控功能,以及因應潛在網路攻擊的緩解計畫。
英國近來率先推出 PSTI 網路安全標準開創了全球先例,規定包括太陽能變流器製造商在內的所有消費性連網裝置製造商遵循密碼強度、支援期間及技術說明文件的規範。歐洲的歐盟執委會主導並預定今年下半年將《網路韌性法案(Cyber Resilience Act)》定案,預期將要求從 2027 年實施更多的網路安全規範。該法案草案適用於包括太陽能變流器在內的數千種物聯網產品。雖然這是個好的開始,但改進太陽能系統的網路安全需要量身訂做的法定類別及優先重點,特別是在將太陽能視為關鍵能源來源以減少對外國石油天然氣依賴的地區。美國現正有多個正面的發展趨勢,也就是產業協會及生產認證實驗室已邁出推動認證標準的第一步。
結論
無論是太陽能、風能或其他再生能源來源,顯然地,要提升人類生活及改善地球的健康,豐富的乾淨能源絕對不可或缺。但是,隨著乾淨能源的消耗量增加,必須趕在事情太遲之前改進基礎技術的安全性,讓能源及電網基礎設施有能力抵抗潛在的威脅。即使這類安全性派上用場的可能性很小,但萬一發生威脅時,即能用來緩解可能的嚴重後果。雖然各國政府對此的認知正在提升,但要因應再生能源的網路安全,就必須跨國合作,特別是跨國交易電力十分普遍的全歐洲。由上而下的立法必須趕上由下而上的壓力,要求投資太陽能的屋主及企業皆須將高網路安全標準視為必要前提。
先人智慧有云:投資預防勝於投資治療。
[1] https://www.iea.org/energy-system/renewables/solar-pv
[2] https://www.pv-magazine.com/2022/03/01/satellite-cyber-attack-paralyzes-11gw-of-german-wind-turbines/
[3] https://www.nbcnews.com/tech/security/ukraine-says-russian-cyberattack-sought-shut-energy-grid-rcna24026
(首圖來源:SolarEdge;資料來源:SolarEdge)
科技新報粉絲團
加入好友
訂閱免費電子報
