No artigo Segurança cibernética nos sistemas fotovoltaicos abordamos de um modo geral os problemas, os riscos e as necessidades existentes no mundo da energia solar no que concerne a segurança de dados e a prevenção de ataques cibernéticos.

A internet oferece um ótimo ambiente de comunicação para o crescimento dos sistemas fotovoltaicos na direção das smart grids. O nível de segurança de dados exigido para os inversores precisa ser elevado, o que pode ser garantido através de esforços de fabricantes, instaladores e operadores, fazendo com que a criptografia de rede tenha um papel fundamental nesse processo.

A comunicação criptografada em inversores é tão importante quanto em outras tecnologias do mercado, pois a transição energética está se tornando cada vez mais importante na direção das redes inteligentes. As redes inteligentes de energia – ou smart grids – são redes elétricas totalmente integradas por meio de tecnologias de comunicação. Os inversores nos sistemas fotovoltaicos também utilizam essas tecnologias, com a capacidade de controlar e monitorar sistemas fotovoltaicos à distância.

No contexto das smart grids inversores podem ser usados para funções que vão além da sua missão original, que é a injeção de potência ativa na rede elétrica. Essas novas funções incluem a comunicação com centrais de controle para a realização da regulação da tensão das redes de distribuição, além do controle do fator de potência nas instalações, a limitação da geração em situações especiais (como nas redes de alta impedância com excesso de geração) e a gestão da geração e do armazenamento nas redes híbridas (para efetuar o peak shaving, por exemplo), entre outras coisas.

Talvez a principal razão para nos preocuparmos seja o fato de que os inversores fotovoltaicos, bem como seus hubs de comunicação, data loggers e plataformas de monitoramento baseiam-se na infraestrutura de comunicação global da internet. Esse é um fato já consumado e uma tendência cuja reversão seria difícil e onerosa. Ademais, por que evitar o uso da internet, rede com alcance quase global no planeta – sobretudo agora que empresas como a Starlink estão iniciando a operação de serviços de internet com alcance planetário?

Soluções comerciais para a segurança dos sistemas fotovoltaicos

Empresas como SMA estão comprometidas com o aumento da segurança de dados nas redes às quais seus equipamentos são conectados. A fabricante de inversores utiliza um sistema chamado WebConnect, que oferece comunicação criptografada entre os dispositivos e o seu portal de monitoramento Sunny Portal. Essa comunicação foi testada e teve a sua eficácia comprovada graças ao seu sistema de comunicação SEC – Speedwire Encrypted Communication (Comunicação Criptografada Speedwire).

A SMA foi o primeiro fabricante a desenvolver inovações técnicas na área de sistemas de comunicação. As últimas versões de software para inversores permitem a comunicação totalmente segura e criptografada dos inversores, o que oferece aos clientes proteção superior contra ataques de hackers. Há muitos anos a SMA emprega criptografia de dados nas comunicações entre inversores e o Sunny Portal, que é o maior portal de monitoramento de sistemas fotovoltaicos do mundo, atualmente com mais de 400.000 usuários registrados. O portal passa regularmente pela avaliação de especialistas externos em segurança de dados.

A SMA está ativamente envolvida com associações internacionais para buscar soluções de segurança cibernética para inverores e para as redes elétricas. A empresa participa de grupos de trabalho como a Association for Electrical, Electronic and Information Technologies (VDE), a SunSpec Alliance e o Open Web Application Security Project (OWASP). O grupo de trabalho Sunspec / Sandia tem o objetivo de apoiar o desenvolvimento de recursos para a geração distribuída de energia e definir as melhores práticas em segurança cibernética, além de definir conceitos que vão integrar os padrões internacionais de segurança de dados nas redes de energia elétrica. Um dos resultados do grupo de trabalho é o relatório de 67 páginas intitulado “Roadmap for Photovoltaic Cybersecurity”, publicado em 2017.

O sistema de comunicação criptografada da SMA

Para aumentar a segurança dos produtos pode-se criptografar o sistema local e protegê-lo contra acesso não autorizado de terceiros. Assim como acontece com a comunicação de dados através de redes de longa distância, o SMA WebConnect agora também oferece a criptografia da comunicação de dados nas redes locais. Para isso é necessário agregar ao sistema um registrador de dados SMA (data logger) ligado ao Sunny Portal para ativar o SEC.

Esquema de funcionamento do sistema de criptografia e segurança de dados da SMA, que pode ser aplicado às camadas da rede local (LAN) e da rede externa (WAN).

A tecnologia SEC disponibiliza dois níveis diferentes de segurança: a básica e a avançada. A função básica aumenta significamente a segurança da comunicação de dados. No futuro essa função será padrão para todos os novos produtos, como os data loggers e gateways da SMA.

Para os instaladores ou proprietários de um sistema não haverá esforço adicional na ativação dessas funções. Após a ativação do sistema a comunicação de dados é automaticamente criptografada. Essa função básica está disponível para o data loggers a partir da versão 1.6.8 R.

Já o nível avançado permite tornar a comunicação ainda mais segura com pequenas mudanças na forma de instalação, pois diferentemente da segurança básica é necessário configurar a criptografia entre os dispositivos manualmente, inserindo códigos PIC/RID (códigos de identificação do produto/identificador de registro) para cada dispositivo.

É possível criptografar a rede dos sistemas somente se todos os dispositivos Speedwire na rede suportarem essa criptografia. A tecnologia SEC não pode ser usada com data loggers de outros fabricantes. Somente o software Sunny Explorer suporta a segurança avançada, mas essa função estará disponível em breve para o SMA Data Manager M.

O Data Manager M é um hub de dados da SMA que otimiza a comunicação, o monitoramento e o controle de sistemas fotovoltaicos com até 50 dispositivos. Com base em uma nova plataforma IoT (internet das coisas) para gerenciamento de energia, o Data Manager M está equipado para lidar com os novos modelos de negócios do mercado de energia do futuro. Por exemplo, é a interface ideal para empresas de serviços elétricos, profissionais de marketing direto, técnicos de serviço e operadores de sistemas fotovoltaicos.

Dicas para uma comunicação de rede segura no sistema fotovoltaico

A maioria das atividades operacionais, como monitoramento e controle de sistemas fotovoltaicos, pode ser realizada localmente pelo operador do sistema sem a necessidade de comunicação de dados. Entretanto, atividades de comunicação e controle dos inversores requerem a conexão a uma rede remota de comunicação.

Os sistemas fotovoltaicos geralmente empregam sistemas de comunicação globais que são baseados em infraestruturas da internet já existentes.  A comunicação de dados via internet é economicamente viável e amigável ao cliente, pois facilita o fácil acesso ao monitoramento a qualquer pessoa que possua um acesso à internet. O monitoramento pode ser acessado em plataformas como o Sunny Portal, aplicativos em smartphones ou interfaces utilitárias para serviços de gerenciamento de rede.

Ao utilizar infraestrutura da internet, os sistemas estão entrando em uma área não segura. Os possíveis invasores procuram constantemente por sistemas vulneráveis. Para proteger efetivamente os sistemas fotovoltaicos contra ataques indesejados a rede local deve ser mantida tão segura quanto possível. Quando um sistema fotovoltaico ou um sistema semelhante está conectado à internet, o operador do sistema tem as seguintes responsabilidades:

• Conhecimento de todos os dispositivos ativos na rede local
• Conhecimento dos requisitos e recursos de comunicação de todos os dispositivos
• Conhecimento de possíveis vulnerabilidades de todos os dispositivos
• Conhecimento de todas as contas que acessam o sistema
• Utilização de senhas seguras
• Instalar e configurar todas as medidas de segurança necessárias relacionadas à segurança cibernética (roteador, firewall, proxy)
• Examinar e, se necessário, melhorar as medidas de segurança

Os sistemas conectados à internet não são totalmente seguros pois podem ser usados para obter acesso à rede do cliente. Isso pode resultar em ataques em quase todos os dispositivos da rede. Os riscos desses ataques envolvem a espionagem de nomes de usuários, senhas e outros dados confidenciais, além do acesso e o controle de todos os dispositivos conectados à rede.

Requisitos básicos para um sistema seguro pela internet

• Verifique se o firewall e o servidor proxy estão configurados corretamente
• Certifique-se de usar segmentos de rede separados fisicamente para conexões de rede do sistema fotovoltaico
• Certifique-se de que pessoas não autorizadas possam acessar física ou verticalmente os inversores e outros dispositivos conectados à rede (data loggers)
• Impeça a manipulação física do sistema da rede local por pessoas não autorizadas
• Evite usar dispositivos spyware na rede local
• Impeça que o ID (número de identificação) de registro do seu produto (RID) seja coletado ilegalmente
• Mantenha todas as senhas em segredo
• Verifique regularmente os arquivos de histórico de atividades de todos os seus dispositivos
• Não conecte dispositivos de memória desconhecidos (USB, cartões de memória)
• Crie cópias de segurança regulares dos sistemas
• Se suspeitar ou detectar que ocorreu um ataque, informe imediatamente o suporte técnico do fabricante do seu inversor

Senhas seguras

Preocupada com toda essa transformação digital, a SMA também criou novas regras para as senhas utilizadas, visando à segurança e à proteção contra acessos não autorizados. Desde agosto de 2019 os novos dispositivos que receberam as atualizações de firmware tiveram que obedecer as novas regras de senhas, tanto para o usuário como para o instalador. Mas é importante salientar que nos dispositivos já instalados e configurados com credenciais de acesso antes da atualização, as senhas permanecem válidas mesmo após a atualização.

As novas regras para as senhas são listadas a seguir:

• 8 a 12 caracteres
• Pelo menos uma letra minúscula e uma maiúscula
• Pelo menos um número
• Pelo menos um dos quatro caracteres especiais: (?, _,!, -)

As senhas de usuários do grupo “instalador” são usadas para comunicação entre os data loggers, inversores e o sistema WebConnect. É por isso que a senha de instalador é chamada de senha do sistema – a comunicação adequada de todo o sistema só é possível se todos os inversores tiverem recebido a mesma senha. Um exemplo disso:

Sistema de senhas SMA.

Já com essas novas regras os dispositivos SMA garantem um certo nível de segurança. O que é muito importante ao escolher uma senha segura é evitar utilizar dados pessoais, como seu nome ou combinações de números. Evitar a utilização de letras que fiquem lado a lado no teclado e nunca utilize a mesma senha para sistemas diferentes. E se esquecer a senha do inversor poderá desbloqueá-lo com uma chave de desbloqueio pessoal (PUK). Basta solicitar essa chave diretamente com a assistência técnica da SMA.

Inserindo um inversor no sistema

Um inversor pode ser inserido a um sistema de comunicação por meio de um registrador de dados, como um data logger. Se o sistema não tiver um registrador de dados é possível atribuir as senhas através da interface do usuário no inversor, de acordo com as novas regras citadas.

Um exemplo dessa configuração para o Sunny Boy:

1. Configure uma conexão com o dispositivo
2. Quando você abre a interface do inversor uma senha do grupo de usuário é solicitada
3. Selecione o idioma e digite a senha do grupo de usuário duas vezes. A conformidade com as novas regras de senha é verificada (cinco marcas de seleção verdes)
4. Pressione “Salvar”
5. Uma senha de instalador será solicitada
6. Selecione o idioma e digite a senha para o grupo de instalador (ou seja, senha do sistema) duas vezes. A conformidade com as novas regras de senha é verificada (cinco marcas de seleção verdes). Verifique se a senha atribuída não é a mesma que a senha do usuário;
7. Salve as entradas e faça o acesso
8. A interface do usuário para as demais etapas de comissionamento do inversor é aberta

Referências

Public Cyber Security, whitepaper produzido pela SMA

New SMA password rules, whitepaper produzido pela SMA

Statement by SMA technology AG: on the cyber security of PV inverters (horus scenario), whitepaper produzido pela SMA

SMA Speedwire Encrypted Communication (SEC), whitepaper produzido pela SMA

The Danger of Hacker Attacks: What Must Companies Bear in Mind? https://bit.ly/3cBvSG2