Solenergins raketartade uppgång de senaste åren har gjort den till en allt viktigare del av det globala energilandskapet – den erbjuder villaägare och företag en ren energikälla som minskar elräkningarna, samtidigt som elnätsoperatörer kan nyttja en stor distribuerad energikälla för att stödja nätet. Redan 2022 hade över 1300 TWh solenergi installerats världen över, vilket motsvarade drygt fem procent av den globala elförbrukningen[1] . Sedan dess har ett antal drivkrafter påskyndat utbyggnaden av solenergin ytterligare. Installationstakten för solenergi har mer än fördubblats varje år, vilket gör solenergi till den snabbast växande tekniken för elproduktion[2] .
Kraven på elnätet har aldrig varit så höga och kommer sannolikt bara att öka på grund av den ökande digitaliseringen och användningen av AI, samt den snabba tillväxten av elektriska fordon och värmepumpar. Regeringar runt om i världen trappar upp sina hållbarhetsinitiativ ytterligare för att nå sina mål om nettonollutsläpp. Samtidigt bidrog invasionen av Ukraina till ett globalt uppvaknande kring det existentiella hotet mot energisäkerheten som kan uppstå när man är beroende av energiförsörjning utanför landets gränser.
Alla dessa faktorer har gjort att förnybara energikällor som solenergi har fått en framskjuten plats i framtida strategier för energisäkerhet, men när beroendet av olja och gas förskjuts till förnybara energikällor måste man fråga sig hur säker den förnybara energiförsörjningen är? Hur cybersäkra är de här systemen som är anslutna till hem, företag och elnätets infrastruktur? Och vem eller vilka har tillgång till dem?
En ny era av cybersäkerhetsrisker
Utvecklingen av cybersäkerhetshot inom solenergibranschen är en nära spegelbild av vad vi såg när internet växte fram för tre decennier sedan. Om vi hade stannat upp 1995 och tagit oss tid att utforma de grundläggande protokollen för internet så att de var cybersäkra från grunden skulle branschen ha sparat hundratals miljarder dollar i reaktiva lösningar.
Med facit i hand kan vi konstatera att solenergibranschen bör utforma sina produkter med cybersäkerhet i åtanke som standard, innan massdistribution sker och det är för sent att förhindra en katastrofal cyberhändelse eller drabbas av orimliga kostnader för att vidta cybersäkerhetsåtgärder i efterhand. Tyvärr finns det idag få mandat eller styrmedel för att tvinga solcellstillverkarna att göra detta.
De senaste åren har cyberattackerna blivit allt mer sofistikerade. Vi har till exempel AI-baserade attacker, botnet- och noll-dagarsattacker samt statssponsrade attacker som används som ett verktyg för geopolitisk aggression, där angrepp mot energinätverk och elnätsinfrastruktur kan få förödande konsekvenser. Den senaste tidens händelser, t.ex. cyberattacken mot ett stort satellitkommunikationsföretag under konflikten i Ukraina, ledde till att 11 gigwatt av den tyska vindkraften kopplades bort[1] . Liknande attacker har riktats mot andra förnybara energikällor och mot knutpunkter i elnätet, vilket framgår av incidenter i Ukraina där flera transformatorstationer attackerades, vilket ledde till omfattande strömavbrott i Kiev[2]
Nyligen lyckades en nederländsk dataspecialist, Jelle Ursem, få dataccess till 40.000 villor i Nederländerna genom solcellssystemen på deras tak, via ett verktyg för fjärrmonitorering som utvecklats av en kinesisk tillverkare. Detta gjorde det möjligt för honom att se villaägarnas personuppgifter, skapa nya kunder och radera befintliga användare[3] . Han kunde också få information om hur mycket el kundernas solpaneler genererar via GPS-koordinater och ladda ner, justera och ladda upp programvaror för växelriktarna.
Som exemplet här visar påverkar möjligheten att hacka solsystem inte bara enskilda personer. Hackare har möjlighet att ta kontroll över tusentals system samtidigt, vilket kan orsaka omfattande störningar och till och med potentiellt påverka hela elnätet i det aktuella området.
Cybersäkerhetshot mot solenergi
Växelriktaren är den kritiska komponenten i ett solcellssystem som omvandlar den energi som produceras av solpaneler till användbar el. Det är också den del som ansluter till hemmets eller företagets lokala elinstallation i fastigheten, liksom till elnätet. Om cybersäkerheten inte tas på allvar öppnas dörren för potentiell hackning av växelriktaren, vilket kan leda till att energiförsörjningen fjärrstyrs och exponeras. Oavsett om man är villaägare, företagare eller elnätsoperatör bör man fundera över vem som har tillgång till växelriktarna och granska tillverkarna av tekniken med cybersäkerhet i åtanke.
Under de senaste åren har vi på nära håll sett de förödande effekterna av elavbrott på grund av väderhändelser i världen, med omfattande strömavbrott som påverkar miljontals hem och företag och destabiliserar människors försörjning. När elnätet går ner kan det ta flera dagar eller mer att återställa det. Om en cyberattack är inblandad kan det ta ännu längre tid, eftersom elnätsoperatörerna först måste identifiera orsaken till problemet och var det finns, innan de kan rensa systemet från inkräktare. Först då kan en omstartprocess inledas för att gradvis återställa elnätet och försiktigt återföra resurser till nätet för att upprätthålla balansen mellan tillgång och efterfrågan. När konsekvenserna av en cyberattack mot elnätet beskrivs i dessa termer låter solenergins fem procent av den globala energiproduktionen plötsligt mer betydande, vilket understryker det kritiska behovet av att cybersäkerhet prioriteras från första till sista led.
Vad behöver hända för att göra solenergi mer cybersäkert?
För att försvara sig mot dagens mycket sofistikerade och automatiserade cyberattacker krävs först och främst en ökad medvetenhet hos villaägare, företag, elnätsoperatörer och myndigheter om att cybersäkerheten för solcellsprodukter varierar dramatiskt från en tillverkare till en annan. För att förstå den risk som detta utgör för energisäkerheten måste det ske en förändring av tankesättet i hela energivärdekedjan till en strategi där förebyggande arbete anses bättre än att bota - vilket är samma princip som för de robusta cybersäkerhetssystem som finns i telefoner eller bilar som standard.
Detta tankesätt måste börja hos tillverkarna själva, som för närvarande oftast bestämmer säkerhetsnivåerna för sina produkter individuellt utan någon reglering, vilket resulterar i olika standarder. Det är som om biltillverkarna själva skulle få bestämma sina säkerhetsstandarder. Det finns tekniska möjligheter att förbättra cybersäkerheten under produktutvecklingen, och därför är det absolut nödvändigt att leverantörerna prioriterar investeringar i sådan teknologi framför kostnadsbesparingar och högre marginaler. Det borde inte vara förhandlingsbart, precis som brandsäkerhet eller elsäkerhet.
Statlig reglering är avgörande för att genomdriva detta och fastställa strikta kvalitetsstandarder för cybersäkerhet som branschen måste följa. Detta börjar med att föreskriva grundläggande cybersäkerhetsstandarder för alla anslutna enheter, inklusive distribuerade energiresurser, men också att få solcellstillverkare att delta genom att implementera fysiska och mjukvarubaserade säkerhetsåtgärder och funktioner för monitorering av säkerheten, tillsammans med planer för hur effekten av potentiella cyberattacker kan begränsas.
Storbritanniens nyligen införda cybersäkerhetsstandard PSTI blev ett globalt prejudikat och innebär att alla tillverkare av anslutna konsumentenheter - inklusive växelriktare för solenergi - måste uppfylla kraven på lösenord, supportperiod och teknisk dokumentation. Inom EU väntas EU-kommissionens Cyber Resilience Act, som ska vara klar senare i år, innehålla en längre lista med krav på cybersäkerhet från och med 2027. Utkastet till lag omfattar tusentals IoT-produkter, inklusive växelriktare för solceller. Detta är en bra utgångspunkt, men för att förbättra cybersäkerheten för solenergi krävs en egen lagstiftningskategori och ett eget prioriterat fokus - särskilt i en region där solenergi ses som en av de viktigaste energikällorna för att minska beroendet av utländsk olja och gas. Vissa positiva trender kan skönjas i USA, där branschorganisationer och produktionscertifieringslaboratorier har tagit de första stegen mot att införa certifieringsstandarder.
Slutresultatet
Oavsett om det handlar om sol, vind eller andra förnybara källor är det uppenbart att god tillgång till ren energi är avgörande för att förbättra våra liv och vår planets hälsa. I takt med att förbrukningen av förnybar energi ökar är det dock absolut nödvändigt att förbättra säkerheten för den underliggande tekniken nu, innan det är för sent, för att skydda energi- och elinfrastrukturen från potentiella hot. Även om sannolikheten för att en incident skulle inträffa är låg, finns det där för att mildra de potentiellt allvarliga konsekvenserna om en något skulle hända. Även om myndigheterna börjar få upp ögonen för detta kommer det inte att fungera att hantera cybersäkerheten inom förnybar energi utan internationellt samarbete - särskilt inte i Europa där elhandel mellan länder är vanligt förekommande. Lagstiftning uppifrån och ned måste mötas med påtryckningar nedifrån och upp, vilket innebär att både villaägare och företag som investerar i solenergi måste kräva höga cybersäkerhetsstandarder som en förutsättning.
Det är som det gamla talesättet säger: Bättre förebygga än bota.