- cross-posted to:
- [email protected]
- cross-posted to:
- [email protected]
W sumie dobre zwrócenie uwagi na ten problem. Nie jestem teraz pewien czy to ta sama prezentacja, na którą powołuje się autor tekstu, ale na jakieś konfie gość opowiadał jak znalazł błąd w chmurze jednego z producentów, który pozwalał mu w dowolnej chwili uceglić wszystkie inwertery podłączone do chmury producenta.
Jeśli mówimy o pełnoskalowej wojnie, to ja nie mam żadnych złudzeń. Problemy z siecią energetyczną czy dostępem do internetu są pewne jak zmarszczki po 60tce.
Miałem raczej na myśli jakiś mniej skoordynowany atak, gdzie w czasach pokoju dowiadujemy się o krytycznej podatności w inwerterach, albo włamaniu do firmy która nimi zarządza.
W praktyce to jest chyba jeden z tych przypadków, gdzie najlepszym rozwiązaniem byłyby jakieś regulacje (lista zweryfikowanych dostawców/urządzeń).
Nic mi nie wiadomo o takiej zaufanej liście dostawców urządzeń do paneli fotowoltaicznych. Jest tutaj raczej wolna amerykanka “jak sobie postawisz tak masz”. W przypadku sprzętu dla “dużej energetyki” są już jakieś wymogi.
CERT z racji specjalnego statusu w polskim prawie ma większe możliwości dotarcia do dostawców takich rozwiązań (patrz sprawa błędów w aplikacjach dla przychodni medycznych).
W skrajnym wypadku, gdy autorzy rozwiązania nie poczuwają się do odpowiedzialności, to może zostać wydana rekomendacja pełnomocnika rządu ds. cyberbezpieczeństwa, która mówi o zaprzestaniu używania danego rozwiązania. Takie coś miało miejsce w przypadku softu MegaBIP https://cert.pl/posts/2024/06/CVE-2024-1576/. Tylko, że MegaBIP jest oprogramowaniem używanym przez gminy.
Wątpię żeby taką rekomendacją przejęli się poszczególni ludzie, który używaliby np inwertera z poważnym błędem bezpieczeństwa. Podejrzewam, że samo dostarczenie im wiadomości o tym problemie już byłoby wyzwaniem. Tutaj raczej CERT musiałby zadziałać bardziej globalnie i faktycznie czasowo odciąć użytkowników od chmury, ale nie wiem na bazie jakich przepisów miałoby to być przeprowadzone.