Proteggere meglio le infrastrutture critiche - Cyber sicurezza negli impianti fotovoltaici

Di:
Vivian Bullinger, Solar-Log GmbH, Product Marketing
Max Miller, Solar-Log GmbH, Information Security Officer (ISO)

28/07/2025 • 4 min. di lettura

La digitalizzazione degli impianti fotovoltaici è in costante aumento e offre agli utenti e agli operatori enormi vantaggi: Monitoraggio remoto, ottimizzazione delle prestazioni, manutenzione predittiva. Tuttavia, il collegamento in rete aumenta i rischi per la sicurezza. In mancanza di un'adeguata protezione, sono ipotizzabili diversi scenari. Ad esempio, gli hacker potrebbero prendere di mira gli impianti fotovoltaici non protetti, accedere ai dati di accesso, manipolare i sistemi o addirittura destabilizzare la rete elettrica.

Gli studi attuali mostrano che oltre il 76% degli impianti fotovoltaici in Europa sono involontariamente accessibili pubblicamente su Internet. In Germania e in Grecia, circa il 20% degli impianti fotovoltaici è coinvolto. (Fonte: www.forescout.com, www.forescout.com/resources/sun-down-research-report )

Tuttavia, esistono modi per proteggere attivamente il proprio impianto fotovoltaico e i dati sensibili.

 

Punti di attacco per gli impianti fotovoltaici

Esistono diversi punti di attacco per l'accesso non autorizzato agli impianti fotovoltaici. Per proteggerli efficacemente, è importante conoscerli e identificarli in anticipo. Abbiamo riassunto qui le principali vulnerabilità: Protezione inadeguata delle password Alcuni inverter, dispositivi di monitoraggio o gateway sono accessibili pubblicamente tramite password standard o senza VPN e quindi vulnerabili agli attacchi.

Autenticazione debole L'autenticazione debole nasconde il problema generale delle password. Le password semplici senza procedure di autenticazione aggiuntive sono un punto di attacco importante. L'autenticazione a due fattori (2FA) è sempre più utilizzata per le password. In questo caso, oltre alla password vera e propria, l'utente deve selezionare una seconda opzione da utilizzare per accedere.

Aggiornamenti del firmware Gli aggiornamenti del firmware dei produttori sono spesso ignorati. I produttori rilasciano regolarmente nuovi aggiornamenti per i loro sistemi. Oltre a nuove funzioni e correzioni di bug, questi aggiornamenti contengono spesso innovazioni rilevanti per la sicurezza informatica. Inoltre, la mancanza degli ultimi aggiornamenti può consentire l'ingresso di backdoor attraverso le quali è possibile infiltrarsi in Trojan o nel cosiddetto malware.

 

Principali rischi di attacchi informatici per gli impianti fotovoltaici

Se persone non autorizzate hanno ottenuto l'accesso all'impianto fotovoltaico, ci sono diverse possibilità di utilizzo improprio di questo accesso. Gli obiettivi possono essere molto diversi. Conoscerli aiuta a proteggere gli impianti.

Manipolazione dell'energia e stabilità della rete Gli attacchi riusciti agli impianti fotovoltaici possono influenzare l'alimentazione e, in casi estremi, portare all'instabilità della rete o a interruzioni di corrente. Naturalmente, in questo caso è necessario attaccare un gran numero di singoli impianti fotovoltaici o alcuni impianti molto grandi, ma l'impatto in un caso del genere sarebbe grave. Nel caso di impianti più piccoli o di singoli sistemi, sono soprattutto gli operatori a subire gli effetti negativi.

Ransomware e sabotaggio Gli attacchi Ransomware possono criptare i dati di interi sistemi di controllo FV. L'operatore viene quindi spesso ricattato con l'arresto del sistema, che viene poi rilasciato solo dopo il pagamento di richieste elevate.

 

Protezione efficace dei punti di attacco

Come ci si protegge dagli attacchi e dalle possibili conseguenze? La responsabilità non è solo dei produttori, ma anche degli operatori. Questi ultimi devono attuare le misure previste dal produttore e controllare costantemente che i sistemi siano aggiornati.

  • Segmentazione della rete I componenti FV devono essere rigorosamente separati dalla LAN domestica o aziendale e, idealmente, devono essere accessibili solo tramite canali VPN dedicati. L'accesso remoto ai monitor ecc. non deve mai essere pubblico o non criptato.
  • Autenticazione forte Le password standard devono essere cambiate immediatamente. Tutte le applicazioni devono utilizzare l'autenticazione a più fattori (MFA) per prevenire il furto di identità.
  • Aggiornamenti e patch regolari Gli aggiornamenti del firmware e del software sono obbligatori. I produttori lavorano continuamente alle cosiddette patch del produttore, ovvero aggiornamenti del software che risolvono le vulnerabilità di sicurezza. Le patch sono incluse negli aggiornamenti del firmware e devono essere installate dagli operatori.
  • Monitoraggio e registrazione Tutti gli accessi e le modifiche alla configurazione devono essere verificabili. Speciali strumenti di monitoraggio aiutano a riconoscere tempestivamente le anomalie e gli accessi non autorizzati.
  • Backup e risposta agli incidenti È essenziale un piano di emergenza per le perdite di dati o i guasti del sistema. I dati devono essere sottoposti a backup e i responsabili devono sapere come rispondere correttamente agli incidenti.
  • Formazione dei dipendenti È importante che i dipendenti tecnici e gli operatori siano regolarmente formati sulla sicurezza informatica e sensibilizzati di conseguenza, ad esempio sugli attacchi di phishing, sul social engineering o sui rischi dei social media.
  • Protezione dei dati e GDPR Assicurarsi sempre che i produttori abbiano una corrispondente normativa sulla protezione dei dati. I dati sull'elettricità in tempo reale contengono informazioni personali e richiedono pertanto una protezione speciale. Possono essere trasmessi solo su base contrattuale e legale, in conformità alle norme del GDPR.

Misure di sicurezza nel monitoraggio FV

In linea di principio, i punti sopra elencati si applicano a tutti i sistemi di un impianto fotovoltaico che consentono ai malintenzionati di accedere al sistema. Oltre agli inverter e ai gateway, sono compresi anche i sistemi di monitoraggio e gestione FV. In particolare, i cosiddetti "gestori di energia", come quelli di Solar-Log, costituiscono l'interfaccia tra l'impianto fotovoltaico e i fornitori di energia e devono essere protetti di conseguenza.

L'esempio di Solar-Log mostra come vengono protetti tali sistemi, sia dal produttore che dagli operatori.

Un aspetto fondamentale della protezione dell'impianto fotovoltaico è la sicurezza della trasmissione dei dati. Solar-Log si affida a moderni standard di crittografia come TLS (Transport Layer Security) per garantire una comunicazione sicura tra dispositivi, portali e applicazioni mobili. Inoltre, anche i dati nel cloud sono protetti dalla crittografia. I fornitori di servizi cloud utilizzati sono certificati secondo la norma ISO 27001, che garantisce elevati standard di sicurezza e disponibilità.

Un'altra attenzione è rivolta alla gestione degli utenti e degli accessi. Solar-Log utilizza il principio del minimo privilegio e introduce un controllo degli accessi basato sui ruoli. Gli utenti devono utilizzare password forti e l'autenticazione a due fattori (2FA) è disponibile su richiesta. I processi di accesso sono completamente registrati e possono essere analizzati se necessario.

Anche nello sviluppo del software vengono seguiti rigorosi principi di sicurezza. Il codice sorgente viene controllato internamente, scansionato regolarmente alla ricerca di vulnerabilità e controllato da test di penetrazione esterni. Questo per garantire che le vulnerabilità vengano scoperte ed eliminate in una fase iniziale. I clienti vengono informati sugli aggiornamenti rilevanti per la sicurezza e ricevono istruzioni chiare su come installare il nuovo firmware.

In caso di incidente di sicurezza, Solar-Log dispone di un proprio team di risposta agli incidenti. Questo team analizza e valuta i problemi di sicurezza identificati, coordina le contromisure e informa gli utenti interessati il più rapidamente possibile. I processi di risposta sono documentati e regolarmente testati. Particolarmente degna di nota è la risposta a vulnerabilità note come CVE202247767 (backdoor nelle versioni precedenti del firmware), che sono state corrette da aggiornamenti corrispondenti.

Inoltre, Solar-Log presta attenzione agli aspetti della sicurezza già durante lo sviluppo dei prodotti ("Security by Design"). Ciò include, ad esempio, l'uso di PKCE (Proof Key for Code Exchange) per l'autenticazione web. Anche l'integrazione di tecnologie sicure e la protezione delle interfacce locali dei dispositivi da accessi non autorizzati sono standard.

In sintesi, è chiaro che si sta perseguendo un approccio olistico alla sicurezza informatica. Questo approccio combina misure tecniche e processi organizzativi e si concentra sulla trasparenza e sul miglioramento continuo.

 

L'immagine mostra la comunicazione di rete del sistema di gestione dell'energia fotovoltaica Solar-Log™ Base in una rete cliente protetta. Qui i dati vengono trasmessi al portale online Solar-Log WEB Enerest™ e vengono eseguiti gli aggiornamenti del firmware e dei pacchetti. Questa architettura garantisce una comunicazione sicura e strutturata tra dispositivi locali, servizi cloud e partner opzionali come distributori diretti o server esterni.

Misure supplementari da parte di produttori e autorità

Oltre che per gli utenti e i produttori, il tema della "sicurezza informatica negli impianti fotovoltaici" è importante anche per le autorità pubbliche.

Raccomandazioni nazionali

Il BSI tedesco mette espressamente in guardia dal consentire il controllo del servizio di rete tramite componenti abilitati a Internet provenienti dall'estero. Si raccomanda invece l'utilizzo di tecnologie decentralizzate, come i sistemi di misurazione intelligenti, per ridurre al minimo le potenziali backdoor (fonte: pv-magazine.de).

Classificazione come infrastruttura critica

I grandi parchi fotovoltaici di 104 MW o più sono classificati come KRITIS. Gli operatori devono rispettare gli standard di sicurezza informatica, consentire audit regolari e adottare misure speciali contro il sabotaggio.

Linee guida consigliate:

  • NIST Cybersecurity Framework: è una raccolta volontaria di linee guida e best practice sviluppate dal National Institute of Standards and Technology (NIST) per aiutare le organizzazioni a gestire e ridurre i rischi di cybersecurity. Fornisce un approccio strutturato alla gestione del rischio di cybersecurity che integra standard, linee guida e best practice esistenti.
  • Raccomandazioni CISA: fornisce raccomandazioni e indicazioni su vari aspetti della cybersecurity rivolte a organizzazioni e individui. Queste includono pratiche generali di cybersecurity e raccomandazioni specifiche per la protezione delle infrastrutture critiche e l'acquisto di tecnologie sicure.
  • Architettura a fiducia zero (ZTA): Presupposto per cui ogni dispositivo in rete è considerato potenzialmente compromesso. Si tratta di un framework di cybersecurity basato sul principio "mai fidarsi, sempre verificare". Presuppone che nessun utente o dispositivo, anche all'interno di una rete convenzionale, debba essere automaticamente classificato come affidabile.

Conclusione

Oggi gli impianti fotovoltaici sono molto più che semplici moduli di vetro e silicio: fanno parte di complessi sistemi cyber-fisici. La crescente digitalizzazione offre molte opportunità, ma i rischi vanno dalla violazione dei dati alle interruzioni critiche dell'infrastruttura energetica.

Gli utenti devono essere vigili, proteggere i sistemi e impegnarsi attivamente negli aggiornamenti e nella formazione del personale. Fornitori come SolarLog offrono una solida base tecnica: accesso basato sui ruoli, MFA, pen test, IDS e risposta agli incidenti sono le pietre miliari del loro concetto di sicurezza.

Infine, ma non meno importante, anche i politici e le autorità hanno dato il loro contributo: La BSI richiede un controllo decentralizzato e tecnologie affidabili; i grandi sistemi sono soggetti agli standard KRITIS.

Solo un approccio olistico - dall'hardware, al software, alla rete, agli aspetti organizzativi e di conformità - può rendere gli impianti fotovoltaici a prova di futuro e resistenti alle minacce.

 

 

Per saperne di più su Solar-Log

All'inizio degli anni 2000, abbiamo iniziato le nostre attività nel campo dell'energia solare come pionieri. Guardando al futuro, già all'epoca riconoscevamo la crescente importanza delle fonti energetiche alternative.

In considerazione della natura limitata dei combustibili fossili e dell'incombente aumento della domanda di energia, abbiamo tracciato la strada da seguire: Per garantire un'alimentazione indipendente con il fotovoltaico, abbiamo continuamente portato avanti lo sviluppo di soluzioni di sistema energetico innovative e personalizzate.

Oggi, come partner indipendente, consentiamo alle aziende di tutto il mondo di gestire in modo efficiente e redditizio l'energia del loro impianto fotovoltaico con un monitoraggio affidabile e prodotti di alta qualità "Made in Germany". In questo modo, li sosteniamo nel dare un contributo attivo alla transizione energetica e alla tutela dell'ambiente.

Per saperne di più