Falha em microinversor eleva risco de desligamento remoto em sistemas solares residenciais

Um risco cibernético escondido no hardware de energia distribuída

Uma vulnerabilidade divulgada nos microinversores da AP Systems destacou um problema crescente na transição energética: a mesma conectividade que facilita o monitoramento e o gerenciamento da energia solar distribuída também pode criar um caminho para interrupção em larga escala. De acordo com a reportagem fornecida pela pv magazine, a empresa de cibersegurança Jakkaru encontrou uma falha que permitia o comprometimento total de dispositivos conectados à internet, incluindo a capacidade de desligar sistemas de forma seletiva e simultânea.

A AP Systems corrigiu o problema depois de ser alertada, mas o episódio ainda serve como aviso. Recursos de energia distribuída costumam ser descritos como inerentemente resilientes porque estão geograficamente dispersos. Isso é verdade em alguns sentidos físicos, mas frotas conectadas por software também podem criar novas formas de risco por concentração.

A escala da exposição

Os pesquisadores identificaram cerca de 100.000 dispositivos vulneráveis acessíveis online. O produto afetado foi o microinversor EZ1-M, que também é vendido sob marcas white-label, incluindo como Anker Solix Mi80. A Jakkaru também sugeriu que uma base maior de dispositivos, possivelmente incluindo sistemas domésticos de armazenamento de energia da AP Systems, pode ter sido afetada. O relatório observa que cerca de 600.000 instalações da AP Systems estão em uso no mundo todo.

Esses números importam porque a preocupação não se limita ao comprometimento de um dispositivo no nível da casa. Um ataque suficientemente coordenado a muitos inversores ao mesmo tempo poderia causar uma perturbação mais ampla na rede, especialmente se os desligamentos ocorressem simultaneamente em áreas concentradas ou durante condições de estresse.

Por que os microinversores são um alvo atraente

Os microinversores ficam na borda do sistema de energia, convertendo a saída de painéis solares individuais e, muitas vezes, se conectando a plataformas de monitoramento. Sua presença crescente em sistemas residenciais e comerciais de pequeno porte significa que eles ocupam uma camada de infraestrutura digital crítica em rápida expansão, mesmo que raramente sejam tratados assim no debate público.

Isso cria um descompasso entre a velocidade de implantação e as expectativas de segurança. O hardware de energia antes operava em grande parte em ambientes fechados. Hoje ele está cada vez mais conectado, habilitado por aplicativos, gerenciável remotamente e, às vezes, acessível diretamente pela internet. Cada uma dessas funções pode melhorar a usabilidade ao mesmo tempo que amplia a superfície de ataque.

Da conveniência do consumidor a um problema de rede

A expressão “kill switch” no relatório original captura de forma contundente a preocupação. Um desligamento remoto e sincronizado de dezenas de milhares de dispositivos seria um problema para os proprietários dos sistemas, mas também poderia se tornar um problema operacional da rede. À medida que a penetração solar aumenta, os dispositivos de borda já não são periféricos ao sistema elétrico. Eles fazem parte dele.

É por isso que a cibersegurança de inversores está saindo do campo especializado e entrando na política energética mainstream. A rede do futuro depende não apenas de adicionar mais geração limpa, mas também de confiar nas camadas de controle digital embutidas nessa geração. Um ponto fraco em um dispositivo amplamente implantado pode, portanto, se tornar um risco sistêmico em vez de uma falha isolada.

A lição maior para a segurança energética

A história imediata termina com um patch, mas a lição maior é menos confortável. Sistemas de energia distribuída precisam de práticas de segurança proporcionais à sua relevância para a rede. Isso significa processos de divulgação de vulnerabilidades, melhor endurecimento por padrão, responsabilidade mais clara dos fornecedores e atenção mais séria de reguladores e operadores.

A adoção da energia solar costuma ser apresentada em torno de economia, descarbonização e resiliência. Esses objetivos continuam válidos. Mas o caso da AP Systems lembra que a resiliência em uma rede digital é inseparável da cibersegurança. Construir infraestrutura mais limpa sem proteger seus componentes conectados apenas desloca a vulnerabilidade para uma camada mais nova do sistema.

Este artigo é baseado na cobertura da PV Magazine. Leia o artigo original.