يصف جيمس شوالتر سيناريو كابوس محدد جدًا إذا لم يكن من غير المحتمل تمامًا. شخص ما يقود سيارته إلى منزلك، يخترق كلمة مرور الواي فاي الخاصة بك، ثم يبدأ في العبث بمحولات الطاقة الشمسية المثبتة بجوار جراجك – تلك العلبة الرمادية غير المثيرة للانتباه التي تحول التيار المباشر من الألواح فوق سطح منزلك إلى تيار متردد يمد منزلك بالطاقة.
يقول شوالتر: “لا بد أن يكون لديك مطارد شمسي” لكي يحدث هذا السيناريو، مشيرًا إلى نوع الشخص الذي يحتاج إلى الظهور جسديًا في مخرج سيارتك مع كل من المعرفة التقنية والدافع لاختراق نظام طاقة منزلك.
شوالتر، الرئيس التنفيذي لشركة EG4 للإلكترونيات، وهي شركة مقرها في سلفر سبرينغز، تكساس، لا يعتبر هذا التسلسل من الأحداث محتملًا بشكل خاص. ومع ذلك، هو السبب في أن شركته وجدت نفسها في دائرة الضوء الأسبوع الماضي عندما نشرت وكالة الأمن السيبراني الأمريكية CISA تحذيرًا تفصيليًا عن ثغرات أمنية في محولات الطاقة الشمسية الخاصة بـ EG4. وأشارت CISA إلى أن هذه الثغرات قد تسمح لمهاجم لديه وصول إلى نفس الشبكة مثل المحول المتأثر ورقم تسلسله لاعتراض البيانات، أو تثبيت برامج ضارة، أو السيطرة على النظام بالكامل.
بالنسبة لحوالي 55,000 عميل يمتلكون نموذج المحول المتأثر من EG4، شعر الحادث على الأرجح كأنه مقدمة مزعجة لجهاز لا يفهمونه كثيرًا. ما يتعلمونه هو أن المحولات الشمسية الحديثة لم تعد مجرد محولات طاقة بسيطة. بل أصبحت الآن العمود الفقري لتركيبات الطاقة المنزلية، حيث تراقب الأداء، وتواصل مع شركات المرافق، وعندما يكون هناك فائض من الطاقة، تغذيها مرة أخرى إلى الشبكة.
حدث الكثير من هذا دون أن يلاحظ الناس. “لم يكن أحد يعرف ما هو المحول الشمسي قبل خمس سنوات” يلاحظ جاستين باسكال، استشاري رئيسي في دراجوس، وهي شركة سيبرانية متخصصة في الأنظمة الصناعية. “الآن نتحدث عن ذلك على المستوى الوطني والدولي.”
نقص الأمان وشكاوى العملاء
تسلط بعض الأرقام الضوء على درجة تحول المنازل الفردية في الولايات المتحدة إلى مصانع طاقة مصغرة. وفقًا لإدارة معلومات الطاقة الأمريكية، زادت التركيبات الشمسية الصغيرة – التي تكون أساسًا سكنية – بأكثر من خمسة أضعاف بين عامي 2014 و2022. ما كان سابقًا يتعلق بنشطاء المناخ والمتبنين الأوائل أصبح أكثر شيوعًا بفضل انخفاض التكاليف، والحوافز الحكومية، وزيادة الوعي بتغير المناخ.
تضيف كل تركيب شمسي نقطة أخرى إلى شبكة متوسع من الأجهزة المترابطة، حيث يساهم كل منها في استقلالية الطاقة ولكنه أيضًا يصبح نقطة دخول محتملة لشخص ذي نية خبيثة.
حدث Techcrunch
سان فرانسيسكو
|
27-29 أكتوبر 2025
عندما تم الضغط على شوالتر بشأن معايير أمان شركته، اعترف بنواقصها، لكنه أيضًا قد تملص. “هذه ليست مشكلة EG4″، يقول. “هذه مشكلة على مستوى الصناعة.” عبر مكالمة زووم وفي وقت لاحق، في صندوق بريد هذا المحرر، قدم تقريرًا مكونًا من 14 صفحة يسرد 88 إفصاحًا عن ثغرات الطاقة الشمسية عبر التطبيقات التجارية والسكنية منذ عام 2019.
ليس كل عملائه – بعض منهم لجأوا إلى ريديت للاشتكاء – يشعرون بالتعاطف، خصوصًا أن تحذير CISA كشف عن عيوب تصميم أساسية: التواصل بين تطبيقات المراقبة والمحولات الذي حدث في نص غير مشفر، وتحديثات البرامج التي كانت تفتقر إلى فحوصات السلامة، وإجراءات التحقق البدائية.
“كانت هذه ثغرات أمنية أساسية،” يقول أحد عملاء الشركة، الذي طلب التحدث anonymously. “إضافةً للإهانة للإصابة”، يستمر هذا الفرد، “لم تتكبد EG4 حتى عناء إخطاري أو تقديم اقتراحات حول التخفيف.”
عند سؤاله لماذا لم تُخطر EG4 العملاء على الفور عندما تواصلت CISA مع الشركة، يعتبر شوالتر أنها لحظة “تجربة وتعلم.”
“لأننا قريبون جدًا [من معالجة مخاوف CISA] والعلاقة مع CISA إيجابية جدًا، كنا سنصل إلى زر ‘إتمام’، ثم نبلغ الناس، لذلك نحن في وسط كعكة يتم خبزها”، يقول شوالتر.
تواصلت TechCrunch مع CISA في وقت سابق من هذا الأسبوع للحصول على مزيد من المعلومات؛ ولم ترد الوكالة. في تحذيرها بشأن EG4، ذكرت CISA أن “لم يتم الإبلاغ عن أي استغلال عام معروف يستهدف هذه الثغرات في الوقت الحالي.”
روابط مع الصين تثير مخاوف أمنية
بينما لا علاقة لذلك، يتزامن توقيت أزمة العلاقات العامة لشركة EG4 مع قلق أوسع حول أمان سلسلة التوريد لمعدات الطاقة المتجددة.
في وقت سابق من هذا العام، بدأ المسؤولون الأمريكيون في إعادة تقييم المخاطر التي تمثلها الأجهزة المصنعة في الصين بعد اكتشاف معدات اتصالات غير مبررة داخل بعض المحولات والبطاريات. وفقًا لتحقيق رويترز، تم العثور على أجهزة راديو خلوية غير موثقة وأجهزة اتصالات أخرى في معدات من عدة مورديين صينيين – مكونات لم تظهر في قوائم الأجهزة الرسمية.
تحمل هذه الاكتشافات المبلغ عنها وزنًا خاصًا نظرًا لهيمنة الصين في تصنيع الطاقة الشمسية. وأشار نفس تقرير رويترز إلى أن هواوي هي أكبر مورد للمحولات في العالم، حيث تمثل 29% من الشحنات العالمية في عام 2022، تليها نظيراتها الصينية سونغرو وجينلونغ سوليس. يرتبط حوالي 200 غيغاوات من الطاقة الشمسية في أوروبا بمحوليات مصنعة في الصين، وهو ما يعادل أكثر من 200 محطة طاقة نووية.
لم تغب الآثار الجيوسياسية عن الأنظار. في العام الماضي، أصدرت ليتوانيا قانونًا يمنع الوصول عن بُعد من الصين إلى التركيبات الشمسية والريحية والبطارية التي تتجاوز 100 كيلووات، مما يحد فعليًا من استخدام المحولات الصينية. يقول شوالتر إن شركته تستجيب لمخاوف العملاء من خلال البدء في التحرك بعيدًا عن المورديين الصينيين نحو مكونات مصنعة في أماكن أخرى، بما في ذلك ألمانيا.
لكن الثغرات التي وصفتها CISA في أنظمة EG4 تثير تساؤلات تتجاوز ممارسات شركة واحدة أو مصدر مكوناتها. تحذر الوكالة الأمريكية للمعايير NIST من أنه “إذا كنت تتحكم عن بعد في عدد كبير بما فيه الكفاية من المحولات الشمسية المنزلية، وتقوم بشيء خبيث في آن واحد، فإن ذلك يمكن أن يكون له آثار كارثية على الشبكة لفترة طويلة من الزمن.”
الخبر الجيد (إذا كان هناك أي) هو أنه على الرغم من كونه ممكنًا نظريًا، فإن هذا السيناريو يواجه العديد من القيود العملية.
يشير باسكال، الذي يعمل مع التركيبات الشمسية على نطاق المرافق، إلى أن المحولات السكنية تؤدي في الأساس وظيفتين: تحويل الطاقة من التيار المباشر إلى تيار متردد، وتسهيل الاتصال مرة أخرى مع الشبكة. ستتطلب هجمة جماعية اختراق عدد هائل من المنازل الفردية في نفس الوقت. (مثل هذه الهجمات غير مستحيلة ولكن من المرجح أكثر أن تستهدف الشركات المصنعة نفسها، حيث يمتلك بعضها وصولًا عن بُعد إلى محولات الطاقة الشمسية لعملائها، كما يتضح من الباحثين الأمنيين في العام الماضي.)
الإطار التنظيمي الذي governs التركيبات الأكبر لا يمتد في الوقت الحالي ليشمل الأنظمة السكنية. معايير حماية البنية التحتية الحيوية للوكالة الأمريكية للكهرباء (NERC) تنطبق حاليًا فقط على المرافق الكبيرة التي تنتج 75 ميغاوات أو أكثر، مثل مزارع الطاقة الشمسية.
نظرًا لأن التركيبات السكنية تقع بعيدًا تحت هذه العتبات، فإنها تعمل في منطقة رمادية تنظيمية حيث تبقى معايير الأمن السيبراني توجيهات بدلاً من متطلبات.
لكن النتيجة النهائية هي أن أمان آلاف التركيبات الصغيرة يعتمد إلى حد كبير على تقدير الشركات المصنعة الفردية التي تعمل في فراغ تنظيمي.
فيما يتعلق بمسألة نقل البيانات غير المشفرة، على سبيل المثال، وهو سبب من الأسباب التي جعلت EG4 تتلقى تلك الصفعة على اليد من CISA، يشير باسكال إلى أنه في بيئات التشغيل على نطاق المرافق، فإن نقل النصوص العادية أمر شائع وأحيانًا يُشجع لأغراض مراقبة الشبكة.
“عندما تنظر إلى التشفير في بيئة مؤسسية، فإنه غير مسموح به”، يشرح. “لكن عندما تنظر إلى بيئة تشغيل، يتم إرسال معظم الأمور في نص عادي.”
بعبارة أخرى، فإن القلق الحقيقي ليس تهديدًا فوريًا لأصحاب المنازل الفرديين. بدلاً من ذلك، فإنه يتعلق بالضعف الجماعي لشبكة متوسعة بسرعة. مع تحول شبكة الطاقة بشكل متزايد إلى نظام موزع، حيث تتدفق الطاقة من ملايين المصادر الصغيرة بدلاً من العشرات من الكبيرة، فإن سطح الهجوم يتسع بشكل أسي. تمثل كل محولة نقطة ضغط محتملة في نظام لم يتم تصميمه أبدًا لاستيعاب هذا المستوى من التعقيد.
وقد اعتنق شوالتر تدخل CISA كفرصة ما يسميه “ترقية الثقة” – فرصة لتمييز شركته في سوق مزدحمة. يقول إنه منذ يونيو، عملت EG4 مع الوكالة لمعالجة الثغرات المحددة، مما يقلل قائمة الملاحظات الأولية من 10 مشكلات إلى ثلاث مشاكل متبقية يتوقع أن يتم حلها بحلول أكتوبر. لقد شمل هذا تحديث بروتوكولات نقل البرامج، وتنفيذ تحقق إضافي من الهوية لمكالمات دعم التقنية، وإعادة تصميم إجراءات التحقق.
لكن بالنسبة لأولئك مثل العميل المجهول لدى EG4 الذي تحدث مع إحباط عن استجابة الشركة، يبرز الحادث الوضع الغريب الذي يجد فيه المعتمدون على الطاقة الشمسية أنفسهم. لقد اشتروا ما اعتقدوا أنه تقنية صديقة للبيئة، ليكتشفوا أنهم أصبحوا مشاركين غير مدركين في مشهد سيبراني معقد لا يبدو أن أحدًا يفهمه تمامًا.