- Khi các hệ thống điện mặt trời cho người tiêu dùng và doanh nghiệp bị ràng buộc vào nền tảng quản lý đám mây của một số ít nhà sản xuất, chỉ riêng Hà Lan đã có lượng công suất tương đương ít nhất 25 nhà máy điện hạt nhân cỡ trung có thể bị điều khiển từ xa
- Inverter tải lên số liệu thống kê, điều khiển nguồn và thực hiện cập nhật firmware thông qua ứng dụng, website và máy chủ của nhà sản xuất; tuyến tập trung này dẫn đến nguy cơ hàng triệu hệ thống lắp đặt bị dừng đồng thời
- TSO TenneT của Hà Lan cho rằng lưới điện có thể hấp thụ nhiễu loạn 3GW, nhưng công suất điện mặt trời đã lắp đặt ở Hà Lan vượt 25GW, và một nhà sản xuất inverter kiểm soát 195GW trên toàn cầu
- Trong khi từng inverter và kết nối vật lý có các quy định, website quản lý tập trung lại không được xem là một phần của lưới điện mà bị đối xử như website thông thường, nên hầu như không chịu sự giám sát chặt chẽ của luật năng lượng
- Để NIS2 và Cyber Resilience Act thu hẹp khoảng trống pháp lý, việc triển khai ở các quốc gia thành viên cần nêu rõ rằng các nhà quản lý điện mặt trời quy mô lớn cùng quyền điều khiển và cập nhật từ xa thuộc phạm vi áp dụng
Rủi ro với lưới điện do quản lý điện mặt trời tập trung tạo ra
- Gần đây, một hacker Hà Lan đã có thể kiểm soát 4 triệu hệ thống lắp đặt tấm pin mặt trời, và các sự cố tương tự từng xảy ra trước đó
- Có thể xem các bài đưa tin và giải thích liên quan tại FTM, Euractiv, Victor Gevers, PV Magazine
- Rủi ro cốt lõi không nằm ở từng tấm pin mặt trời riêng lẻ, mà ở cấu trúc trong đó vô số hệ thống lắp đặt tập trung vào nền tảng quản lý tập trung của một số ít công ty
- Công suất của các tấm pin mặt trời ở Hà Lan tương đương ít nhất 25 nhà máy điện hạt nhân cỡ trung, nhưng ở châu Âu hầu như không có luật lệ hay quy tắc nào cho các bên quản lý tập trung như vậy
- Nền tảng quản lý đám mây có thể khiến hàng triệu tấm pin mặt trời đồng thời ngừng hoạt động vĩnh viễn do lỗi, bị hack hoặc hành động có chủ đích, và điều này có thể dẫn tới sụp đổ lưới điện châu Âu
- Do xác nhận của TenneT, đơn vị vận hành lưới điện Hà Lan, và các phát hiện của hacker đạo đức, kịch bản này không chỉ là giả định thuần túy
Điều gì xảy ra khi cân bằng lưới điện bị phá vỡ
- Lưới điện đồng bộ lục địa châu Âu tích hợp phần lớn châu Âu và các khu vực xa hơn, cho phép dùng chung công suất của hàng nghìn nhà máy điện lớn cùng các hệ thống điện gió và điện mặt trời
- Lưới điện luôn phải bảo đảm điện năng đưa vào và điện năng tiêu thụ khớp nhau chính xác
- Nếu có quá nhiều điện đưa vào, tần số tăng và có thể xảy ra quá áp
- Nếu thiếu điện, tần số giảm
- Để bảo vệ, một phần hoặc toàn bộ quốc gia có thể bị tách khỏi lưới, và việc khôi phục sau đó cũng trở nên khó khăn
- Các nhà phát điện lớn phải tuân theo tiêu chuẩn cao
- Nhà máy điện là đối tượng bị giám sát
- Thiết bị phải đáp ứng nhiều yêu cầu
- Nhân sự phải có trình độ và chứng nhận phù hợp
- Có thể tiến hành điều tra sự cố và áp phạt
- Ngược lại, lượng công suất điện mặt trời khổng lồ ở châu Âu do các nền tảng quản lý tập trung gom lại không được quản lý ở cùng mức độ
Khu vực được quản lý: inverter và kết nối vật lý
- Tấm pin mặt trời không kết nối trực tiếp với lưới điện; ở giữa có inverter
- Inverter chuyển đổi điện từ tấm pin sang dạng mà lưới điện có thể xử lý
- Inverter có các quy định, ví dụ như điều kiện theo đó hệ thống lắp đặt phải tự ngắt khi lưới điện khu vực bị quá tải
- Quy định liên quan là Article 13 của Rules for Generators
- Hà Lan quy định chỉ được lắp đặt inverter đã được Synergrid của Bỉ phê duyệt
- Danh sách liên quan nằm trong thông báo của NetbeheerNederland
- Tuy nhiên, theo những người trong cuộc, quy định này không được thực thi, và nhiều thiết bị đang được kết nối với lưới điện
- Vì một inverter riêng lẻ khó gây thiệt hại lớn cho lưới điện rộng hơn, nếu chỉ nhìn vào phần này thì đây là lĩnh vực tương đối có thể quản lý
Khoảng trống pháp lý: đám mây của nhà sản xuất và điều khiển từ xa
- Phần lớn inverter được kết nối trực tiếp hoặc gián tiếp với internet, giao tiếp với nhà sản xuất và tải lên số liệu thống kê về tấm pin mặt trời cũng như sản lượng phát điện
- Chủ sở hữu tấm pin kiểm tra trạng thái tấm pin của mình qua máy chủ nhà sản xuất bằng ứng dụng hoặc website
- Về mặt kỹ thuật, không nhất thiết phải xử lý mọi chức năng qua máy chủ nhà sản xuất, nhưng nhiều thiết bị tiêu dùng được thiết kế theo cách này
- Camera giám sát và ô tô hiện đại cũng là những ví dụ tương tự
- Ứng dụng hoặc website không chỉ có thể kiểm tra trạng thái mà còn có thể có chức năng bật và tắt tấm pin
- Thông qua tuyến của nhà sản xuất, cũng có thể tự động hoặc thủ công cài phần mềm/firmware mới vào inverter
- Ngay cả khi ứng dụng của người dùng không có nút nguồn, chức năng điều khiển nguồn vẫn có thể được hỗ trợ như tính năng dành cho người lắp đặt hoặc kỹ thuật viên sửa chữa
Con đường từ điều khiển tập trung đến thiệt hại thực tế
- Vì mọi thứ đều đi qua nhà sản xuất, nhà sản xuất có thể bật hoặc tắt tất cả tấm pin, và cũng có thể cài phần mềm khiến dòng điện sai lệch chảy từ inverter vào lưới điện
- Ngay cả khi nhà sản xuất không cố ý làm vậy, chỉ một lỗi cập nhật cũng có thể gây vấn đề lớn
- CrowdStrike cũng tự động cài đặt phần mềm, và một lỗi cập nhật gần đây đã khiến hàng triệu máy tính trên toàn cầu ngừng hoạt động, mất nhiều ngày và hàng chục tỷ USD để khôi phục
- Nếu nhà sản xuất bị hack, các bản cập nhật phần mềm sai lệch do kẻ tấn công kiểm soát có thể được phân phối tới inverter
- Hai hacker đạo đức Hà Lan Wietse Boonstra và Hidde Smit đã thành công trong việc sửa đổi phần mềm bên trong một hệ thống lắp đặt tấm pin mặt trời mà không có sự cho phép của nhà sản xuất
- Lỗ hổng liên quan được gắn với CVE-2024-21881
- Nếu phần mềm bị sửa đổi bên trong hệ thống lắp đặt, thiệt hại đối với lưới điện có thể lớn hơn và việc khôi phục cũng có thể chậm hơn nhiều
Quy mô vượt quá khả năng điều chỉnh của lưới điện
- Lưới điện có các nguồn phát điện chờ sẵn để tăng hoặc giảm điện nhằm điều chỉnh mất cân bằng
- Ngoài điều chỉnh tinh, còn có công suất lớn hơn để hấp thụ tương đối nhanh các sự kiện như hỏng nhà máy điện
- Phần giải thích về balancing markets của TenneT được dùng làm ví dụ
- Nhà sản xuất inverter điện mặt trời có thể bật và tắt nguồn của hàng triệu hệ thống lắp đặt trên mái nhà dân và doanh nghiệp
- TenneT cho biết lưới điện Hà Lan có thể hấp thụ nhiễu loạn 3GW
- Hà Lan đã lắp đặt hơn 25GW tấm pin mặt trời, bao gồm cả các hệ thống lớn, lớn hơn rất nhiều so với 3GW
- Một nhà sản xuất inverter kiểm soát 195GW trên toàn cầu, trong đó ước tính khoảng một nửa nằm ở châu Âu
Khoảng trống pháp lý và các cách diễn giải có thể
- Nếu có một bảng điều khiển có thể đồng thời tắt hàng chục nhà máy điện hạt nhân, nó sẽ là đối tượng của quy định an toàn và kiểm tra; nhưng inverter gia đình và tấm pin mặt trời lại được xem là thiết bị tiêu dùng thông thường
- Việc xem chúng là thiết bị tiêu dùng có thể hiểu được khi chỉ xét từng hệ thống lắp đặt riêng lẻ, vì chúng khó gây thiệt hại lớn; nhưng khi việc quản lý tập trung vào một số ít nhà cung cấp, tình hình sẽ khác
- Báo cáo mà Secura thực hiện cho Topsector Energie của Hà Lan là tài liệu quan trọng để nắm bắt tình hình
- Các tấm pin ngoài hiện trường phải tuân theo những quy tắc nhẹ ở cấp riêng lẻ, nhưng website quản lý tấm pin lại được đối xử như một website đơn thuần, không phải một phần của lưới điện
- Có thể xem công ty quản lý tập trung như nhà quản lý lưới điện thay vì “người quản lý lịch sinh nhật”, nhưng để làm vậy có thể cần đọc luật hiện hành theo cách rất sáng tạo
Vai trò của NIS2 và Cyber Resilience Act
- Chỉ thị mới ở cấp EU, NIS2, đang được triển khai tại các quốc gia thành viên và đưa năng lượng vào nhóm “Very Critical Sectors”
- Khi các quốc gia thành viên triển khai NIS2, cần nêu rõ rằng các bên quản lý tấm pin mặt trời có khả năng bật/tắt nhiều tấm pin hoặc cài đặt cập nhật thuộc phạm vi áp dụng
- Cyber Resilience Act tập trung vào các thiết bị như inverter và tấm pin, nhưng nếu thiết bị không thể hoạt động nếu không có bảng điều khiển, ứng dụng hoặc dịch vụ tập trung, thì những thành phần này cũng có thể được đưa vào
- SolarPower Europe cho rằng cần có các yêu cầu riêng cho lĩnh vực điện mặt trời dưới các nguyên tắc an ninh mạng rộng của NIS2
- Các yêu cầu đó nên áp dụng cho những chủ thể kiểm soát đủ công suất để gây nhiễu loạn lưới điện
- Tài liệu liên quan dẫn tới tuyên bố lập trường của SolarPower Europe
- SolarPower Europe đề cập rằng Úc và Đức đã có quy tắc, nhưng ít nhất Úc được cho là không thực thi chúng
Phương án thay thế để giảm kết nối tập trung
- Tấm pin mặt trời không nhất thiết phải kết nối với đám mây tập trung
- Có thể kết nối trực tiếp với hệ thống lắp đặt của chính mình để xem biểu đồ sản lượng phát điện mà không cần internet; các tấm pin cũ của tác giả cũng không kết nối internet nhưng vẫn cung cấp biểu đồ
- Cách tương tự cũng có thể tốt hơn cho camera, máy giặt, bơm nhiệt, ô tô/trạm sạc và pin gia đình
- Bơm nhiệt, ô tô/trạm sạc và pin gia đình cũng có khả năng gây nhiễu loạn lưới điện
- Một bước trung gian có thể là yêu cầu bảng điều khiển chỉ dừng ở việc cung cấp biểu đồ, và không cho phép bật hoặc tắt từ xa tấm pin, bộ sạc hoặc pin
Cần có quy định rõ ràng ở cấp EU
- Một số ít công ty lớn ngoài EU có thể kiểm soát một phần đáng kể nguồn cung năng lượng, nhưng họ lại không thuộc phạm vi luật năng lượng
- Việc tìm cách giải quyết trong luật hiện hành có vẻ khó khăn
- NIS2 và Cyber Resilience Act là những ứng viên có thể áp dụng quy tắc nghiêm ngặt hơn cho các nền tảng quản lý tập trung
- Nếu việc triển khai ở các quốc gia thành viên nêu rõ rằng các chủ thể quản lý tập trung thuộc phạm vi áp dụng, điều đó có thể giảm bớt nghi ngờ
- Chỉ luật của từng quốc gia có thể không đủ để xử lý các công ty khổng lồ ngoài EU, nên hợp tác trong nội bộ EU là điều thiết yếu
1 bình luận
Các ý kiến trên Hacker News
Việc nói các tấm pin mặt trời ở Hà Lan tương đương 25 lò phản ứng hạt nhân cỡ trung nghe có mùi nên tôi kiểm tra thử, thì tác giả đang nhìn vào công suất định mức. Đây là một chỉ số gần như vô dụng với các nguồn điện có độ biến động lớn. Một tấm pin mặt trời trong tầng hầm không có ánh sáng cũng có cùng công suất định mức với tấm pin y hệt đặt ở sa mạc Sahara
Nếu nhìn vào sản lượng điện hằng năm thực tế thì nó gần hơn với khoảng 1,5 lò phản ứng hạt nhân trung bình. Năm 2023, điện mặt trời của Hà Lan tạo ra 21TWh; năm 2021, điện hạt nhân Mỹ tạo ra 778TWh từ 54 lò phản ứng
Con số này giúp ước lượng rủi ro thực tế tốt hơn. Tôi đồng ý rằng quy định và thực hành bảo mật cần được cải thiện hơn rất nhiều, nhưng có vẻ chỉ cần cho một xe tải lớn đâm vào đúng cột điện phù hợp cũng có thể gây mất điện ở quy mô tương tự
Vào lúc đó, kẻ tấn công không chỉ đẩy toàn bộ công suất của các tấm pin mặt trời vào lưới, mà còn có thể đưa các pin lưu trữ được kết nối vào chế độ xả hoàn toàn bằng firmware mới để vượt qua các cơ chế an toàn. Trong trường hợp xấu nhất, kẻ tấn công có thể cố làm hỏng vật lý không chỉ inverter mà cả pin lưu trữ, tấm pin mặt trời, cầu chì và trạm biến áp. Nếu inverter cháy và gây hỏa hoạn thì với kẻ tấn công đó không phải bug mà là feature
Vì vậy không chỉ ở mức 25 lò phản ứng hạt nhân cỡ trung, mà thực tế có khả năng còn lớn hơn rất nhiều; và khi quá trình chuyển đổi sang năng lượng tái tạo tiếp diễn, con số này tăng theo cấp số nhân mỗi năm
Đây thuộc nhóm các tiết lộ bảo mật đáng sợ nhất tôi từng thấy gần đây. Nghiêm trọng hơn nhiều so với zero-day trên iPhone
Một lỗi iPhone tệ có thể khiến vài người chết vì không gọi được điện thoại khẩn cấp và gây thiệt hại kinh tế phân tán trị giá hàng chục tỷ USD trên toàn cầu. Nhưng cụm lỗi này có thể đánh sập trạm biến áp giữa đợt nắng nóng, gây mất điện cho hàng nghìn đến hàng triệu hộ gia đình, doanh nghiệp, nhà máy và có thể giết hàng chục nghìn người. Thiệt hại kinh tế cũng lớn hơn nhiều và nhiều khả năng sẽ tập trung vào một khu vực cụ thể
Trong một cuộc tấn công hoặc sự cố, chỉ số quan trọng không phải tổng sản lượng điện mà là công suất tức thời. Vì đó là lượng mà dự phòng quay của các nhà máy điện khác phải hấp thụ khi một nguồn phát đột ngột bị loại khỏi lưới
Công suất ròng của Borssele, lò phản ứng hạt nhân cỡ trung được nêu trong bài, là 485MWe. Vì vậy nói đến hơn 25 lò phản ứng hạt nhân cỡ trung thực sự là đúng
Ngoài những gì người khác đã nói, riêng điểm này cũng có thể tạo ra chênh lệch khoảng 2 lần. Bài cũng nói là “cỡ trung”, nên có lẽ tính khoảng 3 lần cũng được
Tôi hiểu lập luận rằng đây không phải so sánh một-một chính xác. Dù vậy, vào một ngày hè không mây, trừ vấn đề suy hao và công suất, công suất thực tế sẽ gần với con số được ghi. Hà Lan nhỏ nên khả năng cả nước cùng không có mây cũng không thấp
Vào mùa hè, có thể họ kỳ vọng một mức nắng nhất định và đưa một phần điện khí thường dùng trong mùa đông vào bảo trì, hoặc trong tương lai có thể giả định sản xuất hydro vào mùa hè. Tuy nhiên hack nhiều khả năng là vấn đề tạm thời, nên tôi không dự đoán phần đó sẽ gây vấn đề lớn
Tôi đang làm việc với các hệ thống cloud IoT. Lý do phải đi qua máy chủ của nhà sản xuất là vì cả người tiêu dùng lẫn thợ lắp đặt đều hoàn toàn không có chuyên môn để cấu hình mạng của họ hoặc thiết bị có thể truy cập từ bên ngoài. Họ cũng muốn truy cập các tấm pin từ ngoài nhà
Tôi làm được và phần lớn độc giả HN cũng làm được, nhưng người tiêu dùng bình thường hay thợ lắp đặt thì không. Buồn nhưng đúng
Từ góc độ lập trình cũng đơn giản hơn. Không cần tách riêng giao thức đồng bộ cloud và giao thức điều khiển cục bộ; chỉ cần tạo một giao thức cục bộ, rồi khi không kết nối trực tiếp được thì tunnel qua một cloud ngu ngốc
Tôi từng làm bộ điều khiển cho pin container 40 feet, và không phải là nhận API pin từ Hitachi. Tất cả đều phải tự viết
Tôi hiểu việc muốn xem dữ liệu đo đếm theo thời gian thực, nhưng điều khiển từ xa các tấm pin trông giống như một sự cố bảo mật đã được đặt lịch sẵn. Tôi cảm thấy khá may vì đang dùng inverter không kết nối Internet
Tôi sống ngoài lưới điện cả về điện lẫn nước, và điều thực sự gây bực mình là tính năng giám sát đi kèm inverter chỉ dùng được khi trực tuyến. Dù có mạng, ứng dụng cũng không hoạt động
Tôi đã giải quyết bằng cách nối Raspberry Pi để đọc dữ liệu từ đó, nhưng nếu ngắt inverter khỏi Internet thì nó lại tự tạo một mạng mới. Vì vậy giờ đây luôn có một mạng công khai không thể tắt đang phát giữa một nơi hẻo lánh không có ai
Tôi đang nghĩ đến việc mở ra và tháo hàn mô-đun WiFi, nhưng dù sao vài năm nữa cũng định thay, nên không muốn vô tình bị điện giật chết
Chỉ cần tháo ăng-ten khỏi mô-đun WiFi cũng có thể đủ. Việc đó giúp chặn kết nối mạng
Cần cẩn trọng với những cách diễn đạt như “0,002MW - một bó tiêu chuẩn kỹ thuật nhỏ, không cần bằng cấp hay chứng chỉ”. Đặc biệt là khi lôi kéo chính trị gia và người không chuyên kỹ thuật
Phần lớn thảm họa hạ tầng IT gần như bị buông lỏng đến mức tội phạm hiện nay là kết quả do những người có bằng cấp tạo ra và thúc đẩy, bao gồm cả người tốt nghiệp các trường danh tiếng. Cuối tuần trước, một trong những bài đứng đầu HN nói về việc một cố vấn chính phủ, từng là lãnh đạo ở một trong những công ty công nghệ nổi tiếng nhất, khuyên sinh viên Stanford hành xử phi đạo đức, rồi sau đó kiếm đủ tiền để thuê luật sư xóa bỏ hậu quả
Hầu hết các chứng chỉ hiện có cũng là chứng nhận cá nhân, và nhìn chung gần với đào tạo vô nghĩa của nhà cung cấp cùng sự lệ thuộc vào họ. Chính những người đó lắp ráp và vận hành các hệ thống của các nhà cung cấp gần như bị buông lỏng đến mức tội phạm. Chứng nhận về thực hành IT cũng gần với màn kịch tuân thủ giúp né tránh trách nhiệm hơn là bảo đảm năng lực thực sự đầy đủ
Tôi cho rằng để bắt đầu sửa chữa, cần buộc các công ty phải chịu trách nhiệm. Ví dụ CrowdStrike không phải trường hợp tệ nhất, nhưng là ví dụ gần đây. Nếu xem đó là sơ suất và buộc họ chịu trách nhiệm cho mọi chi phí, giá cổ phiếu có thể sụp, còn ban lãnh đạo và tầng trên của tổ chức phải sợ khả năng ngồi tù trong khi các cuộc điều tra nghiêm túc diễn ra
Khi thấy cuộc chơi đã thay đổi, nhà đầu tư và lãnh đạo ở các công ty khác cũng sẽ bắt đầu có lợi ích được căn chỉnh lại. Tiếp theo, toàn bộ sơ đồ tổ chức và thực hành có thể bị rung chuyển mạnh. Vì các công ty sẽ nhận ra rằng họ phải giết chết các văn hóa như văn hóa nhảy việc, phát triển theo hồ sơ xin việc, văn hóa câu lạc bộ giao du LeetCode, và các lãnh địa kiểu cửa hàng của nhà cung cấp IT
Một số công ty có thể loay hoay rồi biến mất. Vì có quá nhiều người được tối ưu cho trò chơi cũ, họ cảm thấy trong trò chơi trách nhiệm mới cũng không còn lựa chọn nghề nghiệp nào ngoài giả vờ cho đến khi làm được, và nghịch lý là có thể kéo cả công ty đi xuống cùng mình
Việc trừng phạt sai lầm đã dẫn đến thảm họa Chernobyl
Giữa các nhà cung cấp cloud/IaaS có vẻ có cạnh tranh, vì họ thực sự phải xây trung tâm dữ liệu và mạng lưới nên có một mức sàn giá nhất định. Nhưng trong lĩnh vực “antivirus”, CrowdStrike gần như đã có thể thống trị thị trường, còn các tổ chức và khách hàng ở hạ nguồn của họ khó biện minh cho những thủ tục đặc biệt như duy trì bản sao dự phòng hot-spare độc lập thật sự, hoặc để các bản cập nhật chữ ký CS liên lạc với môi trường kiểm thử trước
Những triệu chứng văn hóa được mô tả chi tiết đó gần với bọt nổi lên trên hoạt động kinh tế thực đang dao động giữa nhiều điểm tối ưu chi phí-lợi ích, tức là những phi hiệu quả kinh tế được cho phép
Rất khó thoát khỏi điều này. Nhìn chung IT đã đủ chuẩn hóa, nên doanh nghiệp cần một dạng dịch vụ IT nào đó cuối cùng sẽ chọn theo tiêu chí chi phí, và sẽ chọn những gì các doanh nghiệp khác trong ngành của mình chọn. Dù có nhiều nhà cung cấp, cuối cùng thường vẫn hội tụ về cùng một công nghệ. Vì đó là phần mềm. Làm như vậy giảm rủi ro tài chính của khách hàng, nhưng lại làm tăng rủi ro thực tế mang tính toàn cầu và hệ thống
Kiến thức không có suy luận là con đường sa vào quan liêu
Đây là một bài viết mở mang tầm mắt. Một trong những luận điểm ủng hộ năng lượng tái tạo, ngoài việc giảm phát thải, là tiềm năng phi tập trung hóa sản xuất điện. Kiểu như làm cho hệ thống bền bỉ hơn và dân chủ hóa phương tiện sản xuất
Nhưng bài viết này cho thấy chúng ta đã vô tình đưa vào một nút thắt cổ chai mới. Nếu xét cả môi trường an ninh toàn cầu thì còn đáng lo hơn
Tính tái tạo và tính phân tán là hai trục khác nhau
Vì vậy thay vì thúc đẩy tự tiêu thụ và các hệ thống bán tự chủ, họ lại thúc ép kết nối lưới điện và thứ rác rưởi kết nối đám mây. Tức là buộc bạn vào dịch vụ của ai đó và biến bạn thành nô lệ của họ. “Đến năm 2030 bạn sẽ không sở hữu gì cả” đã là thực tế trong ô tô hiện đại. Nhà sản xuất có quyền truy cập cao hơn rất nhiều so với người chủ sở hữu trên danh nghĩa và xe được kết nối với OEM; các thứ IoT mới nhất cùng rác rưởi cloud+mobile cũng vậy. Mọi người không hiểu rằng mình không sở hữu cho đến khi đã quá muộn
Một ví dụ đơn giản khác: phần lớn ngân hàng trên thế giới có các tiêu chuẩn mở để trao đổi giao dịch tự động giữa các ngân hàng. Ở EU đó là OpenBank API, với các feed XML và JSON đã ký. Không có lý do gì để ngăn khách hàng dùng trực tiếp các API này từ client desktop cá nhân. Tất cả các ngân hàng tôi biết đều chặn cách dùng này. Vì vậy bạn không thể lưu giữ mọi lịch sử giao dịch đã được ngân hàng ký trên thiết bị của mình, và trong tay bạn chẳng có gì cả. Nếu có vấn đề nghiêm trọng xảy ra, bạn không có gì để chứng minh ngân hàng đang có gì và đã làm gì với tiền của bạn. Trước đây còn có tài liệu giấy; hiện nay XML/JSON đã ký, khó làm giả hơn nhiều, đáng ra còn tốt hơn giấy, nhưng vì 99% không được sở hữu bất cứ thứ gì nên nó bị loại khỏi cuộc chơi
Còn có cả ô tô kết nối có SIM. Nhưng thay vì ô tô cung cấp API và client trực tiếp, hoặc WebUI, cho chủ sở hữu trên danh nghĩa, mọi thứ phải đi qua OEM. Về thực chất, chủ sở hữu là OEM. Thậm chí bạn cũng không thể ngắt kết nối xe. Ở EU, ngay cả việc xe mới bị ngắt kết nối cũng là bất hợp pháp, vì dịch vụ e-call khẩn cấp phải được kích hoạt trên mọi xe mới
Cứ thế tiếp diễn
Bài viết này lặp đi lặp lại rằng người phụ trách cần có bằng cấp, chứng chỉ và các mảnh giấy mang tính nghi lễ khác
Việc tập trung vào bằng cấp giấy tờ để giảm rủi ro trông như một cách tiếp cận rất châu Âu. Không có nghĩa là sai, chỉ là ở những nơi khác người ta không nhấn mạnh mạnh đến vậy. Nó có vẻ phù hợp với các ngành chuyển động chậm, nơi kỳ vọng an toàn cao, nhưng thế giới điện mặt trời và điện gió không phải là ngành chuyển động chậm
Theo kinh nghiệm trong lĩnh vực này, tôi nghĩ vấn đề thật sự là thiếu nhận thức kỹ thuật và năng lực trải rộng đến cả mảng “kỹ thuật số”. Các sản phẩm này thường do những người thuộc lĩnh vực “điện lực” phát triển, và họ không nhất thiết nhận ra ngay rằng RSA 512-bit là #badthing và không đủ để bảo vệ một hệ thống năng lượng tập hợp có thể bị điều khiển từ một điểm
Những thứ như vậy không nhất thiết cần bằng cấp hay chứng chỉ chính quy. Kiến thức và kinh nghiệm thực chiến, từng thật sự đụng tay vào, hữu ích hơn nhiều
Khi sản phẩm có giao diện mạng hoặc chạy firmware có thể lập trình, cần phải có các cuộc thảo luận về A/B boot, chữ ký, thu hồi khóa, tính linh hoạt mật mã để cho phép dùng các thuật toán mật mã kháng lượng tử. Nhưng trọng tâm thực tế lại là phát triển một ứng dụng di động giá rẻ, được điều khiển bằng API backend máy chủ của nhà cung cấp rẻ nhất có thể, để đưa sản phẩm ra thị trường thật nhanh
Đừng nói đến tư duy hệ thống nhúng kiểu không vá lỗi và không giữ cho hệ thống cập nhật. Hệ thống nhúng là nơi ngay cả ngày nay bạn vẫn có thể gặp Linux 2.4 hoặc 2.6. Nhà cung cấp phần lớn cứ đóng gói nguyên xi mã mà nhà cung cấp chipset CPU ném cho họ dưới dạng board support package
Như đã nói, nhiều vấn đề trong số này có vẻ là vấn đề thương mại và do giá cả chi phối, và khó có khả năng được giải quyết bằng giấy tờ
Ở EU không có yêu cầu pháp lý nào đối với bất kỳ loại nhà máy điện nào, đặc biệt là liên quan đến an ninh mạng sao?
Ở nhà và ở nơi làm việc, tôi không đưa vào bất kỳ hệ thống nào cần chức năng kết nối dữ liệu với bên thứ ba trong bất kỳ môi trường nào
Đã có quá nhiều sự cố khi bên yêu cầu kết nối — nhà cung cấp, đám mây, v.v. — thất bại vì nhiều lý do. Ví dụ như Cisco Spark Board, Xerox ConnectKey, Google Cloud Print, thiết bị kết nối WeWork, Lattice Engines, MS Groove Music Pass, Shyp, Adobe Business Catalyst, Samsara, Zune, FuelBand, Anki Vector Robot, Google Stadia, Pebble
Dù vậy, tôi nghĩ cần hết sức thận trọng khi quy định riêng chỉ nhắm vào điện mặt trời
Bên lắp đặt đã gắn cho tôi inverter SolarEdge, và tôi đã khá vất vả để đưa dữ liệu vào Grafana mà không cho nó kết nối với cloud. Tôi làm được vì là kỹ sư mạng, nhưng đáng ra việc này phải dễ hơn
Tôi đồng ý rằng cần có quy định cấm quản lý từ xa, và từ xa chỉ được phép truy vấn dữ liệu dạng chỉ đọc. Cũng có thể gần như air-gap gateway Internet với inverter bằng một kết nối RS232 một chiều, trong đó inverter chỉ liên tục ghi dữ liệu ra. Nếu nhà vận hành lưới điện cần tắt điện mặt trời, họ nên lắp một relay được điều khiển bằng hạ tầng của chính họ
Việc nhà sản xuất có thể tự động hoặc thủ công cài phần mềm mới, tức firmware, cho inverter như mọi khi chính là điểm yếu khi cho phép cập nhật từ xa. Bao giờ người ta mới chịu học? Chỉ nên cho phép cập nhật khi thiết bị có công tắc vật lý. Không phải công tắc phần mềm, mà là công tắc vật lý. Khi ở trạng thái “tắt” thì không được phép có bất kỳ bản cập nhật nào
Vector tấn công mang tính phá hoại nhất chẳng phải là cài mã độc từ xa sao? Nếu có công tắc phần cứng, loại mã độc đó sẽ không thể tồn tại sau khi thiết bị khởi động lại
Tôi nhớ thời ổ cứng còn có jumper cho phép ghi. Sau khi tạo bản sao lưu rồi tháo jumper ra, không thể vô tình hay cố ý ghi đè lên bản sao lưu quý giá đó được
Tóm lại, phần lớn các tấm pin mặt trời dành cho người tiêu dùng và doanh nghiệp được một số ít công ty quản lý tập trung, và đa số các công ty này nằm ngoài châu Âu. Riêng Hà Lan, các tấm pin mặt trời này tạo ra công suất tương đương ít nhất 25 nhà máy điện hạt nhân cỡ vừa. Ở châu Âu hầu như không có quy tắc hay luật nào để xử lý các đơn vị quản trị tập trung như vậy. Máy bơm nhiệt, pin gia đình và bộ sạc EV cũng tương tự
Trông rất giống IoT nhưng với mức độ rủi ro lớn hơn nhiều. Tôi thích cách bài viết này cho thấy rõ vấn đề niềm tin giữa inverter và lưới điện
Tôi tự hỏi ngoài việc tin rằng inverter của khách hàng hoạt động đúng, liệu có cách nào làm cho lưới điện an toàn ở cấp phần cứng không. Một câu hỏi ngây thơ, nhưng thiết bị của đơn vị vận hành lưới điện có thể chặn quá dòng hoặc chu kỳ bị lệch pha/sai tần số không?
Nhưng gần như không có cách thực tế nào để chặn quá áp. Vì vậy, một bộ điều khiển độc hại chiếm quyền tất cả hệ thống điện mặt trời trên một con phố có thể gây thiệt hại khá lớn cho thiết bị của người tiêu dùng
Từ góc nhìn của công ty điện lực, vấn đề là ngay cả khi ngắt các cầu dao ở cả hai phía của máy biến áp phân phối, họ cũng không còn có thể bảo đảm phía phân phối 240V là an toàn để làm việc. Vì thế, mọi công việc trên hệ thống phân phối 240V phải được thực hiện với giả định hệ thống vẫn đang có điện
Cuối cùng, nếu cần, quy định sẽ được cập nhật để xử lý việc lắp đặt điện mặt trời hàng loạt trên các tòa nhà dân dụng