מדינות המערב, בהן הולנד, בלגיה, יפן וישראל, קידמו בשנים האחרונות מדיניות שמעודדת פריסת תשתיות אנרגיה ירוקה, וסבסדו הקמה של אלפי קילומטרים רבועים של שדות וגגות סולאריים. בה בעת, באותן המדינות לא טרחו לעודד תעשייה מקומית שתייצר את אותם הרכיבים, וכך נדדה עיקר התעשייה לסין, ששולטת כיום בכל שרשרת הערך של התעשייה הסולארית.
● נקודת השפל שרשמה תל אביב לראשונה זה 30 שנה
● מי יגן על כבלי האינטרנט התת-ימיים של ישראל מפני חיזבאללה?
לפי ההערכה, שלוש יצרניות סיניות שולטות ברכיבי המפתח בשוק הסולארי המוסדי הישראלי, ובשוק השדות הסולאריים: סאנגרו (Sungrow), וואווי (Huawei) ובמידה מעטה יותר, גם גודווי (Goodwe). בשארית השוק מתחלקות חברות מערביות כמו SMA הגרמנית וסולאראדג' הישראלית, ששולטת כיום בשוק החשמל הסולארי הביתי הישראלי - כלומר במערכות הניתנות להתקנה בבתים פרטיים, או לטעינת רכבים חשמליים.
התלות הישראלית בתעשיית הסולאר הסינית לא היתה מעולם נושא מהותי, מפני שהיא לא שיחקה תפקיד משמעותי ברשת החשמל. בשנה שעברה הגיע שיעור ייצור החשמל מאנרגיות מתחדשות לחודשים ינואר עד נובמבר ל־11.6% - זאת לעומת 9.4% ב־2022. הגידול המהיר בייצור האנרגיה הסולארית, לצד העלייה בשיעור מתקפות הסייבר על תשתיות החשמל הישראליות מאז 7 באוקטובר, מעלים כיום את החשש כי האקרים בשירות מדינות, או לחילופין המדינות עצמן, יוכלו לנצל פרצות בהתקני החשמל כדי לגרום נזקים לרשתות, לשאוב מידע או לייצר השפעה. בין מדינות אלו, נמנית בין היתר גם סין.
חולשות סייבר המיוחסות לתשתית הסולארית
לאחרונה אמר מנכ"ל חברת נגה, שאול גולדשטיין, כי רשת החשמל הישראלית חשופה לאיום ביטחוני על ידי גורמים עוינים, כשציין כדוגמה את חיזבאללה.
בשנה האחרונה עולות יותר ויותר אינדיקציות לחולשות סייבר המיוחסות לתשתית הסולארית, ובפרט בממירים הסולאריים - האינוורטרים. מדובר ברכיבים אלקטרוניים הממירים את האנרגיה הסולארית לחשמל ומתפקדים בפועל כמחשב, או "המוח" שעומד מאחורי מערכות סולאריות. ממירים אלה מחוברים בדרך כלל לרשת האינטרנט ולרשת החשמל, ומסוגלים לקבל פקודות מבחוץ ולשדר החוצה מידע. הדבר הופך אותם לפגיעים במיוחד למתקפות סייבר.
כבר לפני שנתיים סימנו בממשלת הולנד את הממירים הסולאריים הסיניים כאיום סייבר למערכת החשמל במדינה. הדבר קרה לאחר שחוקר סייבר מקומי השיג בקלות גישה לממירים שהופעלו באמצעות כלי ניטור של החברה הסינית סולארמן (Solarman), והצליח לצפות במידע אישי על לקוחות ולתעד את דפוסי השימוש שלהם בחשמל.
בשנה שעברה בחן המפקח הלאומי על תשתיות דיגיטליות בהולנד תשעה ממירים סולאריים, וגילה כי אף אחד מהם לא עמד בתקני אבטחת סייבר. המפקח אף קבע כי אלו פגיעים לנזק אפשרי כמו פריצה לשם השבתה מרחוק, גניבת מידע או אף לנזק שנגרם למכשירים שכנים או לכלי רכב כמו מטוסים ואוניות. הולנד החליטה להחמיר את התקינה למוצרים חדשים החל מה־1 באוגוסט הקרוב, כך שהיא תתיר אך ורק ממירים שנושאים את התקן האירופי, CE.
פרויקט ישע של אנלייט / צילום: באדיבות Belectric Israel
לפני כשבועיים, בכנס סייבר בליסבון, הוכיח החוקר היווני ואנגליס סטיקאס כיצד מתקפות סייבר עלולות לשבש בו־זמנית מאות אלפי ממירים סולאריים ומטעני רכבים חשמליים, ועל ידי כך לערער על יציבות רשתות חשמל כלל־ארציות. במחקר מצא סטיקאס חולשות סייבר בממירים סיניים של חברות כגון Growatt, Solax ו־Sunsynk. החולשות בממירים הסולאריים כללו לטענתו פגמים המוטמעים במערכות התקשורת שלהם ובקשר של העולם החיצוני עם מערכות ניהול הפאנלים הסולאריים.
אורי שדות, מנהל תחום אבטחת סייבר בסולאראדג', המשמש גם כסגן יו"ר בקבוצת איגוד תעשיות הסולאר מטעם האיחוד האירופי, מציין כי בשוק הסולארי הביתי ובשוק הקמעונאי הזעיר קיימים אינספור מותגים מוזלים - ולא תמיד מדובר במותגים גדולים. לדבריו, מותגים אלו מתקשרים באמצעות רשת האינטרנט לצרכי עדכוני תוכנה, פנייה למרכזי תמיכה או עריכת שינוי תצורה. "אנחנו רואים באירופה מותגים חסרי־שם. הבעיה עם חברות כאלה - מסין או מדינות אחרות- היא שלא ניתן לדעת מה הכוונות והיכולות שלהן למנוע פעולה עוינת מצד שחקן עוין, שתדליק או תכבה חלק מרשת החשמל", הוא אומר לגלובס.
"לא מזמן הוכיחה קבוצת תקיפה חולשה במזגנים ישראלים שמאפשרת לכבות או להדליק בבת־אחת עשרות אלפים מהם, באופן שעשוי לשבש את רשת החשמל ואף ליצור תרחיש עלטה. 'דלת אחורית' - מעין פירצת תוכנה שמאפשרת חדירה של גורמים עוינים - היא לא מדע בדיוני. ראש ה־FBI כריסטופר ריי אמר לאחרונה בשימוע בקונגרס שמדינות זרות מתמקדות בצמתים קריטיים ברשתות החשמל כדי לייצר כאוס בעת שהם יבחרו", הוסיף.
40% מהשוק הישראלי נשלט בידי חברה סינית
השוק הסולארי הישראלי, כמו העולמי, נשלט כאמור בידי חברות סיניות. לפי ההערכה, נתח השוק של החברה הסינית סאנגרו בישראל (Sungrow) מוערך בכ־40%. השאר מתחלק בין וואווי הסינית, שלה נתח שוק שכמעט משתווה לזה של סאנגרו בשוק המוסדי; חברת SMA הגרמנית, שמפעל הייצור שלה ממוקם בסין; גודווי הסינית; וחברת סולאראדג' הישראלית שמייצרת את הממירים שלה במפעל בגליל התחתון.
רכיבים של סאנגרו, שיש לה מטה בסין ובאירופה, הותקנו רק לאחרונה בשדות הסולאריים של חברת אנלייט בעוטף עזה, רעים וישע, בהספק כולל של 16 מגה וואט. אנלייט מקימה 12 שדות סולאריים משולבים במערכות אגירה בצפון ובדרום, כחלק מאסטרטגיית ביזור אנרגטי שמסייע לדבריה "לחיזוק הביטחון האנרגטי של ישראל".
בנוסף, לפי ההערכה, וואווי, המיוצגת בישראל על ידי זינג אנרג'י, מחזיקה בנתח גדול בשוק של השדות הסולאריים והתקנות על מבני ציבור ותעשייה. רכיבים של וואווי מותקנים למשל על גבי תחנות דלק בכרמיאל, וברפתות, לולים ומבני ציבור בישובים כגון דישון, נצר, גבעת חיים והמועצה האזורית שפיר.
גודווי הסינית, המיוצגת בישראל על ידי לדיקו גרין אנרג'י, הפכה פופולרית במיוחד בבריכות דגים בקיבוצים ובמושבים, היכן שמכסים בריכות עם פאנלים צפים, כמו בכפר גליקסון או בפלמחים.
פרויקטים רבים בישראל מגיעים גם ל־SMA הגרמנית - כמו מאגר עורבים ברמת הגולן של אנלייט; תחנת הכוח הסולארית של אל־מור בקדרים; תחנת המשנה הגדולה בישראל של טרהלייט בחבל התענכים; וכן ביאסיף, תמנע ואשלים.
אין טענה, אינדיקציה או מחקר המוכיח באופן חד־משמעי כי שלוש החברות הסיניות (סאנגרו, וואווי או גודווי), מהוות פוטנציאל חדירה לרשת החשמל הישראלית, או בכלל. יתר על כן, החברות טוענות כי הן עומדות בתקינה האירופאית ואף מבצעות פרויקטים במדינות אלה. חברת וואוי, כתאגיד, מורחקת כליל מכלל התשתיות הלאומיות בארה"ב כהחלטת ממשלת ארצות הברית. לחברות הדואליות הישראליות, כמו אנלייט למשל, אין אפשרות לעבוד עמה. יזמים באירופה שמעוניינים במימון אמריקאי נוטים גם הם להתרחק מהמותג הסיני, אך אלה שלא - רואות בוואווי כפתרון איכותי בעלות נמוכה.
במדינות מערביות אחרות השמיעו מספר פוליטיקאים אזהרות נגד החברות: בארה"ב הזהיר הסנאטור הרפובליקאי מרקו רוביו מפני הממירים של וואווי, ואילו באוסטרליה, שהשוק הסולארי בה נשלט על ידי סאנגרו וגודווי, מוביל הסנאטור ג'יימס פטרסון מחקר על האיום הפוטנציאלי מצד ממירים סולאריים סיניים. "אם חברות כמו וואווי אינן בטוחות מספיק כדי לעמוד בבסיס רשת התקשורת שלנו, הן בקושי יכולות להיות בטוחות לעמוד בבסיס רשת החשמל החדשה שלנו", אמר ב־2023.
"אנחנו יודעים שרשתות תשתית קריטיות כמו חשמל מעניינות מאוד סוכנויות מודיעין אותות במדינות אוטוריטריות זרות, כולל סין", הוא הוסיף.
הבעיה נמצאת בשוק הביתי ובעסקים הקטנים
שגיא סנדלר, סמנכ"ל ההנדסה של נופר אנרג'י שמקימה תחנות כוח סולאריות על מאגרי מים או על גבי מבני תעשייה וחקלאות, מודה כי כ־70% מההתקנות בחברה הן של רכיבים סיניים, ורק 30% מתוצרת מערבית. עם זאת, הוא טוען, קיימות מספר שכבות הגנה שמקטינות מאוד את הסיכוי לפריצת סייבר לרשת החשמל. עבור מערכות מוסדיות בגודל בינוני, כאלה המותקנות למשל על גג של רפת, בריכת דגים או מבנה תעשייה, ומספקות חשמל בהיקף של 630 קילו־וואט ומעלה, קיים פיקוח של מערך הסייבר ושל משרד האנרגיה והמים.
שגיא סנדלר / צילום: נתנאל חדאד
כך, החברה נדרשת להגיש לאישור את מבנה המערכת והרכיבים המותקנים בה, ולחברת החשמל קיימת גישה מאובטחת המאפשרת לווסת באופן אקטיבי את יצור החשמל במיקום מסוים שבו היא מזהה בעיה. בנוסף, הוא טוען, הממירים הסולאריים בשדות בהיקפים הגדולים והבינוניים בנופר אנרג'י אינם מחוברים ישירות לרשת האינטרנט - אלא דרך בקר מיוחד, אשר לרוב איננו מתוצרת סין והוא נחשב למאובטח יותר. עדכוני תוכנה נעשים באופן ידני ובאמצעות העברה של תוכנות משרת לשרת על ידי התקני זיכרון חיצוניים.
עבורו, הבעיה נמצאת בשוק הביתי או בשוק העסקים הקטנים, זה שבו מותקנות מערכות סולאריות בעלות הספק זעיר של כמה עשרות עד מאות קילוואט. "במקומות האלה המתקינים לא תמיד עושים מחקר שוק והם מתקינים גם בקרים המחוברים לרשת מתוצרת סין שנמכרים בהנחה. ייתכן שיש מקום לרגולציה ממשלתית בנושא הגבלת התקשורת החיצונית או רכש בקרי החיבור גם בשוק הקמעונאי", הוא אומר.
"אין רגולציה על רכש ברמת הארגון הקטן"
מיקי ארזואן, מנכ"ל לדיקו גרין אנרג'י שמייצגת לצד מותגים מערביים גם את המותג הסיני גודווי, מספר כי כאשר ממשלת ישראל החלה לשחרר מכסות למערכות חשמל סולאריות ב־2008, השוק הישראלי נשלט על ידי מערכות גרמניות. "עם הזמן הפאנלים החלו להגיע מסין, ובשנים האחרונות ממש גם רוב הממירים מגיעים משם". עם זאת, גם הוא טוען כי הרכיבים המחברים בין הפאנלים לרשת מבוקרים על ידי חברת החשמל ומערך הסייבר - בין אם דרך הבקרים המכונים בתעשייה "קונטרולרים" או "לוגרים", ובין אם דרך מערכות הגנת הסייבר השונות, המאפשרות לחברת החשמל ומערך הסייבר לבודד רשתות שמהן נגרמת פריצה.
משה (מושיקו) חסן, ראש יחידת המחקר של חברת הסייבר אפווינד (Upwind) שמגינה על תשתיות מסביר כי "סין נמצאת בכל מקום בעולם המערבי - החל מהטלפון הנייד, דרך נתבי תקשורת, כלי תחבורה, ושרשראות אספקה שמאפשרות להם להחזיק כמות אדירה של מידע פרטי על אזרחים במדינות אחרות. מה שמניע את קבוצות הסייבר שלהם הוא השפעה ושינוי תודעה - כלומר האזנה ושאיבת מידע לצורך השפעה על מערכות בחירות וכלכלות - וכן ריגול תעשייתי כדי להניע את הכלכלה שלהם. עם זאת, הם כמעט שלא מבצעים תקיפות הרסניות כמו השבתת רשת חשמל או פגיעה בהמונים, מלבד אולי בטייוואן".
משה חסן, ראש יחידת המחקר של חברת הסייבר Upwind / צילום: Upwind
למרות זאת, חסן לא שולל תקיפות של בקרי תקשורת מקומיים ברשתות חשמל שמסוגלות לגרום לנזק כלכלי אזורי מוגבל, כמו השבתת רשת חשמל ברפת שתפגע בהיצע החלב. "גופי המדינה לא מגינים על גופים קטנים מאוד - וזו אחריות האזרח להבין ממי הוא רוכש מערכות וכיצד הוא מייצר שכבות הגנה שונות על התשתית. אין כיום רגולציה על רכש ברמת הארגון הקטן והבינוני שאיננו תשתית תומכת לחימה. אין לי בעיה אישית עם חברה סינית כזו או אחרת - וואווי משקיעה המון כסף באבטחת מידע. ככלל אצבע אני הייתי מעדיף לרכוש בקר מיצרן שאין לו תלות או שיש לו מעורבות ממשל מוגבלת, ואם מדובר ביצרן מערבי או ישראלי שיכול לשנע את הייצור מסין לווייטנאם, מה טוב".
"פרצות סייבר קיימות בכל מוצר נפוץ"
שלו חוליו, שהקים בעברו את NSO וכיום מנכ"ל מייסד בחברת הבינה המלאכותית והסייבר דרים סקיוריטי המגינה על תשתיות קריטיות של ממשלות, מציין שכיום כבר אין חשיבות לארץ הייצור של המוצר. "זה לא משנה אם מדובר בממיר סולארי סיני או מערבי, פרצות־סייבר קיימות בכל מוצר נפוץ - הסינים ובני בריתם בצפון קוריאה וברוסיה משקיעים הון תועפות בחקר נקודות חולשה שמהן אפשר לפרוץ לאותן רשתות. הסינים בפרט משוכללים מאוד בנושא".
שדות, בכיר בסולאראדג', הוא גם ממובילי יוזמת תקינה חדשה באיגוד בתעשיות הסולאריות. יחד עם שותפים מחברות מתחרות, בהן גם וואווי, הוא מקדם רגולציה סביב רכיבי הייצור ואגירה של חשמל. "יש מקום בישראל לחייב רף אבטחתי מינימלי על חברות המנהלות מוצרים אנרגטיים בעלי פוטנציאל השפעה שלילי על רשת החשמל, ולהכפיף רף זה גם על מערכות סולאריות קטנות. במשרדי האנרגיה, הביטחון או מערך הסייבר אנו רואים התייחסות מסוימת לנושא, אך אנו עדיין רחוקים מהנחיות מחייבות, ולרוב תוך מיקוד יתר במערכות גדולות".
ממערך הסייבר נמסר בתגובה: "ככלל, למיטב הבנתנו לרכיבים מסוג זה אין השפעה על תשתיות החשמל ברמה הארצית בהיבטי סייבר".
מסאנגרו נמסר בתגובה: "בתגובה לחששות בשוק, סאנגרו מוכנה לשמור על תקשורת רציפה ופתוחה עם הרשויות והגופים הרגולטוריים הרלוונטיים, כולל אלה בישראל, כדי לחזק את האמון ההדדי ולהגן יחד על הביטחון והיציבות של מערכת האנרגיה הגלובלית. סאנגרו קיבלה הסמכות ISO/IEC לניהול אבטחת מידע וניהול מידע פרטי ומייחסת חשיבות רבה לאבטחת סייבר והמידע של הלקוחות והמשתמשים הסופיים שלנו. המוצרים שלנו עומדים בסטנדרטים ובשיטות אבטחה הטובות בתעשייה, וקיבלו הסמכות ESTI EN 303 645 או IEC 62443-4-2. בנוסף, תהליך פיתוח המוצרים של החברה שלנו קיבל הסמכת IEC 62443-4-1 ML3, רמת ההסמכה הגבוהה ביותר בתעשייה הפוטו-וולטאית. יתר על כן, סאנגרו פועלת באופן פעיל לציות לחוקי ותקנות הגנת המידע והפרטיות במדינות שבהן נמכרים או מותקנים המוצרים של סאנגרו. אנו עומדים בתקנות הגנת המידע הכלליות של האיחוד האירופי (GDPR) וקיבלנו הסמכות GDPR מצד שלישי".
מאנלייט ו-וואווי לא התקבלה תגובה.