Inversores inteligentes e cibersegurança: o que está em causa na transição energética digital 

À medida que a produção descentralizada de energia cresce, com destaque para o autoconsumo solar fotovoltaico, um novo tipo de equipamento ganha protagonismo, nomeadamente nas habitações e outros edifícios: os inversores inteligentes (smart inverters). Embora pouco visíveis, estes equipamentos desempenham diversas funções, sendo a primordial a de garantir a ligação à rede elétrica em condições de qualidade e segurança adequadas. Mas há um risco ainda pouco discutido: a sua vulnerabilidade a ataques informáticos. 

Um novo relatório do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), publicado em dezembro de 2024, oferece diretrizes práticas para reforçar a cibersegurança destes equipamentos. O estudo, intitulado NIST IR 8498 – Cybersecurity for Smart Inverters, parte da análise de casos reais, testes em equipamentos comerciais e levantamento de falhas conhecidas. 

O que são inversores inteligentes? 

Inversores inteligentes são equipamentos eletrónicos que convertem a corrente contínua (DC) produzida por sistemas solares fotovoltaicos em corrente alternada (AC), usada pelos eletrodomésticos ou injetada na rede pública. A sua “inteligência” reside, por exemplo, na capacidade de comunicar com outros sistemas, ajustar a produção de energia em tempo real e responder a instruções da rede elétrica (por exemplo, reduzir a produção em caso de sobrecarga). 

Estes dispositivos também podem estar ligados a baterias, veículos elétricos ou acoplados a sistemas de gestão de energia (home energy management systems), funcionando como nós ativos da rede. 

No entanto, essa conectividade traz riscos: se mal configurados ou atacados, os inversores podem ser explorados para perturbar o funcionamento da rede elétrica, prejudicar equipamentos ou comprometer dados pessoais. 

 Relatório do NIST aponta riscos e soluções 

O NIST IR 8498 foi desenvolvido por uma equipa de investigadores que analisou vulnerabilidades listadas na National Vulnerability Database (NVD) e incidentes conhecidos, tendo sido testados cinco modelos de inversores residenciais e comerciais. 

Com base nesta análise, o relatório apresenta: 

Sete boas práticas para utilizadores e instaladores: 

1. Alterar as credenciais de acesso padrão e usar senhas fortes 

1. Implementar controlo de acesso baseado em funções (proprietário, técnico, instalador) 

1. Ativar o registo de eventos de segurança 

1. Atualizar firmware/software regularmente, com segurança 

1. Fazer cópias de segurança da configuração do equipamento 

1. Desativar funções e interfaces desnecessárias 

1. Usar encriptação nas comunicações e segmentar a rede 

Recomendações para fabricantes: 

Além das recomendações anteriores, o NIST sugere incluir: 

• Inicialização segura (secure boot). Este é um processo que garante que o dispositivo arranca apenas com software legítimo e verificado. 

• Proteção de dados sensíveis, o que implica o uso de encriptação, tanto para armazenar dados no dispositivo como para os transmitir pela rede. 

• Controlo mais granular para o utilizador, ou seja, dar ao utilizador a capacidade de definir e ajustar permissões ou configurações com maior detalhe e precisão, em vez de opções genéricas ou limitadas. 

• Capacidade de desativar portas e serviços que não estejam em uso. Muitos dispositivos vêm com interfaces e serviços de rede ativados por padrão (por exemplo: Bluetooth, USB, Telnet, HTTP). A recomendação é permitir ao utilizador ou administrador desativar tudo o que não for necessário. 

• Registos transparentes de atividade e tentativas de acesso. O dispositivo deve manter um log detalhado e acessível de quem acedeu ao sistema e quando, que ações foram realizadas e tentativas falhadas de login ou acessos não autorizados 

 O que revelaram os testes de cibersegurança? Os investigadores testaram cinco inversores disponíveis no mercado. Os principais resultados foram: 

• Todos permitiam atualização de software e geração de logs 

• Poucos ofereciam funcionalidades completas de backup/restauro 

• A maioria tinha controlo de acesso limitado 

• Havia dificuldades na desativação de interfaces desnecessárias e fraca segmentação de rede 

Estes dados mostram que, apesar dos avanços tecnológicos, a cibersegurança ainda não é uma prioridade visível no design e/ou operação de muitos inversores inteligentes. 

Por que é isto importante? 

A segurança dos inversores não é apenas uma questão técnica. À medida que a rede elétrica se torna mais descentralizada, digital e interligada, um ataque massivo a dispositivos vulneráveis pode ter consequências em larga escala, incluindo cortes de energia, danos a infraestruturas ou acesso indevido a dados. 

Para os reguladores e operadores de sistemas elétricos, este tipo de orientação é essencial para definir requisitos mínimos de segurança e apoiar decisões sobre certificação e etiquetagem. 

Para os instaladores e consumidores, o relatório oferece uma base prática para configurar corretamente os equipamentos e exigir mais segurança por parte dos fabricantes. 

Fontes: 

• NIST IR 8498 – Cybersecurity for Smart Inverters (2024) 

• National Vulnerability Database – NVD 

• NIST IR 8259A/B – IoT Device Security Guidance 

• DOE: Cybersecurity Considerations for Distributed Energy Resources (2023)