Безпека сонячних інверторів: хмарні ризики, kill switch та локальне керування

15 листопада 2024 року тисячі власників сонячних станцій у США, Британії та Пакистані прокинулися без електрики. Панелі світило сонце, інвертори були справні, дроти цілі — але на екранах висіло повідомлення про помилку, а станції просто не вмикалися. Виявилося, що китайський виробник Deye дистанційно вимкнув власні інвертори через торговельний конфлікт зі своїм американським дистриб'ютором Sol-Ark. Одним пакетом команд із сервера в Китаї. Без жодного попередження для кінцевих користувачів, які навіть не здогадувалися, чий бренд у них на стіні.

Ця історія важлива не теорією змови, а тим, що вона буденна. Тут не було ні хакерів, ні розвідки, ні «закладок» — просто виробник скористався тим механізмом, який сам же й заклав у продукт: можливістю в будь-який момент достукатися до вашого пристрою через хмару й змінити його поведінку. Якщо це можна зробити заради комерційної суперечки, то технічно це можна зробити з будь-якого іншого приводу.

Два різних рівні ризику

Коли говорять про «небезпеку дешевих китайських інверторів», насправді змішують дві окремі проблеми, і боротися з ними треба по-різному.

Перший рівень — хмарний. Інвертор постійно тримає зв'язок із сервером виробника: віддає телеметрію, приймає налаштування, отримує оновлення прошивки. Поки цей канал працює, рубильник фізично знаходиться не у вас, а в дата-центрі за тисячі кілометрів. Кейс Deye — приклад, коли цим скористався сам вендор. Окрема історія — травень 2025-го, коли Reuters повідомило, що американські фахівці при розбиранні низки китайських інверторів і акумуляторів знайшли всередині незадокументовані комунікаційні модулі, зокрема стільникові радіомодеми, яких немає в специфікаціях. Теоретично такий «зайвий» канал дозволяє обійти корпоративний фаєрвол, який оператор мережі ставить саме для того, щоб інвертор не «дзвонив додому». Тут варто зберігати тверезість: історія спирається на анонімні джерела, і доказів того, що ці модулі вже використовували зловмисно, публічно не наводили. Але сам факт того, що уряди США та ЄС почали діяти на випередження, говорить, що ризик визнали реальним, а не газетним.

Другий рівень — звичайні вразливості. Тут уже не потрібен ні злий виробник, ні держава. Достатньо посередньо написаного коду. Навесні 2025-го компанія Forescout опублікувала дослідження SUN:DOWN, у якому розібрала продукти шести найбільших гравців ринку — Huawei, Sungrow, Solis, Growatt, GoodWe та німецької SMA. Знайшли 46 нових вразливостей, а разом із уже відомими — близько 93, де 80% мали високий або критичний рівень із оцінкою CVSS аж до 9.8–10. Серед знахідок: несанкціонований доступ до чужих об'єктів у хмарних API (IDOR), міжсайтовий скриптинг у вебпанелях, можливість залити довільний файл і виконати код на сервері, зашиті в код паролі, неперевірені сертифікати в мобільному застосунку, переповнення буфера у Wi-Fi-донглі та — найнеприємніше — оновлення прошивки «по повітрю» без жодної автентифікації. Останнє означає, що зловмисник у принципі міг підсунути інвертору власну прошивку й закріпитися в ньому назавжди.

Окремо лякає не сам факт дірок, а арифметика мережі. За оцінками тих самих дослідників, щоб просадити частоту європейської енергосистеми до позначки, на якій вмикається аварійне скидання навантаження, достатньо керувати приблизно 4,5 ГВт потужності. На тлі ~270 ГВт сонячної генерації в Європі це менш ніж 2% інверторів. Тобто скоординований ботнет із кількох відсотків зламаних пристроїв — це вже не проблема одного домогосподарства, а питання стабільності цілої країни.

Чи можна просто відмовитися від хмари?

Коротка відповідь: переважно так — і це найдієвіший крок, який власник може зробити самостійно. Довга відповідь складніша, бо «відмова від хмари» означає різні речі для моніторингу й для керування.

Знімати дані локально сьогодні вміє майже будь-який інвертор. Більшість моделей мають порт RS485 і спілкуються протоколом Modbus RTU — промисловим стандартом, який не залежить від жодного сервера. Найпопулярніша схема в спільноті Home Assistant виглядає так: до клем A/B інвертора підключають копійчаний міст на базі ESP32 чи ESP8266 із чипом MAX485, заливають у нього прошивку ESPHome, і пристрій починає віддавати телеметрію по MQTT прямо у вашу локальну систему автоматизації. Жоден байт не йде назовні. Для таких брендів, як Solplanet, Solis, Growatt, SolaX, FoxESS, спільнота вже зібрала готові конфіги з картами регістрів — лишається повторити. Частина інверторів (Huawei, SolarEdge) підтримує Modbus TCP по Ethernet, що ще простіше. А якщо лізти в нутрощі не хочеться зовсім, є брендонезалежний шлях — накладні струмові кліщі на кшталт Shelly 3EM чи Iotawatt, які читають реальний струм на дроті й узагалі не цікавляться, що там у прошивці інвертора.

З керуванням ситуація тонша. Обмежити вихідну потужність, керувати зарядом батареї, синхронізувати годинник через локальний Modbus теж реально — ентузіасти роблять навіть «людину посередині» (MITM), яка перехоплює обмін між інвертором і лічильником, аби нав'язати свою логіку. Але є межі, які прибрати не вийде: функції відповідності мережевому коду (пороги напруги й частоти, час відключення, поведінка при аваріях у мережі) зашиті у прошивку й регулюються законодавством. Це не забаганка вендора, а вимога безпеки, і саме тому повний контроль над «мізками» grid-tie інвертора вам ніхто не віддасть.

Тому правильна стратегія — не «вирвати з інвертора весь інтелект», а ізолювати його від інтернету й залишити розумним лише локально. На практиці це означає:

Винести інвертор та його Wi-Fi/Ethernet-донгл в окремий VLAN для IoT, повністю відрізаний від решти домашньої мережі.
На роутері заблокувати цьому VLAN будь-який вихідний трафік в інтернет — нехай «дзвонить додому» скільки завгодно, пакети нікуди не підуть.
Або взагалі від'єднати штатний хмарний донгл і працювати лише через локальний RS485-міст.
Усю аналітику, автоматизацію та сповіщення зібрати на Home Assistant, який крутиться у вас вдома.

Така архітектура вбиває обидва рівні ризику одразу. Виробник більше не може ні вимкнути ваш інвертор по команді, ні підсунути «оновлення», бо до пристрою фізично немає дороги ззовні. А навіть якщо в прошивці є вразливість — її нікому експлуатувати, поки інвертор не світиться в інтернет.

Чесний нюанс: ціна цього — втрата зручного заводського застосунку, віддаленої гарантійної діагностики й автоматичних апдейтів. Для когось це прийнятний розмін, для когось — ні. Але вибір принаймні стає вашим, а не вендора.

А якщо взяти «брендовий» інвертор з офісом у ЄС?

Тут на власників часто чекає головне непорозуміння. Solplanet, GoodWe, Sungrow справді мають представництва, склади й сервіс у Європі — але це маркетингова й логістична присутність, а не зміна юрисдикції чи походження. Solplanet — це бренд компанії AISWEI, що входить до китайської групи Chint. GoodWe — китайська компанія з Цзянсу. Sungrow — китайський гігант із Хефея, чий засновник Цао Женьсянь публічно пов'язаний із галузевими структурами під партійним контролем. Європейський офіс не робить інвертор «європейським»: і виробництво, і материнська компанія, і — головне — правове поле, у якому вона зобов'язана співпрацювати з власними спецслужбами, лишаються тими самими.

Чи означає це, що переплачувати за них немає сенсу? Ні. Просто переплата купує не імунітет, а підзвітність. І це не порожнє слово. Те саме дослідження Forescout показало, що Sungrow і німецька SMA закрили знайдені вразливості швидко й випустили публічні бюлетені, тоді як Growatt реагував довго й неохоче. Європейський офіс — це той, кому ви можете висунути претензію за GDPR, кого дістають вимоги Cyber Resilience Act, Radio Equipment Directive та стандарту ETSI EN 303 645, хто має репутаційний стимул підписувати прошивки й оперативно латати дірки. Дешевий безіменний інвертор із AliExpress такого «адресата відповідальності» не має взагалі.

Водночас не варто плутати дорожче з безпечнішим. Найкрасномовніша деталь усього дослідження — що вразливості знайшли і в SMA, єдиного європейського виробника у вибірці. Походження бренду не є гарантією: код пишуть люди скрізь, і помиляються теж скрізь. Бренд із офісом у ЄС знижує ймовірність свідомого «рубильника» і підвищує шанс швидкого патчу, але не звільняє вас від того самого домашнього завдання з мережевою ізоляцією.

Регуляторний фон лише підтверджує, що тема серйозна. ЄС уже зарахував інвертори до категорії «високоризикової залежності», перегляд Cyber Resilience Act навмисне пригальмували саме через китайське домінування на ринку, а навесні 2026-го Брюссель відкрито заговорив про можливе обмеження «високоризикових» інверторів із низки країн. Тобто навіть на рівні держав ставку роблять не на віру в чесність вендора, а на зменшення залежності й посилення контролю.

Що з усього цього винести

Сприймайте інвертор не як побутовий прилад, а як підключений до інтернету комп'ютер, від якого залежить живлення вашого будинку. У цій логіці пріоритети шикуються просто.

Найбільший важіль — у ваших руках, і він безкоштовний: відрізати інвертор від хмари, ізолювати в окремому сегменті мережі й керувати ним локально через Home Assistant по Modbus. Це знімає і ризик дистанційного вимкнення, і левову частку ризику зламу, незалежно від того, чий логотип на корпусі.

Бренд має значення на другому місці — як вибір того, кому ви довіряєте підзвітність. Виробник із реальним офісом у ЄС, історією швидкого закриття вразливостей і підтримкою локальних протоколів кращий за безіменний інвертор не тому, що «не китайський», а тому, що з нього є з кого спитати й він технічно дозволяє себе ізолювати.

І найгірший сценарій — це дешевий інвертор без локального доступу, що вміє працювати лише через закритий хмарний застосунок. Саме він поєднує обидва рівні ризику й не дає вам жодного інструменту захиститися. Якщо вибір стоїть між таким пристроєм і трохи дорожчим, але з RS485 та зрозумілим вендором, — різниця в ціні окуповується вже самою можливістю самостійно тримати рубильник.