Главная/Блог/Решение/Кто действительно держит рубильник от вашей солнечной станции

Валентин ЦИХАН • 18.06.2026

Безопасность солнечных инверторов: облачные риски, kill switch и локальное управление

15 ноября 2024 года тысячи владельцев солнечных станций в США, Британии и Пакистане очнулись без электричества. Панели светило солнце, инверторы были исправны, провода целые — но на экранах висело сообщение об ошибке, а станции просто не включались. Оказалось, что китайский производитель Deye дистанционно выключил собственные инверторы из-за торгового конфликта со своим американским дистрибьютором Sol-Ark. Один пакет команд с сервера в Китае. Без предупреждения для конечных пользователей, которые даже не догадывались, чей бренд у них на стене.

Эта история важна не теорией заговора, а тем, что она обыденна. Здесь не было ни хакеров, ни разведки, ни «закладок» — просто производитель воспользовался тем механизмом, который сам и заложил в продукт: возможностью в любой момент достучаться до вашего устройства через облако и изменить его поведение. Если это можно сделать ради коммерческого спора, то технически это можно сделать по любому другому поводу.

Два разных уровня риска

Когда говорят об «опасности дешевых китайских инверторов», действительно смешивают две отдельные проблемы, и бороться с ними надо по-разному.

Первый уровень – облачный. Инвертор постоянно поддерживает связь с сервером производителя: отдает телеметрию, принимает настройки, получает обновление прошивки. Пока этот канал работает, рубильщик физически находится не у вас, а в дата-центре за тысячи километров. Кейс Deye – пример, когда этим воспользовался сам вендор. Отдельная история — май 2025-го, когда Reuters сообщило, что американские специалисты при разборке ряда китайских инверторов и аккумуляторов обнаружили внутри незадокументированные коммуникационные модули, в том числе сотовые радиомодемы, которых нет в спецификациях. Теоретически такой «лишний» канал позволяет обойти корпоративный файервол, который оператор сети ставит именно для того, чтобы инвертор не «звонил домой». Здесь следует сохранять трезвость: история опирается на анонимные источники, и доказательств того, что эти модули уже использовали злонамеренно, публично не приводили. Но сам факт того, что правительства США и ЕС начали действовать на опережение, говорит, что риск сочли реальным, а не газетным.

Второй уровень – обычные уязвимости. Здесь уже не нужен ни злой производитель, ни государство. Достаточно средне написанного кода. Весной 2025 года компания Forescout опубликовала исследование SUN:DOWN, в котором разобрала продукты шести крупнейших игроков рынка - Huawei, Sungrow, Solis, Growatt, GoodWe и немецкой SMA. Нашли 46 новых уязвимостей, а вместе с уже известными — около 93, где 80% имели высокий или критический уровень с оценкой CVSS до 9.8–10. Среди находок: несанкционированный доступ к чужим объектам в облачных API (IDOR), межсайтовый скриптинг в вебпанелях, возможность залить произвольный файл и выполнить код на сервере, зашитые в код пароли, непроверенные сертификаты в мобильном приложении, переполнение буфера в Wi-Fi-донге и. аутентификации. Последнее означает, что злоумышленник в принципе мог подсунуть инвертору свою прошивку и закрепиться в нем навсегда.

Отдельно пугает не сам факт дыр, а арифметика сети. По оценкам тех же исследователей, чтобы просадить частоту европейской энергосистемы до отметки, на которой включается аварийный сброс нагрузки, достаточно управлять примерно 4,5 ГВт мощности. На фоне ~270 ГВт солнечной генерации в Европе это менее 2% инверторов. То есть, скоординированный ботнет с нескольких процентов сломанных устройств — это уже не проблема одного домохозяйства, а вопрос стабильности целой страны.

Можно ли просто отказаться от облака?

Краткий ответ: преимущественно да — и это самый действенный шаг, который владелец может сделать самостоятельно. Долгий ответ более сложный, потому что «отказ от облака» означает разные вещи для мониторинга и управления.

Снимать данные локально сегодня умеет почти любой инвертор. Большинство моделей имеют порт RS485 и общаются протоколом Modbus RTU — промышленным стандартом, не зависящим от сервера. Самая популярная схема в сообществе Home Assistant выглядит так: к клеммам A/B инвертора подключают копеечный мост на базе ESP32 или ESP8266 с чипом MAX485, заливают в него прошивку ESPHome, и устройство начинает отдавать телеметрию по MQTT прямо в вашу локальную систему автоматизации. Ни один байт не идет наружу. Для таких брендов, как Solplanet, Solis, Growatt, SolaX, FoxESS, сообщество уже собрало готовые конфиги с картами регистров – остается повторить. Часть инверторов (Huawei, SolarEdge) поддерживает Modbus TCP по Ethernet, что еще проще. А если лезть во внутренности не хочется совсем, есть брендонезависимый путь – накладные токовые клещи вроде Shelly 3EM или Iotawatt, которые читают реальный ток на проводе и вообще не интересуются, что там в прошивке инвертора.

С управлением ситуация более тонкая. Ограничить выходную мощность, управлять зарядом батареи, синхронизировать часы через локальный Modbus тоже реально – энтузиасты делают даже «человека посередине» (MITM), перехватывающего обмен между инвертором и счетчиком, чтобы навязать свою логику. Но есть пределы, которые убрать не получится: функции соответствия сетевому коду (пороги напряжения и частоты, время отключения, поведение при авариях в сети) зашиты в прошивку и регулируются законодательством. Это не прихоть вендора, а требование безопасности, и именно поэтому полный контроль над «мозгами» grid-tie инвертора вам никто не отдаст.

Поэтому правильная стратегия – не «вырвать из инвертора весь интеллект», а изолировать его от интернета и оставить разумным только локально . На практике это означает:

Вынести инвертор и его Wi-Fi/Ethernet-донгл в отдельный VLAN для IoT, полностью отрезанный от остальной домашней сети.
На роутере заблокировать этому VLAN любой исходящий трафик в интернет – пусть «звонит домой» сколь угодно, пакеты никуда не уйдут.
Или вообще отсоединить штатный облачный донгл и работать только через локальный RS485-мост.
Всю аналитику, автоматизацию и оповещение собрать на Home Assistant, который крутится у вас дома.

Такая архитектура убивает оба уровня риска сразу. Производитель больше не может ни выключить ваш инвертор по команде, ни подсунуть «обновление», потому что к устройству физически нет дороги извне. А даже если в прошивке есть уязвимость – ее некому эксплуатировать, пока инвертор не светится в интернете.

Честный нюанс: цена этого – потеря удобного заводского приложения, удаленной гарантийной диагностики и автоматических апдейтов. Для кого-то это приемлемый размен, для кого-то нет. Но выбор по крайней мере становится вашим, а не вендором.

А если взять "брендовый" инвертор с офисом в ЕС?

Здесь владельцев часто ждет главное недоразумение. Solplanet, GoodWe, Sungrow действительно имеют представительства, склады и сервис в Европе, но это маркетинговое и логистическое присутствие, а не изменение юрисдикции или происхождения. Solplanet – это бренд компании AISWEI, входящей в китайскую группу Chint. GoodWe – китайская компания из Цзянсу. Sungrow – китайский гигант из Хефея, чей основатель Цао Жэньсянь публично связан с отраслевыми структурами под партийным контролем. Европейский офис не делает инвертор «европейским»: и производство, и материнская компания, и главное правовое поле, в котором она обязана сотрудничать с собственными спецслужбами, остаются прежними.

Значит ли это, что переплачивать за них нет смысла? Нет. Просто переплата покупает не иммунитет, а подотчетность . И это не пустое слово. То же исследование Forescout показало, что Sungrow и немецкая SMA закрыли найденные уязвимости быстро и выпустили публичные бюллетени, в то время как Growatt реагировал долго и неохотно. Европейский офис — это тот, кому вы можете выдвинуть претензию за GDPR, кого получают требования Cyber Resilience Act, Radio Equipment Directive и стандарта ETSI EN 303 645, имеющие репутационный стимул подписывать прошивки и оперативно заделывать дыры. Дешевый безымянный инвертор из AliExpress такого «адресата ответственности» не имеет вообще.

В то же время не стоит путать дороже с более безопасным. Самая красноречивая деталь всего исследования – что уязвимости нашли и у SMA, единственного европейского производителя в выборке. Происхождение бренда не гарантирует: код пишут люди везде, и ошибаются тоже везде. Бренд с офисом в ЕС снижает вероятность сознательного «рубильника» и повышает шанс быстрого патча, но не освобождает вас от того же домашнего задания с сетевой изоляцией.

Регуляторный фон подтверждает, что тема серьезная. ЕС уже причислил инверторы к категории «высокорисковой зависимости», пересмотр Cyber Resilience Act умышленно притормозили именно из-за китайского доминирования на рынке, а весной 2026-го Брюссель открыто заговорил о возможном ограничении «высокорисковых» инверторов из ряда стран. То есть, даже на уровне государств ставку делают не на веру в честность вендора, а на уменьшение зависимости и усиление контроля.

Что из всего этого вынести

Принимайте инвертор не как бытовой прибор, а как подключенный к интернету компьютер, от которого зависит питание вашего дома. В этой логике приоритеты выстраиваются просто.

Самый большой рычаг – в ваших руках, и он бесплатный: отрезать инвертор от облака, изолировать в отдельном сегменте сети и управлять им локально через Home Assistant по Modbus. Это снимает и риск дистанционного отключения, и львиную долю риска взлома, вне зависимости от того, чей логотип на корпусе.

Бренд имеет значение на втором месте – как выбор того, кому вы доверяете подотчетность. Производитель с реальным офисом в ЕС, историей быстрого закрытия уязвимостей и поддержкой локальных протоколов лучше безымянного инвертора не потому, что «не китайский», а потому, что у него есть с кого спросить и он технически позволяет себя изолировать.

И самый плохой сценарий – это дешевый инвертор без локального доступа, умеющий работать только через закрытое облачное приложение. Именно он объединяет оба уровня риска и не дает вам никакого инструмента защититься. Если выбор стоит между таким устройством и немного более дорогим, но с RS485 и понятным вендором, разница в цене окупается уже самой возможностью самостоятельно держать рубильник.