跳到主要內容區塊

太陽光電設備資安隱患 影響電力穩定

  • 日期:114-01-08

監察委員:賴鼎銘、葉宜津、蕭自佑

監察院財政及經濟、外交及國防委員會聯席會議1月8日審議通過賴鼎銘、葉宜津、蕭自佑委員所提「變流器風險案」調查報告,報告指出我國太陽光電設備多數變流器及監視單元未經資安檢測(註1)或驗證(註2),存在被駭客攻擊的風險,亦有採用中國大陸製造變流器、資料擷取器、路由器等情事,可能對穩定供電構成威脅,主管機關需採取適當資安防護作為。
 
調查委員發現,截至113年9月,我國光電發電裝置容量達13.71GW,尖峰時刻(註3)太陽光電發電占比達26%,惟絕大部分民間光電案場未通過資安驗證。加上中國大陸製造變流器以價格優勢搶占市場,並大量使用於光電案場中,鑒於黎巴嫩呼叫器爆炸事件彰顯供應鏈安全重要性,國際間也陸續發生駭客入侵電力設施等案例,主管機關應加強電力關鍵基礎設施資安防護,避免駭客攻擊;調查也發現國防部陸軍蘭指部紅柴林營區廠商設置之光電案場有違約使用中國製設備情事。調查委員賴鼎銘、葉宜津、蕭自佑提出之調查報告,督促經濟部、台電公司及國防部檢討改善。
 
調查委員指出,為掌握全系統再生能源即時發電量,台電公司建置配電級再生能源管理系統(DREAMS),透過PV-gateway或雲端資料系統方式,蒐集500KW以上案場(占4.4%)約40%即時發電資訊,並推估其餘案場系統之發電資訊,供中央調度中心分析運用,然DREAMS之資通安全責任等級僅列C級,且大部分民間案場未取得「太陽光電變流器」資安驗證,主管機關經濟部應加強並輔導民間光電案場ISO27001及IEC62443標準合規性,以確保電力系統穩定。
 
調查委員說明,未經資安驗證變流器潛藏資安風險,應予正視。又台電公司設置配電級再生能源管理系統,雖介接之再生能源監控設備或雲端資料系統,有規定品牌及製造產地不得為中國大陸地區,且需經工研院檢測及審查其連線能力合格,然檢測內容未包含資安項目。
 
另調查委員發現國防部陸軍蘭指部紅柴林營區設置光電案場,該契約書已明定不允許使用中國大陸地區產品,惟完工併聯後遭舉報廠商違約使用中國大陸製造設備,案經國防部清查簽約廠商確有使用中國大陸製造變流器、路由器及資料擷取器情事,且類此情形,於松山分院、海軍平海二、國防大學亦有之,蘭指部等有關單位未能依約確實查驗,核有疏失。
 

註1: 檢測(testing):指對產品依指定程序進行測試,找出其缺陷。
註2: 驗證(Certification):指產品經過檢測能符合規定要求,由中立之第三方機構出具書面證明。
註3: 113年5月6日12時10分。