Solární elektrárny v roce 2024 poprvé v historii Evropské unie vyrobily více energie než uhelné elektrárny a jejich podíl má dramaticky růst i nadále. Zároveň ale, ať už na domácí mikroúrovni či u větších celků, můžou být terčem hackerů či dokonce diktaturou řízeného útoku. V čem spočívá riziko a lze se preventivně bránit?
I v Česku solární zdroje neustále expandují. V loňském roce bylo nově připojeno do sítě téměř 41 tisíc solárních domácností, přičemž celkový počet připojených fotovoltaických elektráren činil vloni přes 212 tisíc.
S počty solárů na střechách a polích roste i počet baterií k nim připojených. Podle Asociace pro akumulaci energie AKU-BAT CZ je v Česku společně se solárními elektrárnami k síti připojeno 157 507 bateriových úložišť o kapacitě téměř 2 GWh. Jen vloni bylo připojeno přes 36 tisíc solárních systémů s bateriemi.
Význam bateriových úložišť spočívá také v tom, že je lze spojovat do větších celků a regulovat s nimi množství elektřiny v síti, tzv. služby výkonové rovnováhy, jak jsme o tom informovali v našem nedávném reportu. Pro majitele je to ekonomicky atraktivní možnost. Jenže bateriová úložiště ovládaná na dálku skýtají také hrozbu kybernetických útoků.
Této hrozbě ostatně čelí všechny chytré spotřebiče, které v domácnosti máte, od tiskáren přes bezpečnostní kamery až po chytré žárovky. Do těch všech se dokáží hackeři nabourat. My se však blíže podíváme na solární systémy s akumulací.
Stačí laptop a mobil
Evropská unie zaznamenala v roce 2023 více než 200 hlášených kybernetických útoků na energetickou infrastrukturu Agentura EU pro kybernetickou bezpečnost upozorňuje, že počet těchto útoků rok od roku rostl. Hackerům jde buď o finanční zisky (výkupné, manipulace s trhem) nebo o zlovolné poškození či narušení dodávek elektřiny.
Z toho důvodu je nelákají malí provozovatelé fotovoltaiky jako takoví, nýbrž míří na větší celky. Přesto se i malí hráči mohou stát terčem útoků a být zneužiti. Vloni se hackeři (podezření padlo na čínskou skupinu) nabourali do 800 chytrých elektroměrů v Japonsku připojených na solární elektrárny a využili je jako zadní vrátka pro krádež peněz z bankovních účtů. Podle místních médií útočníci použili elektroměry k zakrytí vlastní identity.
„Etický hacker“ Vangelis Stykas z Řecka vloni v rámci prověřování bezpečnosti solárních systémů obešel jejich firewally, aby se dostal k měničům připojeným na cloudu. Ze svého domu v Soluni jen s pomocí notebooku a chytrého telefonu získal přístup k solárním elektrárnám v různých částech světa. Měl ve své moci větší množství elektřiny, než kolik protéká německou sítí, popisuje článek od agentury Bloomberg.
Měniče (také zvané střídače nebo invertory) jsou nedílnou součástí každého fotovoltaického systému. Převádějí proud ze solárů v síti ze stejnosměrného (DC) na střídavý (AC). Hacker se zlými úmysly může měniče vypnout, nakazit je škodlivým softwarem (malwarem) nebo do nich nasadit digitální nástražné pasti pro pozdější aktivaci.
Stykas se podle Bloombergu dostal dostatečně daleko na to, aby mohl zařízení vypnout. Kdyby to udělal, mohl by vážně narušit stabilitu sítě v oblastech, kde fotovoltaické zdroje hrají důležitou roli při výrobě elektřiny.
„Jsme stále více závislí na těchto zařízeních (solárních zdrojích), ale i když se stávají kritickou národní infrastrukturou, nejsou plně bezpečná. Pokud se je podaří hacknout, zůstane evropská síť, která je základem celého našeho životního stylu, zranitelná,“ cituje Bloomberg Stykase.
Invertory jako vstupní brána
V srpnu 2023 hackeři napadli software australské firmy Energy One pro obchodování s elektřinou. Společnost, která svůj produkt prodává i do Evropy, oznámila, že došlo k úniku dat a zasaženy byly „korporátní systémy v Austrálii a Velké Británii“. Firma musela ve snaze omezit dopad útoku přistoupit k vyřazení „některých spojení mezi svými podnikovými a zákaznickými systémy“, uvedl server PV Magazine.
K incidentu došlo pouze pár dnů poté, co australští výzkumníci vydali zprávu, kde varovali před možným kybernetickým ohrožením elektrárenské sítě v souvislosti se solárními střídači vyrobenými v zahraničí. Tato zařízení, zpravidla pocházející z Číny, jsou podle nich zranitelná vůči „hackingu, malware útokům, manipulaci a narušení“.
Hospodářské noviny zcela nedávno informovaly o incidentu, kdy čínský výrobce měničů Deye na dálku deaktivoval některé své výrobky na několika kontinentech kvůli podezření, že byly prodány přes neautorizované distributory. Bezpečnostní odborníci však zůstali ve střehu.
„Dálkové odpojení nelicencovaných přístrojů totiž ukázalo, jak snadné by bylo v řádu sekund a bez vědomí provozovatele přerušit produkci nemalé části elektráren, pokud by se vztahy s Čínou vyhrotily,“ píše deník.
„Jedním z největších rizik je vzdálené ovládání baterií nebo panelů, které může způsobit nejen ekonomické ztráty, ale i destabilizaci celé sítě,“ uvedl Pavel Bursa, spolumajitel společnosti Resacs, která vyrábí bateriové systémy. „Představte si scénář, kdy útočník zmanipuluje tisíce zařízení, což povede k přetížení či výpadku energetického systému,“ dodal.
S tím, jak se ze solárních technologií stává důležitá součást elektrárenské soustavy, by se měl klást i patřičný důraz na jejich zabezpečení. Přesto to není pravidlem.
„Překotné tempo, s jakým se solární zdroje rozvíjejí, znamená, že lidé možná neinvestují tolik do řízení rizik a zabezpečení, jak by běžně investovali,“ řekl pro Bloomberg Dick O’Brien, hlavní zpravodajský analytik u poskytovatele kybernetické bezpečnosti Symantec.
„Pokud to nebudeme brát vážně, lidé v tuto síť ztratí důvěru,“ uvedl pro stejnou agenturu Nathan Morelli, šéf kybernetické bezpečnosti v energetické společnosti SA Power Networks v Austrálii. Tato země má nejvyšší solární penetraci na světě.
Jak se může běžný uživatel chránit
Docent Václav Oujezský z Fakulty informatiky Masarykovy univerzity v Brně řekl pro Epoch Times, že útočníci se zaměřují hlavně na větší celky než na koncové uživatele.
Přesto i majitelům malých solárních elektráren hrozí, že i oni budou ovlivněni, když se hackeři nabourají do komunikačních kanálů nebo systémů ovládajících např. agregační bloky nebo společnosti spravující na dálku chytré domácnosti.
Existuje celá řada metod a cest, jak solární instalace napadnout, podotýká Roman Kümmel, odborník na IT bezpečnost z Počítačové školy GOPAS. Hackeři se mohou k solárním zařízením dostat přes cloudové služby, střídače, SCADA systémy, Wi-Fi síť nebo přes poskytovatele služeb třetích stran. „Jakékoli zařízení bez dohledu a omezení může být vstupní branou do lokální infrastruktury,“ upozorňuje Marek Kocan, seniorní architekt kybernetické bezpečnosti ze společnosti ComSource.
Každý majitel solárního systému může na své straně učinit kroky k minimalizaci šance hackerského útoku. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) prostřednictvím své mluvčí Alžběty Dvořákové sdělil, že uživatelé mají obecně nízké povědomí o tom, jak správně se zařízením pracovat a jak jej nastavit. „Uživatel bere zařízení jako něco, co si koupí, nějakým způsobem základně nastaví a pak se o něj dále nezajímá ,dokud to nějak funguje’“, napsal Epoch Times úřad v e-mailové komunikaci.
NÚKIB i Oujezský se shodují na tom, že koncoví uživatelé by měli dbát na tři základní věci – hardware, software a zabezpečení. V prvé řadě by si měl majitel solárního systému po instalaci změnit heslo pro přístup ke střídači, popř. dalším službám. Čím silnější heslo je, tím těžší je jej prolomit. Oujezský poukazuje na to, že většina uživatelů ponechává heslo výchozí, což útočníkům usnadňuje přístup do systému.
Při výběru komponentů je důležité dbát i na důvěryhodnost dodavatele. NÚKIB radí, aby se spotřebitelé při rozhodování zajímali, jaké bezpečnostní funkce přístroj má či zda výrobce garantuje aktualizace a podporu a na jak dlouhou dobu. „Jako vždy je dobré se před nákupem informovat o možnostech, parametrech a rizicích, ať už u výrobců nebo u prodejců,“ doporučuje úřad.
Co se týče softwaru, uživatelé by si měli nastavit pravidelné aktualizace, popř. další bezpečnostní prvky. Oujezský rovněž varuje před aplikacemi třetích stran. Přestože mohou nabízet lepší možnosti ovládání, mohou obsahovat bezpečnostní mezery. Například Google Play podle něj aplikace automaticky prověřuje na přítomnost škodlivých kódů.
U zahraničního softwaru si musí uživatelé uvědomit, že data budou pravděpodobně uložena na cloudu v dané zemi. Jednou z těch rizikových je Čína, která je dominantním hráčem na poli solárních systémů. Zároveň však trpí i nedostatečnou regulací a kontrolou kvality a může proto být těžší zamezit zneužití dat a zaručit jejich bezpečnost. Také jde o zemi s diktaturním režimem.
Podle Bursy jsou možnost zneužití u evropských dodavatelů obecně mnohem menší.
„Nemohu hovořit za ostatní výrobce, ale baterie Resacs, které jsou vyrobené v ČR, mají architekturu i software pod naší plnou kontrolou. Krom jiného to znamená, že i veškerá data zůstávají na území ČR a přístup k nim je omezený pouze na schválené subjekty,“ řekl k vlastnímu produkty.
