Hackeři si brousí zuby na evropskou fotovoltaiku. Síť může ohrozit i malý kyberútok

Spojené státy a další státy včetně Evropské unie si uvědomily, že jejich energetické sítě mohou být relativně snadno napadeny přes vzrůstající počet fotovoltaických elektráren a bateriových úložišť. Vedle toho, že se solární energetika stává jedním ze základních zdrojů elektřiny, nahrává kyberzločincům i to, že s rostoucí digitalizací je fotovoltaika čím dál tím zranitelnější.

Že nejde o planý poplach, dokazuje například událost z loňského září, kdy proruská hacktivistická skupina Just Evil a pravděpodobně i státem podporovaná skupina Beregini provedly koordinovaný útok na litevskou energetickou infrastrukturu. Útočníci tvrdili, že jejich cílem bylo řešení pro monitorování fotovoltaiky používané státní energetickou holdingovou společností Ignitis Group. 

Společnost Just Evil údajně získala přístup k monitorovacímu panelu pro spotřebu energie 22 zákazníků společnosti Ignitis včetně nemocnic a vojenských akademií ve městě Kaunas. Šlo o další z kybernetických útoků na Ignitis po předchozích DDoS incidentech v předchozích letech.

• Psali jsme: Nový cíl kyberzločinců: solární elektrárny. Riziko hackerských útoků roste

„Evropská fotovoltaika je kyberneticky zranitelná,“ potvrdil Jindřich Stuchlý z izraelské společnosti SolarEdge, která je považována za špičku v kybernetické bezpečnosti. „Z posledních studií plyne, že například pro ohrožení stability sítě v Nizozemsku stačí ovládnout agregovaný výkon tři gigawatty a kaskádovitým efektem je ohrožena celá evropská síť. Jen samotní výrobci měničů ovládají přes monitorovací platformy výkony v řádech desítek či stovek gigawattů,“ upozornil Stuchlý.

Rizikem jsou dálkově ovládané střídače

Náměstek ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Tomáš Krejčí upozornil na bezpečnostní slabiny solárních elektráren na nedávné konferenci Bold Future o udržitelné budoucnosti Česka. Především se neobejdou bez součástek připojených na internet, které na fotovoltaických elektrárnách sbírají data. Rizikové jsou i aktualizace softwaru, které většina malých provozovatelů automaticky přijímá. 

Hackerské útoky na větší množství menších nedostatečně chráněných solárních elektráren přitom mohou způsobit výpadky dodávek elektřiny s vážnými důsledky pro ekonomiku a celou společnost. 

„Nechci, aby to vyznělo, že jsme proti obnovitelným zdrojům energie. Jenom jsme se zaměřili na to, že decentralizovaných zdrojů začne přibývat. A až jich bude opravdu hodně, budou společně schopny ovlivnit celou soustavu. My potřebujeme být připraveni,“ poznamenal Krejčí. 

Pod proudem: Jak se zbavit mařičů energie a záložních fosilních zdrojů? Nahradí je baterie a agregační bloky

Nejběžnější riziko podle něj představují dálkově ovládané střídače převádějící stejnosměrný proud ze solárních panelů na střídavý. „Máme panel vyrábějící elektřinu, ta vstupuje do přenosové soustavy. Máme chytrou součástku, která je schopná panel buď vypnout, nebo zapnout. A tuhle součástku ovládá někdo třetí. A abychom tu rovnici měli kompletní, ten třetí je nejčastěji výrobce z Čínské lidové republiky,” dodal náměstek Krejčí.

To potvrzuje i SolarEdge. „Drtivá většina měničů postrádá absolutně základní kybernetické zabezpečení a slouží hackerům jako vstupní brána do interních podnikových sítí nebo do systémů úřadů. Důsledkem je ovládnutí systému nebo podnikových sítí, krádež citlivých dat, vydírání, žaloby a následné citelné sankce a pokuty,“ uvedla společnost. Připomněla nedávný případ jedné firmy ze Slaného, kterou hackerský útok v konečném důsledku vyšel na tři čtvrtě miliardy korun – například kvůli zpožděným zakázkám.

Manažer SolarEdge Petr Klimek upozornil, že Evropa rizika podcenila – na rozdíl například od USA nebo Austrálie. Ale také EU se už touto tematikou intenzivně zabývá. „Solární elektrárny jsou dnes prakticky kritická infrastruktura, obnovitelné zdroje dneska tvoří minimálně deset procent výroby v Evropě,“ sdělil Klimek.

Nový zákon pro energetickou kyberbezpečnost

Ostatně Poslanecká sněmovna na konci dubna schválila nový zákon o kybernetické bezpečnosti, který „překlopil“ do českého prostředí klíčovou evropskou směrnici NIS 2 a navázal na Akt o kybernetické bezpečnosti. 

„Zejména v oblasti energetiky dochází k významnému rozšíření dopadu regulace. Mezi nově regulované subjekty patří například provozovatelé solárních elektráren s instalovaným výkonem nad 100 kW, provozovatelé bateriových úložišť, agregátoři flexibility a další účastníci energetického trhu,“ uvedl v komentáři pro Obnovitelně.cz právník Luděk Šikola z kanceláře Doucha Šikola advokáti.

• Komentář: Sněmovnou prošel zásadní kyberzákon. Nová pravidla míří i na solárníky nebo provozovatele baterek

„Tímto krokem zákonodárce reaguje na rostoucí digitalizaci a decentralizaci energetického sektoru, kde kybernetické útoky mohou mít dalekosáhlé dopady na fungování trhu i bezpečnost dodávek energie,“ poznamenal Šikola. Na koho se nová norma vztahuje, je možné ověřit ZDE.

Uvedl, že nový zákon přináší nejen povinnosti, ale také příležitost k posílení odolnosti podniků vůči kybernetickým hrozbám. „V dnešním digitálním světě, kde jsou kybernetické útoky stále sofistikovanější, je důraz na ochranu dat a systémů klíčový pro zachování důvěry zákazníků a stability trhu,“ konstatoval Luděk Šikola.

Dodal, že pro podniky, které se na nové požadavky připraví včas a důkladně, může být zavedení kybernetických opatření konkurenční výhodou.

Ilustrační foto: Pavel Baroch