Nenechte si ukrást solární elektrárnu. Hackeři zneužívají chyby výrobců i nedbalost majitelů

Kybernetická bezpečnost fotovoltaiky a bateriových úložišť přestává být okrajovým tématem. Spolu s rostoucím podílem OZE na výrobě elektřiny, s destabilizací mezinárodní situace i s prudkým nástupem zpracování dat v cloudu se z kyberbezpečnosti stává stává povinná disciplína každého provozovatele – od rodinných domů až po velká bateriová úložiště. Ve speciálním dílu Pod proudem ze Solární konference zaznělo, že důležitý je technický i právní pohled: útočníci už neřeší jen data, ale stále častěji míří i na samotný provoz energetických technologií.

Expertka na kyberbezpečnost energetiky Erika Langerová (ČVUT UCEEB) rozlišuje dva světy: rezidenční a komerční. U domácích instalací je klíčovým rizikem napojení do cloudu výrobce či instalační firmy. „U rezidenčních, kdybychom si vzali takový typický model, že instalace je připojená někam do cloudu výrobce, tak tam samozřejmě největší riziko je útok vedený přes infrastrukturu toho výrobce.“

Útok na nadstavbovou platformu totiž otevírá cestu k tisícům zařízení najednou: „Když se podívám na ty největší evropské dodavatele, tak má na serverech agregováno zhruba 170 GW,“ varuje expertka.

Zkušenost ze světa navíc ukazuje, že nejde o hypotézy. Zaznamenány byly útoky na řízení obnovitelných zdrojů i jejich monitorovací platformy a bezpečnostní komunita sleduje trend „ransomware jako služba“. Nabídku si koupíte podobně jako software. Nelze tedy spoléhat, že fotovoltaika či baterie „nejsou dost zajímavé“.

Rezidenční sektor je Achillova pata

Slabá hesla, chybějící vícefaktorové ověřování, zařízení připojená do stejné domácí Wi-Fi jako zbytek elektroniky a nulová segmentace sítě – to jsou typické chyby v domácnostech. „Typicky je střídač připojený do stejné Wi-Fi jako zbytek domácnosti,“ uvádí Langerová a dodává, že problém nezačíná až u uživatele: často se podceňuje bezpečnost už při výběru technologie, kdy cena vítězí nad podporou bezpečnostních funkcí. „Zatím pořád bohužel lidi koukají hlavně na cenu a nestarají se o bezpečnost a to by bylo potřeba změnit jako první.“

U komerčních instalací se chyby opakují v jiné škále: „Můžou vznikat problémy se zranitelnostmi na perimetrech. Typicky nezabezpečený firewall. Bývá také chyba v segmentacích, že máte síť plochou..“ Kritické je řízení vzdálených přístupů dodavatelů – typicky servis přes VPN. Bez jasných pravidel, časových oken a auditních záznamů stačí málo a ze „zkrátky pro údržbu“ se stane otevřená brána.

• Za požáry solárů může obvykle lidská chyba, stačila by přitom prevence

Právnička Iva Wenzel z advokátní kanceláře bpv Braun Partners připomíná, že do hry vstupují nová pravidla. Směrnice NIS 2 a nový zákon o kybernetické bezpečnosti rozšiřují okruh povinných subjektů – nejde jen o „velké firmy podle počtu hlav“. „To znamená, že se to nebude čistě týkat jenom velkých a středních podniků, ale i menších podniků, které například vyrábějí víc než 100 MW,“ upozorňuje Wenzel.

Povinnosti se dělí na organizační a technické: řízení rizik, identifikace aktiv, interní role a procesy, monitoring, hlášení incidentů a také konkrétní technické parametry (např. politika hesel či povinné MFA podle rolí). A sankce? „Jsme v částkách desítek až stovek milionů.“

Regulace ale nesměřuje jen na provozovatele. Na evropské úrovni se připravuje certifikace výrobků připojených k síti (Cyber Resilience Act) a posilují se necenová kritéria ve veřejných zakázkách, aby bezpečnost „neprohrála“ s nejnižší cenou.

• Niedermayer: Přestaňme obviňovat z růstu cen obnovitelné zdroje

Co z toho plyne pro praxi? Za prvé, bezpečnost řešte už ve fázi nákupu. Když platíte jen za kilowatty a ignorujete bezpečnostní funkce, kupujete si budoucí problém. Za druhé, provoz vyžaduje viditelnost: znát svá aktiva, mít přehled, kdo a kdy se připojuje, čím a odkud, a mít možnost to kdykoli auditovat. Za třetí, vzdálené přístupy musejí mít řád – individuální účty, časově omezené přístupy, princip minimálních oprávnění, logování a pravidelné revize. Praktickou pomůcku slibuje tým ČVUT UCEEB: „My ho chystáme. Doufáme, že bude venku někdy na podzim,“ říká Langerová.

Jak se vyhnout útokům i u domácích instalací? A jaké pokuty hrozí při podcenění zabezpečení? Zjistíte v nejnovějším díle podcastu Pod proudem, který vznikl na letošním ročníku Solární energie a akumulace. Epizoda je dostupná také na Spotify a Apple Podcasts.

Úvodní foto: Pixabay