Zahrnutí provozovatelů malých solárních elektráren nebo dobíjecích stanic pod kyberbezpečnostní regulaci vyvolalo už v začátku projednávání návrhu zákona o kybernetické bezpečnosti odmítavé reakce opozice.
Poslanec za hnutí ANO Marek Novák tehdy poukazoval na to, že podniky, které se sice nevěnují žádnému ze zranitelných oborů, ale fandí obnovitelným zdrojům, by se musely přizpůsobit přísnějším kyberbezpečnostním regulím. Zmínil přitom výrobce medovníku Marlenka, sanitární techniky SIKO koupelny, šicí závod na obleky Bandi nebo producenta kuchyňských potřeb Tescoma.
„Vážně si někdo myslí, že 30 stránek povinností, které dosud musely plnit podniky jako ČEZ, Čepro, MERO nebo ČEPS, velké telekomunikační firmy nebo správci významných informačních systému státu, dopadne na výrobce dortů, skla nebo sak?“ položil řečnickou otázku Novák s tím, že nárůst byrokracie pro cukráře nebo krejčí jen proto, že mají fotovoltaické panely nebo dobíjecí stanice, je nepřípustný.
Tvůrce návrhu zákona, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), v reakci na to vyjednal s Evropskou komisí výjimku a z regulace ve vyšším režimu vyjmul provozovatele solárních panelů s výkonem pod 1 MW.
K blackoutu stačí ovládnout 2 MW zdrojů
Zrovna fotovoltaika je přitom odvětvím, které je ohroženo kybernetickým rizikem bez ohledu na to, jak velkým podnikem provozovatel je. Platí to i pro stále populárnější bateriová úložiště, kam si energii vyrobenou panely provozovatelé elektráren ukládají. Nejenže tato infrastruktura sbírá a ukládá cenná data, ale lze ji dále zneužít na navazující útoky na kritickou energetickou bezpečnost. Asi nejzásadnější z tohoto pohledu je možnost získání vzdálené kontroly nad baterií s cílem poškodit konkrétního zákazníka, anebo v případě robustnější skupiny baterií dokonce celé energetické sítě.
„Baterie lze na dálku ovládat, dát jim příkaz, a tedy někdo se zlým úmyslem může této zranitelnosti využít. Vzhledem k celkovému množství bateriových úložišť připojených v EU do sítě se jedná o reálné riziko,“ varuje Pavel Bursa ze společnosti Resacs, který upozorňuje na to, že hardware i software pochází od čínských výrobců, u nichž nelze zaručit, co se s daty bude dít dál. K destabilizaci celé energetické sítě státu přitom stačí podle expertů ovládnout 1,5 až 2 megawatty energetických zdrojů.
Pro porovnání, podle údajů Solární asociace vyrostou ročně v tuzemsku nové fotovoltaiky s výkonem přes 1 gigawatt. Počítají se do toho nejen panely na střechách domů, ale i velké firemní elektrárny a solární parky. A přesto dosud žádný případ úspěšného útoku na solární elektrárny v tuzemsku zaznamenán nebyl. Naopak hořkou zkušenost s hackery cílícími na výrobníky energie ze slunce už mají Litva nebo Ukrajina.
Soláry v ohrožení z více stran
Pobaltská země má za sebou útok na solární elektrárny státní společnosti Ignitis používající systémy čínského výrobce Sungrow. Litevští zákonodárci na to reagovali zpřísněním předpisů a od letošního května začne platit nařízení omezující výrobcům čínských střídačů a baterií vzdálený přístup k zařízením s výkonem nad 100 kW.
Také v Americe byly střídače čínské provenience důvodem vzdáleného vypnutí celé elektrárny. Jenže zde nešlo o kybernetický útok, ale o spor mezi výrobcem zařízení Deye a jejich americkým dovozcem, který je instaloval v rozporu se smluvními podmínkami. Deye tak na dálku vypnul svá zařízení, která si koncový zákazník zakoupil, aniž by měl možnost zjistit, že v dodavatelském řetězci je cosi v nepořádku.
Střídače se u fotovoltaiky starají o úpravu proudu pro napojení do sítě. Často jsou přímo připojeny k internetu přes API pro monitorování a vzdálenou správu. A tato rozhraní obvykle nemají nejlepší zabezpečení. Útok hackerů pak začíná zneužitím zranitelností ve firmwaru střídače nebo připojení k internetu, kdy aktualizace firmwaru ponechá otevřený určitý port.
„Hackeři se mohou snadno dostat přes otevřené porty, zvláště pokud systém stále používá výchozí hesla. Jakmile jsou uvnitř, mohou převzít kontrolu nad měničem a manipulovat se systémem, například přerušením komunikace a cloudových funkcí, což vyžaduje ruční opravy, nebo někdy dokonce úplnou výměnu měničů,“ doplňuje Roman Kümmel, expert na kybernetickou bezpečnost z Počítačové školy GOPAS.
Také síťové útoky zneužívají otevřené porty. Následně do systému infiltrují malware nebo ransomware a zachycují nešifrovanou komunikaci. Zaznamenány byly i útoky přes cloud, kdy byla zachycována komunikace mezi solární instalací a cloudovou platformou. Jednalo se o útoky typu man-in-the-middle (MITM).
Po kompromitaci přihlašovacích údajů hackeři získávají přímý přístup k citlivým částem systému a mohou upravovat odesílaná data, vkládat škodlivé příkazy nebo krást důvěrné informace. I zde je tedy zásadní zabezpečení cloudových systémů prostředky prosazovanými návrhem kyberbezpečnostního zákona, tedy přes silná hesla, dvoufaktorovou autentizaci a šifrování.
Odpojené od internetu byly systémy bezpečnější
Druhá cesta ochromení solárních instalací vede přes SCADA systémy v nich používané. Snadným cílem jsou proto, že jsou navrženy tak, aby byly uživatelsky co nejpřívětivější. Riziko vystavení kybernetickým hrozbám u nich zvýšil fakt, že z původně izolovaných systémů přešly na propojenější sítě. I tady útočníky zajímá možnost zneužití slabého ověření, zastaralý software a nezabezpečené komunikační kanály k získání neoprávněného přístupu. To pak otevírá možnost manipulovat s ovládacím softwarem, vkládat falešná data, nebo dokonce deaktivovat kritické funkce.
Útoky na fotovoltaické systémy mohou být také jen přestupní stanicí k útoku do vnitřních sítí jejich provozovatelů. U útoků na ukrajinskou energetickou síť se například objevoval škodlivý kód typu wiper. Jeho hlavním cílem bylo zničit data a zahladit stopy po útoku.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU