Hackeri môžu napadnúť solárne systémy a narušiť dodávky elektriny. Ako sa brániť?
Solárne elektrárne v roku 2024 prvýkrát v histórii Európskej únie vyrobili viac energie ako uhoľné elektrárne a ich podiel má naďalej dramaticky rásť. Zároveň však, či už na domácej mikroúrovni alebo vo väčších celkoch, môžu byť terčom hackerov či dokonca diktatúrou riadeného útoku. V čom spočíva riziko a dá sa mu preventívne zabrániť?
V Česku na rozdiel od Slovenska solárne zdroje neustále expandujú. Podľa dostupných údajov bolo v roku 2023 na Slovensku pripojených celkovo 21 307 nových fotovoltických elektrární. Celkový nárast inštalovanej kapacity bol až o 400 % vyšší v porovnaní s rokom 2022. V roku 2024 však došlo k poklesu nových inštalácií. Presné údaje o celkovom počte pripojených fotovoltických elektrární na Slovensku momentálne nie sú k dispozícii.
V Česku bolo v minulom roku k sieti novo pripojených takmer 41 000 solárnych domácností, pričom celkový počet pripojených fotovoltických elektrární vlani činil viac ako 212 000.
S rastúcim počtom solárnych panelov na strechách a poliach rastie aj počet k nim pripojených batérií. Podľa Asociácie pre akumuláciu energie AKU-BAT CZ je v Česku spolu so solárnymi elektrárňami k sieti pripojených 157 507 batériových systémov s kapacitou takmer 2 GWh. Len v minulom roku bolo pripojených viac ako 36 000 solárnych systémov s batériami.
Význam batériových úložísk spočíva aj v tom, že ich možno spájať do väčších celkov a regulovať nimi množstvo elektriny v sieti, tzv. služby výkonovej rovnováhy, ako sme o tom informovali v našej nedávnej správe. Pre majiteľov je to ekonomicky atraktívna možnosť. Avšak diaľkovo ovládané batériové úložisko podlieha hrozbe kybernetických útokov.
Takejto hrozbe čelia všetky inteligentné spotrebiče, ktoré máte v domácnosti, od tlačiarní cez bezpečnostné kamery až po inteligentné žiarovky. Hackeri sa dokážu nabúrať do všetkých z nich. My sa však bližšie pozrieme na solárne systémy s akumuláciou.
Stačí laptop a mobil
Európska únia zaznamenala v roku 2023 viac ako 200 nahlásených kybernetických útokov na energetickú infraštruktúru. Agentúra EÚ pre kybernetickú bezpečnosť varuje, že počet takýchto útokov sa z roka na rok zvyšuje. Hackerom ide buď o finančné zisky (platby výkupného, manipulácia s trhom), alebo o zlomyseľné poškodenie či narušenie dodávok elektriny.
Z tohto dôvodu ich nelákajú malí prevádzkovatelia fotovoltaiky ako takej, ale zameriavajú sa skôr na väčšie celky. Napriek tomu sa aj malí hráči môžu stať terčom útokov a zneužitia. Vlani sa hackeri (podozrenie padlo na čínsku skupinu) nabúrali do 800 inteligentných elektromerov v Japonsku pripojených k solárnym elektrárňam a využili ich ako zadné vrátka na krádež peňazí z bankových účtov. Podľa miestnych médií útočníci použili elektromery na zakrytie vlastnej identity.
„Etický hacker“ Vangelis Stykas z Grécka minulý rok v rámci preverovania bezpečnostných solárnych systémov obišiel ich firewally, aby sa dostal sa k meničom pripojeným na cloude. Zo svojho domu v Solúne len pomocou notebooku a smartfónu získal prístup k solárnym elektrárňam v rôznych častiach sveta. Mal vo svojej moci viac elektrickej energie, než prúdi nemeckou sieťou, popisuje článok od agentúry Bloomberg.
Meniče (nazývané aj invertory alebo striedače) sú neoddeliteľnou súčasťou každého fotovoltaického systému. Prevádzajú prúd z jednosmerného prúdu (DC) na striedavý prúd (AC). Zlomyseľný hacker môže meniče vypnúť, infikovať ich škodlivým softvérom (malvérom) alebo do nich umiestniť digitálne nástražné pasce pre neskoršiu aktiváciu.
Stykas sa podľa agentúry Bloomberg dostal dostatočne ďaleko na to, aby mohol zariadenie vypnúť. Ak by to urobil, mohol by vážne narušiť stabilitu siete v oblastiach, kde fotovoltické zdroje zohrávajú dôležitú úlohu pri výrobe elektriny.
„Sme stále viac závislí od týchto zariadení (solárnych zdrojov), ale aj keď sa stávajú kritickou národnou infraštruktúrou, nie sú úplne bezpečné. Ak sa ich podarí hacknúť, zostane európska sieť, ktorá je základom celého nášho životného štýlu, zraniteľná,“ cituje agentúra Bloomberg Stykasa.
Meniče ako vstupná brána
V auguste 2023 hackeri napadli softvér austrálskej spoločnosti Energy One na obchodovanie s elektrinou. Spoločnosť, ktorá svoj produkt predáva aj do Európy, oznámila, že došlo k úniku dát a boli zasiahnuté „korporátne systémy v Austrálii a Veľkej Británii“. Firma v snahe obmedziť dosah útoku musela pristúpiť k vyradeniu „niektorých spojení medzi svojimi podnikovými a zákazníckymi systémami“, uviedol server PV Magazine.
K incidentu došlo len niekoľko dní po tom, čo austrálski výskumníci zverejnili správu, v ktorej varovali pred možným kybernetickým ohrozením elektrárenskej siete v súvislosti so solárnymi meničmi vyrobenými v zahraničí. Tieto zariadenia, zvyčajne pochádzajúce z Číny, sú podľa nich zraniteľné voči „ hackingu, malvérovým útokom, manipulácii a narušeniu“.
České Hospodárske noviny len nedávno informovali o incidente, keď čínsky výrobca meničov Deye na diaľku deaktivoval niektoré svoje výrobky na niekoľkých kontinentoch kvôli podozreniu, že boli predané cez neautorizovaných distribútorov. Bezpečnostní experti však zostali v strehu.
„Diaľkové odpojenie nelicencovaných zariadení totiž ukázalo, aké jednoduché by bolo v priebehu pár sekúnd a bez vedomia prevádzkovateľa prerušiť výrobu nemalej časti elektrární, ak by sa vzťahy s Čínou vyhrotili,“ píše denník.
„Jedným z najväčších rizík je diaľkové ovládanie batérií alebo panelov, ktoré môže spôsobiť nielen ekonomické straty, ale aj destabilizáciu celej siete,“ uviedol Pavel Bursa, spolumajiteľ spoločnosti Resacs, ktorá vyrába batériové systémy. „Predstavte si scenár, v ktorom útočník zmanipuluje tisíce zariadení tak, že to povedie k preťaženiu alebo výpadku energetického systému,“ dodal.
S tým, ako sa zo solárnych technológií stáva dôležitá súčasť elektrárenskej sústavy, by sa mal klásť náležitý dôraz na ich bezpečnosť. Napriek tomu to nie je pravidlom.
„Závratné tempo, akým sa solárne zdroje rozvíjajú, znamená, že ľudia možno neinvestujú toľko do riadenia rizík a zabezpečenia, ako by bežne investovali,“ povedal pre Bloomeberg hlavný spravodajský analytik poskytovateľa kybernetickej bezpečnosti Symantec.
„Ak to nebudeme brať vážne, ľudia v túto sieť stratia dôveru,“ uviedol pre rovnakú agentúru Nathan Morelli, šéf kybernetickej bezpečnosti v austrálskej energetickej spoločnosti SA Power Networks. Austrália je krajina s najvyššou solárnou penetráciou na svete.
Ako sa môže bežný používateľ chrániť
Docent Václav Oujezský z Fakulty informatiky Masarykovej univerzity v Brne pre Epoch Times povedal, že útočníci sa zameriavajú najmä na väčšie celky, nie na koncových používateľov.
Napriek tomu majiteľom malých solárnych elektrární hrozí, že aj oni budú ovplyvnení, keď sa hackeri nabúrajú do komunikačných kanálov alebo systémov ovládajúcich napríklad agregačné bloky alebo spoločnosti spravujúce na diaľku inteligentné domy.
Existuje celý rad metód a ciest, ako solárne zariadenia napadnúť, podotýka Roman Kümmel, odborník na IT bezpečnosť z Počítačovej školy GOPAS. Hackeri sa môžu dostať do solárnych zariadení prostredníctvom cloudových služieb, meničov, systémov SCADA, sietí Wi-Fi alebo cez poskytovateľov služieb tretích strán. „Akékoľvek zariadenie bez dohľadu a obmedzení môže byť vstupnou bránou do lokálnej infraštruktúry,“ varuje Marek Kocan, senior architekt kybernetickej bezpečnosti v spoločnosti ComSource.
Každý majiteľ solárneho systému môže na svojej strane podniknúť kroky na minimalizáciu šancí hackerského útoku. Český Národný úrad pre kybernetickú a informačnú bezpečnosť (NÚKIB) prostredníctvom svojej hovorkyne Alžbety Dvořákovej uviedol, že používatelia majú vo všeobecnosti nízke povedomie o tom, ako správne so zariadením pracovať a nastaviť ho. „Používateľ berie zariadenie ako niečo, čo si kúpi, nejakým spôsobom základne nastaví a potom sa o to ďalej nezaujíma, pokiaľ to nejako funguje,“ uviedla pre Epoch Times.
NÚKIB aj Oujezský sa zhodujú, že koncoví používatelia by mali venovať pozornosť trom základným veciam – hardvéru, softvéru a zabezpečeniu. V prvom rade by si mal majiteľ solárneho systému po inštalácii zmeniť heslo na prístup k meniču, prípadne ďalším službám. Čím je heslo silnejšie, tým ťažšie sa dá prelomiť. Oujezsky upozorňuje, že väčšina používateľov ponecháva predvolené heslo, čo útočníkom uľahčuje prístup do systému.
Pri výbere komponentov je dôležité dbať aj na dôveryhodnosť dodávateľa. NÚKIB odporúča, aby sa spotrebitelia pri rozhodovaní zaujímali o to, aké bezpečnostné funkcie prístroj má, prípadne či výrobca garantuje aktualizácie a podporu a na ako dlho. „Ako vždy, aj teraz je dobré sa pred kúpou informovať o možnostiach, parametroch a rizikách, či už u výrobcov alebo u predajcov,“ odporúča úrad.
Pokiaľ ide o softvér, používatelia by si mali nastaviť pravidelné aktualizácie alebo iné bezpečnostné prvky. Oujezsky varuje pred aplikáciami tretích strán. Hoci môžu ponúkať lepšie možnosti ovládania, môžu obsahovať bezpečnostné medzery. Napríklad Google Play podľa neho aplikácie automaticky preveruje na prítomnosť škodlivých kódov.
Pri zahraničnom softvéri si používatelia musia uvedomiť, že údaje budú pravdepodobne uložené v cloude v danej krajine. Jednou z tých rizikových je Čína – dominantný hráč v oblasti solárnych systémov. Zároveň však trpí nedostatočnou reguláciou a kontrolou kvality. Preto môže byť ťažšie zabrániť zneužitiu údajov a zaručiť ich bezpečnosť. Je to tiež krajina s diktátorským režimom.
Podľa Bursu je možnosť zneužitia v prípade európskych dodávateľov vo všeobecnosti oveľa nižšia.
„Nemôžem hovoriť za iných výrobcov, ale batérie Resacs, ktoré sa vyrábajú v Česku, majú architektúru aj softvér pod našou plnou kontrolou. Okrem iného to znamená, že aj všetky dáta zostávajú na území ČR a prístup k nim je obmedzený len na schválené subjekty,“ povedal o vlastných výrobkoch spoločnosti.
Pôvodný článok
ZDIEĽAŤ ČLÁNOK
