Hackeři už se chystají na fotovoltaiku. Jak se co nejlépe zabezpečit?

Také díky štědrým dotacím došlo v posledních letech k rychlému nárůstu počtu instalací domácích fotovoltaických elektráren. Kromě zřejmých výhod to má ale také svá rizika. Nejčastěji se hovoří o hrozbě přetížení distribuční sítě nebo o možnosti kybernetických útoků na národní energetickou infrastrukturu či její součásti. Přehlížená zatím zůstávají kybernetická rizika spojená právě s domácími fotovoltaikami.

Moderní fotovoltaické systémy představují kombinaci technologií, které komunikují nejen v rámci systému mezi sebou, ale také s internetem, mobilními aplikacemi a energetickou sítí. Právě připojení domácí elektrárny k internetu, jež přináší mnoho výhod v čele s možností vzdáleného dohledu a řízení, otevírá prostor pro potenciální bezpečnostní rizika. „Fotovoltaické elektrárny je třeba brát stejně jako každé jiné zařízení připojené do lokální infrastruktury, které je třeba efektivně chránit před kybernetickými útoky. Rizika spočívají především v možnosti získávání informací ze zařízení a ovlivnění jejich běžného provozu – od prostého zablokování funkčnosti až po plné ovládnutí,“ vysvětluje Marek Kocan, seniorní architekt kybernetické bezpečnosti společnosti ComSource. „Situace může být ještě složitější v případě smart meterů, které umožňují automatizované dálkové měření spotřeby elektřiny a odesílají výsledky přes zabezpečené komunikační sítě přímo distributorovi,“ dodává.

Pro lepší pochopení rizik je nezbytné vědět, jak vlastně domácí solární elektrárna funguje z pohledu digitálních technologií. Zatímco solární panely přeměňují sluneční energii na stejnosměrný elektrický proud, měnič (jinak také střídač či invertor) jej převádí na proud střídavý, který můžeme využít v domácnosti. U fotovoltaik s ukládáním energie jsou součástí také baterie a celý tento systém je ovládán řídicími jednotkami.

Většina moderních systémů nabízí také mobilní aplikace, které majiteli umožňují sledovat výkon elektrárny, množství vyrobené energie nebo třeba aktuální stav nabití baterií. Tyto aplikace komunikují s řídicím systémem po internetu, nejčastěji prostřednictvím cloudové služby provozované přímo výrobcem zařízení, zpravidla střídače. To znamená, že data z domácí elektrárny putují na vzdálené servery a pak zpět do aplikace v telefonu.

Z hlediska kybernetické bezpečnosti jsou nejzranitelnější právě řídicí systémy, měniče a mobilní aplikace. Jde totiž o chytrá zařízení, která jsou připojena k internetu, aby umožnila vzdálené sledování výkonu, nastavení parametrů nebo aktualizaci softwaru. Připojení k internetu je nejčastěji zajištěno prostřednictvím domácí wi‑fi sítě. A pak je zde samozřejmě také připojení do distribuční sítě, kam fotovoltaiky dodávají přebytek vyrobené elektřiny. „Výsledkem napadení a zneužití systému dostupného z internetu může být nemalá škoda na majetku, například při záměrném přetížení bateriového pole. Zároveň je třeba si uvědomit, že útočníci nebudou cílit na jeden dům a jeden měnič, ale spíše na všechny měniče stejného typu. Pokud by například došlo k hromadnému útoku v době kritického přebytku elektrické energie, mohla by nemožnost odpojení vzdáleně řízených zdrojů způsobit zásadní problémy celé rozvodné soustavy,“ popisuje rizika Petr Koudelka, senior sales engineer společnosti Zyxel Networks.

Prostor pro potenciální rizika dále roste s mírou zapojení fotovoltaického systému do ekosystému chytré domácnosti. Solární elektrárna může komunikovat s chytrými termostaty, tepelnými čerpadly nebo klimatizačními jednotkami, různými spotřebiči spouštěnými při přebytku vyrobené elektřiny a samozřejmě také s nabíječkami pro elektromobily. Vzájemná komunikace těchto zařízení umožňuje optimalizovat spotřebu energie v domácnosti, ale současně rozšiřuje množství zranitelných bodů.

Hlavní kybernetická rizika

Bezpečnostní mezery mohou obsahovat už samotná zařízení, která fotovoltaický systém tvoří. Mezi nejčastější slabiny patří zabezpečení přístupu k zařízení slabým heslem. A pokud majitelé domácí elektrárny ponechají pro přístup ke správě svého systému heslo přednastavené výrobcem, jde vlastně o otevření dveří potenciálním útočníkům.

Dalším významným rizikem je zastaralý a nezabezpečený firmware, tedy základní řídicí software celého zařízení. Výrobci sice vydávají aktualizace, které opravují nalezené bezpečnostní chyby, ale ne všichni uživatelé tyto aktualizace pravidelně instalují. U některých méně rozšířených zařízení může navíc podpora výrobce zcela chybět.

Zásadním bezpečnostním rizikem může být nedostatečné zabezpečení komunikace střídače s cloudovou platformou jeho výrobce. Nejenže může dojít k úniku dat o spotřebě a výrobě energie, ale v extrémním případě by útočník mohl získat kontrolu nad celým systémem. Vlastní bezpečnostní zranitelnosti mohou obsahovat také mobilní aplikace pro správu fotovoltaických systémů. Tyto aplikace navíc často vyžadují přístup k různým dalším funkcím a obsahu telefonu a mohou tak ohrozit soukromí majitele.

Rizikům spojeným s připojením fotovoltaického systému na servery výrobce klíčových komponent není vůbec snadné čelit. Z hlediska provozovatele fotovoltaické elektrárny lze v zásadě jen nastavit bezpečné přihlašovací heslo (co nejdelší, složité a nikde jinde nepoužité), protože do samotných datových přenosů zasahovat nelze. „Pokud omezíme nebo zcela zastavíme přenos dat ze střídače, což je technicky celkem snadno řešitelné, nebude možné odesílat data důležitá pro provoz a řízení celého systému. Proto je nutné postupovat s velkou obezřetností,“ popisuje Koudelka.

I když tedy nelze datovou komunikaci střídače nebo jiných komponent se servery výrobce omezit či zastavit, je možné ji alespoň izolovat od ostatních zařízení v domácí síti. K tomu lze použít například virtuální síť VLAN nebo připojit zařízení k samostatnému přístupovému bodu či izolované wi‑fi síti. Pokud by následně došlo k narušení bezpečnosti fotovoltaického systému, útočník se alespoň nedostane k ostatním zařízením.

Co prozradí údaje o spotřebě?

Přestože zatím nejsou známy případy rozsáhlých útoků na domácí fotovoltaiky, ukazuje se toto riziko jako zcela reálné. Například v roce 2023 odhalili bezpečnostní výzkumníci zranitelnosti v populárních modelech měničů, které by útočníkům umožnily převzít kontrolu nad zařízením a potenciálně způsobit jeho fyzické poškození nebo ho zneužít jako vstupní bod do domácí sítě.

Fotovoltaika

Stáhněte si přílohu v PDF

Výrobci měničů v tom ale nejsou sami. Riziková totiž mohou být i napojení domácích elektráren na systémy dalších dodavatelů, které se mají starat například o inteligentní řízení spotřeby vyrobené či nakoupené elektřiny v rámci domácnosti, stejně jako o prodej přebytků na burze. Je zdokumentován případ, kdy útočníci zneužili nedostatečně zabezpečené rozhraní pro napojení takových (nejčastěji cloudových) služeb pro přístup k datům o spotřebě energie z tisíců domácností. Tato data následně využili k vytipování nemovitostí, jejichž majitelé pravidelně delší dobu nebývají doma.

I tyto příklady reálných rizik ukazují, jak důležité je, aby provozovatelé domácích elektráren důsledně dodržovali základní bezpečnostní opatření a současně byli také připraveni na reaktivní kroky v případě kybernetického útoku. „Měli by dbát na důvěryhodnost a kvalifikovanost dodavatele, který dokáže zajistit také kvalitní zabezpečení zařízení, včetně pravidelné aktualizace softwaru a spolehlivého ukládání dat. Zcela klíčové je odborné nastavení zařízení hned při jeho instalaci,“ radí Marek Kocan z ComSource.

Je také důležité kontrolovat, kdo má k systému přístup, a odebrat zbytečná oprávnění, například servisním technikům po dokončení práce. Pokud to systém umožňuje, je dobré si nastavit upozornění na podezřelé aktivity, jako jsou například opakované pokusy o přihlášení z neznámých míst nebo v neobvyklou dobu. Rovněž je vhodné pravidelně kontrolovat a zálohovat nastavení fotovoltaického systému, aby bylo možné v případě problémů rychle obnovit jeho funkce.

Článek byl publikován ve speciální příloze HN Fotovoltaika.