Jak často se setkáváte s bezpečnostními zranitelnostmi u mikrozdrojů, zejména domácích střešních fotovoltaik?
Velmi často, přičemž domácí instalace na tom bývají z bezpečnostního hlediska nejhůře. Najdeme u nich širokou škálu problémů – od zranitelností způsobených samotným výrobcem až po konfigurační chyby instalačních firem. Mezi nejčastější patří slabá hesla, ploché sítě, viditelné Wi-Fi, veřejně dostupné firmwary, nebo dokonce přímé otevření části systému do veřejného internetu. Kromě toho mají někteří výrobci střídačů špatně zabezpečené platformy pro vzdálený přístup a monitoring instalace. Co se týče zranitelností vnesených samotnými výrobci, v posledních letech bylo několik takových případů odhaleno a zveřejněno například společnostmi Trend Micro či Bitdefender. Letos se navíc chystá další významná prezentace na konferenci Black Hat.
Je podle vás tato problematika v České republice dostatečně známá?
Obecně bych řekla, že ne. V odborné komunitě se toto téma občas objeví, například v diskuzních fórech o fotovoltaice, ale většinou jen velmi obecně. Mezi koncovými zákazníky a širší veřejností je povědomí o těchto rizicích téměř nulové.
Co byste řekla o úrovni edukace instalačních firem v této oblasti?
Liší se případ od případu. Některé firmy se vzdělávání v oblasti bezpečnosti věnují systematicky a dlouhodobě, ale těch je jen minimum. Většina s tím začíná teprve nyní, nebo tuto problematiku neřeší vůbec. Celkově je úroveň edukace velmi nejednotná a existuje zde značný prostor pro zlepšení.
Jaká jsou nejkritičtější místa v instalaci?
To závisí na typu instalace. Velké komerční výrobny se z hlediska legislativy, správy, provozu i přístupu liší od malých rezidenčních fotovoltaik. Stejně tak se liší motivace útočníků k jejich napadení. Kritická místa lze určit až po důkladné analýze konkrétního systému. Obecná odpověď zde příliš nefunguje – je nutné řešit bezpečnost individuálně nebo alespoň v rámci modelových situace.
Lze to tedy uvést na příkladu?
Velké komerční výrobny mohou být terčem ransomware útoků, které ochromí jejich provoz a požadují výkupné za obnovení. Dalším rizikem je cílená sabotáž, kdy útočník naruší provoz elektrárny s cílem způsobit ekonomické škody. Pokud má výrobna dostatečný výkon, může dojít i k manipulaci s jejím provozem, což by mohlo narušit rovnováhu elektrické sítě a vynutit aktivaci záložních zdrojů SVR. Takové útoky mohou být motivovány geopolitickými zájmy a prováděny státem sponzorovanými hackerskými skupinami.
Menší rezidenční a komerční instalace jsou zranitelné především kvůli napojení na cloudové servery výrobců. Pokud by útočník prolomil zabezpečení těchto serverů a získal administrátorská oprávnění, mohl by hromadně ovládat tisíce připojených instalací. V součtu by tak měl kontrolu nad výkony v řádech gigawatt. Tento typ rizika je pro energetiku relativně nový a zatím není dostatečně řešen. Zatímco útok na jednotlivou domácí instalaci by neměl zásadní dopad, kompromitace centrálního serveru spravujícího tisíce systémů už může být velmi atraktivním cílem pro různé hackerské skupiny.
Většina technologie pochází z Číny. Představuje to nebezpečí?
Ano, a je důležité si to otevřeně přiznat. Jakýkoli téměř nediverzifikovaný dodavatelský řetězec představuje riziko, jak jsme viděli například u ruského plynu. Nyní se sice přesouváme od fosilních paliv k clean-techu, ale problém závislosti na jednom dominantním dodavateli přetrvává – jen místo Ruska jde o Čínu.
Materiálová závislost je do určité míry nevyhnutelná, protože Evropa v tomto ohledu nikdy nebude zcela soběstačná. Softwarová závislost a konektivita na čínské servery je však oblast, kde existuje prostor pro snížení rizik. Omezit tuto závislost by mělo být naším strategickým zájmem.
Zdroj: Autorský rozhovor
