Článek
Odpojení fotovoltaiky, poškození baterie nebo hra s toky elektřiny. Tak mohou dopadnout solární či větrné elektrárny, které se staly obětí hackerského útoku.
Lidé si zatím málo uvědomují, že i fotovoltaika, kterou mají na střeše, je napojena na komunikační síť, a tudíž je stejně zranitelná jako jiná zařízení. Častým problémem domácích i větších firemních instalací je ponechávání původních hesel k přístupu do účtu, který má majitel elektrárny přidělený ke svému střídači. Díky němu se majitel elektrárny dostane do monitoringové aplikace, kde například vidí, kolik FVE vyrábí, zda se energie spotřebovává, ukládá do baterie, nebo teče do sítě apod., tedy služby, které majitelé solárů vítají a chtějí.
Elektrárny se však kvůli nedostatečnému zabezpečení mohou dostat do hledáčku kybernetických útočníků. Pokud by se hacker dostal k ovládání FVE, mohl by například změnit její výkon, a způsobit tak výpadek dodávek energie z tohoto zdroje, ale i jiné potíže.
„Případná kompromitace zabezpečení správy FVE by mohla způsobit například přepnutí do jiného režimu, než je požadováno, nebo aktivovat chod bez přetoků do elektrické sítě distributora. Tím pak zákazník přichází o peníze z vyrobené a prodané energie,“ říká Petr Němeček, produktový a technický ředitel společnosti Schlieger.
Mohlo by také dojít k přenastavení práce s baterií. Nejenže by mohla energie odběrateli chybět ve chvíli, kdy ji potřebuje, ale případný útok může baterii nevratně poškodit. „Lze ji dálkově vybít, respektive tzv. podbít, a tím se její životnost může nenávratně narušit,“ varuje Lukáš Papež, expert na FVE společnosti Woltair. Napadení systému však podle něj nevede ke katastrofickým scénářům typu výbuch domácnosti.
V historii jsme již byli svědky ransomware útoků, napadaly například chytré termostaty. Pro zapnutí, nebo naopak snížení teploty v domě útočníci rovněž požadovali výkupné.
Situace však může být i vážná, pokud by útočník za zprovoznění elektrárny požadoval například vysoké výkupné. „V historii jsme již byli svědky ransomware útoků, které napadaly například chytré termostaty. Pro zapnutí, nebo naopak snížení teploty v domě útočníci rovněž požadovali výkupné,“ říká Roman Kümmel, odborník na IT bezpečnost Počítačové školy GOPAS, a dodává, že další na řadě mohou být fotovoltaiky.
Provozovatel si musí zajistit zabezpečený přístup k aplikaci v rámci sítě a neponechávat si heslo, které jim navrhl výrobce. Původní hesla jsou totiž v podstatě „veřejně“ dostupná.
„Mnoho provozovatelů elektráren si ponechává heslo, jež nastavila firma, která elektrárnu instalovala. Je důležité si uvědomit, že tato firma pravděpodobně používá stejné heslo u všech svých zákazníků, a použité heslo je tak veřejným tajemstvím,“ popisuje Kümmel.
Problém takto nastavených hesel se podle Kümmela netýká pouze malých domácích elektráren s výkonem do 10 kWp, ale i velkých instalací s výkonem v řádech i několika MWp.
„Nejsnazší forma útoku je možná v případě, pokud je u wifi routeru nebo na střídači FVE nastavené výchozí heslo nebo snadno odhadnutelné heslo. Součástí každé naší instalace je proto řádné nastavení zařízení a změna výchozích hesel,“ popisuje David Krásenský, ředitel IT a marketingu Columbus Energy.
Společnosti se sice zatím s hackerskými úroky na fotovoltaiky nesetkávají, přesto apelují na klienty, aby svá data chránili vypnutím, resetováním či přenastavením systému. Počet solárních elektráren za poslední rok a půl v Česku vzrostl o stovky procent a přestože mají základní zabezpečení, mohou být zranitelné jako každá jiná zařízení připojená k internetu.
Žádná cenná data zde nejsou. V tomto případě by měl útok význam na velký počet instalací, např. všechny instalace velkého dodavatele nebo výrobce, nebo na velké elektrárny, kde by mohlo dojít ke způsobení velké škody.
Instalační firmy proto doporučují zákazníkům, aby využívali silná hesla a pravidelně je měnili. Prostě se chovali stejně jako u jiných zařízení napojených na síť, kde to berou jako samozřejmost. „Klienty během procesu registrace zařízení a při nastavení sériových účtů informujeme, že jakmile bude z naší strany dílo předáno a v provozu, ať si defaultní heslo změní, a zároveň je upozorňujeme, aby věnovali pozornost i zabezpečení své lokální internetové sítě,“ říká Papež. Podle Kümmela je optimální délka hesla alespoň 18 znaků.
Otázkou však je, co by útočník napadením elektrárny získal. „Žádná cenná data zde nejsou. Útok by měl význam, pokud by mířil na velký počet instalací, např. všechny instalace velkého dodavatele nebo výrobce, nebo na velké elektrárny, kde by mohlo dojít ke způsobení velké škody,“ říká Krásenský.
Cloudové řešení využívá řada výrobců střídačů do elektráren. Systémy bývají pravidelně aktualizovány třetí stranou, tedy ani uživatelem, ani instalační firmou, ale výrobcem. I z pohledu klienta je tento účet omezený, takže nemůže zařízení nijak zásadně ovládat.