Česká energetika během posledních let v domácí produkci elektřiny pozoruje nárůst segmentu fotovoltaických elektráren (FVE), s čímž se pojí i nová rizika. V letech 2022 a 2023 skokově narostla výroba elektřiny prostřednictvím především tzv. „malých“ FVE. S rostoucím podílem výroby solární elektřiny pomocí těchto malých, převážně domácích FVE však roste i význam hrozeb s nimi spjatými.
STŘÍDAČ JAKO TZV. CHYTRÝ, A TUDÍŽ I ZRANITELNÝ, KOMPONENT MALÝCH FVE
Zásadním, a téměř vždy jediným „inteligentním“ komponentem FVE, je střídač (anglicky power inverter). Ten převádí stejnosměrný proud z fotovoltaické elektrárny na střídavý proud a následně směřuje elektřinu do domácnosti či sítě. Malé FVE jsou v ČR vybavovány tzv. asymetrickým střídačem, který dokáže alokovat vyrobenou energii podle reálné spotřeby domu tak, aby byla co nejlépe využita. V tuzemském prostředí s fázovým měřením je využití asymetrických střídačů u malých FVE finančně výhodnější, protože v ČR může být elektřina dodávaná do sítě z FVE odkupována za výrazně nižší cenu, než ta odebíraná od dodavatele. Jelikož se asymetrické střídače pro malé FVE používají převážně na malém českém trhu, chybí zde konkurence a téměř všichni výrobci (až okolo 95–99 % zařízení) pocházejí z Čínské lidové republiky (ČLR). Západní konkurence je v současnosti natolik cenově nepříznivá, že pro zákazníka de facto nepřipadá v úvahu. Jak hardware, tak software u malých FVE v ČR je proto typicky čínský.
STŘÍDAČE ČÍNSKÉHO PŮVODU NESOU ZVÝŠENÁ RIZIKA PRO DISTRIBUČNÍ SÍŤ I DŮVĚRNOST DAT
Střídače jsou připojené na internet pomocí tzv. data loggerů, vestavěných komunikačních rozhraní, nebo systémů třetích stran (tzv. energetických manažerů domácnosti) pomocí kterých mohou výrobci, servisní společnosti a koncoví uživatelé dálkově spravovat střídač. V případě asymetrických střídačů od dodavatelů z ČLR vznikají rizika s ohledem na ochranu dat a možnou vzdálenou manipulaci, která může mít vliv na chod distribuční sítě. Data logger (nebo jeho ekvivalent), je součástka připojená ke střídači, která zajišťuje připojení na internet. Ve většině případů je připojení zajištěno přes Wi-Fi či LAN kabel, či přes datové připojení pomocí SIM karty. Přes něj pak zadává příkazy výrobce a případně i další třetí strany, typicky servisní společnosti. Dle informací od partnerů NÚKIB je prodloužená desetiletá záruka na střídače od výrobců podmíněna tím, že jsou připojené k data loggeru, který v pravidelných intervalech posílá data o činnosti střídače na servery do ČLR a umožňuje ovládání FVE na dálku. Tento požadavek je do jisté míry legitimní, protože opravy a údržba se řeší vzdáleně a výrobce přístup potřebuje pro řešení závad.
FVE jsou specifické tím, že je možné je téměř okamžitě zapnout a vypnout. Tato funkcionalita ale přináší riziko možného zneužití, vedoucí k přetížení sítě nebo výpadkům, pokud by chtěl útočník dosáhnout narušení distribuční sítě. Schopnost náhle vzdáleně vyřadit střídač z provozu dokládá loňský případ, kdy čínská společnost Deye bez předchozího vědomí či souhlasu uživatelů odpojila střídače v USA a dalších zemích. Informace o důvodu odpojení se v dostupných zdrojích různí. Existují obavy i z dalších rizik zneužití data loggeru. Ačkoli účelem data loggeru je odesílat provozní data dodavateli a výrobci, škodlivý aktér by touto cestou mohl získat a následně zneužít data o činnosti organizace, která FVE využívá – například množství produkované a využité elektřiny v konkrétních časových úsecích pro obchodní účely či vytipování kritických momentů pro optimalizaci potenciálního koordinovaného útoku. Touto cestou by mohl také objevit zranitelnost FVE. Zásadním problémem je též riziko nedostatečného zabezpečení zařízení výrobcem. Již v roce 2023 střídače společnosti Deye postrádaly zásadní bezpečnostní komponent a nesplňovaly tak německé standardy.
Ve střídači lze zároveň měnit firmware a aktualizovat jej dle potřeby, což se zejména na počátku jeho zavedení děje pravidelně. Zákazník ani český distributor do těchto aktualizací nevidí a nedokáže určit, zda mohou být škodlivé, obsahovat backdoor apod. Dalším zranitelným místem pro uživatele může být aplikace (od mobilních po webové), která zákazníkovi poskytuje monitoring produkce elektrárny. Podobně jako u jiných aplikací zde existuje riziko sběru dat nad míru potřeb aplikace či možnost kompromitace střídače či zařízení uživatele skrze aplikaci. Závažnost tohoto scénáře dokresluje skutečnost, že již byl zaznamenán případ úniku přihlašovacích údajů k řádově tisícům solárních elektráren po celém světě, přičemž uniklá data byla nabízena k prodeji na darkwebu. Další neméně závažný problém se týká přístupu výrobců k opravám zranitelností. U části čínských výrobců se doba od přijetí ohlášení o zranitelnosti do vydání opravy často pohybuje v řádu několika měsíců, a v některých případech výrobce na výzvy k opravě dokonce nereaguje vůbec. Výsledkem je, že v současné době v elektroenergetické síti existuje určité nezanedbatelné procento čínských střídačů připojených k serverům čínských výrobců, na kterých se nacházejí neopravené kritické chyby.
Tyto chyby mohou v případě zneužití umožnit útočníkovi vzdálené převzetí kontroly nad celými flotilami malých střídačů. Útočník pak může na dálku hromadně měnit provozní parametry,zapínat a vypínat střídače nebo do nich nahrávat škodlivý firmware.V neposlední řadě existuje možnost použít samotný střídač připojený na domácí Wi-Fi jako vektor pro útok na síť domácnosti či společnosti, do které je připojen, a kompromitovat jiná zařízení v síti.
ČÍNSKÉ LEGISLATIVNÍ PROSTŘEDÍ A NEGATIVNÍ ZKUŠENOSTI S OCHRANOU DAT UŽIVATELŮ ZE STRANY ČLR DÁVÁ DŮVOD K OSTRAŽITOSTI
V případě, že by ČLR měla motivaci provést destabilizační či destruktivní útoky na českou elektroenergetickou síť, skrze čínské dodavatele by díky tamnímu legislativnímu prostředí za stávajícího stavu téměř jistě (90–100 %) disponovala schopností, jak takového cíle dosáhnout. Čínské právní prostředí přikazuje součinnost čínských společností se státem. Charakteristickým prvkem legislativy ČLR a čínského pojetí státní bezpečnosti je široce definovaná povinnost každého občana a organizace podílet se na zajištění státní bezpečnosti a spolupracovat se státními orgány. Tato povinnost je definována v zákonech ČLR. Čínské společnosti jsou povinny spolupracovat s čínským režimem a dodávat mu na vyžádání citlivé informace, případně mu poskytnout součinnost. Komunistická strana Číny navíc ustanovuje mechanismus vlivu na čínské soukromé společnosti prostřednictvím tzv. stranických buněk, které je povinné dle Zákona o společnostech ustanovit v každé společnosti zahrnující alespoň tři členy strany.
Strana tak disponuje přímou linkou do společností a téměř jistě (90–100 %) jí to umožňuje mít vliv na jejich chod. ČLR zároveň vynakládá značné úsilí pro sběr informací o zranitelnostech nultého dne (vč. ustanovení zákonné povinnosti nahlašovat je státu) a je velmi pravděpodobné (75–85 %), že je využívá pro státem sponzorované ofenzivní kybernetické aktivity.20 Globálně je evidována řada případů pochybení ohledně nakládání s osobními údaji uživatelů služeb či aplikací pocházejících z ČLR. Jedná se o zneužití dat uživatelů aplikací TikTok a WeChat či zneužívání zranitelností v rámci aktivit čínských státem sponzorovaných skupin. V kybernetickém prostoru jsou zdokumentovány i aktivity s cílem přípravy operačního prostředí (tzv. prepositioning, tedy získání dlouhodobého přístupu a vytvoření výhodné pozice v cílených systémech pro případ budoucího konfliktu). Důvody výše a případy upřednostnění geopolitických zájmů Pekingu na úkor bezpečnosti uživatelů v zahraničí dává důvod k pochybnostem o bezpečnosti FVE střídačů ve správě čínských dodavatelů.
S ROSTOUCÍM PODÍLEM MALÝCH FVE POROSTE I HROZBA SPOJENÁ S NEDŮVĚRYHODNÝMI DODAVATELI
Malé FVE tvoří stále větší podíl celkové produkce energie v ČR a tento trend bude výhledově pravděpodobně (55–70 %) pokračovat. S rostoucím podílem na energetickém mixu získá koordinované vzdálené odpojení či připojení většího počtu FVE potenciál poškodit chod celé distribuční sítě. Střídače jsou navíc běžně vybaveny pokročilými funkcemi, které mají za běžného provozu pomáhat stabilizovat elektrickou síť. Pokud by však došlo k jejich cílenému zneužití, mají potenciál se z mechanismu určeného k udržení stability stát spouštěčem rozsáhlé nestability. Dramatické propady či přerušení v produkci elektřiny (ať úmyslným zásahem nebo poruchou) mohou mít dalekosáhlé, ne-li destruktivní následky pro distribuční síť. V současnosti je naše soustava na hranici hodnot, které je schopna v takovém scénáři pokrýt (3 000 MW). V neposlední řadě je třeba zohlednit i riziko útoků s fyzickými dopady. Útočník může například do střídače nahrát škodlivý firmware, kterým zablokuje chod chladicího ventilátoru střídače, nebo zneužít jiné funkce tak, aby způsobil selhání střídače. Takové zásahy mohou vést k trvalému poškození střídače, a v krajním případě (při souběhu více okolností) dokonce k až vyvolání požáru. Tato rizika se budou vztahovat i na kritickou infrastrukturu či instituce strategického významu, jež jsou připojené (a tudíž odkázané) na distribuční síť či přímo napojené na malé FVE. Je proto nutné zajistit maximálně zabezpečenou a spolehlivou síť FVE.
Komentáře