Kyberbezpečnost a energetická infrastruktura
Válka na Ukrajině vedla ke zvýšenému zájmu o vlastní zdroje elektřiny. Ten ale paradoxně vedl k širšímu využívání technologií pro fotovoltaiku, které pocházejí z Číny. A stejně jako u telekomunikací jsou o jejich zabezpečení oprávněné pochybnosti.
Nová éra kybernetických bezpečnostních rizik
Vývoj kybernetických bezpečnostních hrozeb v solární energetice se velmi podobá tomu, co jsme viděli před třemi desetiletími při nástupu internetu. Kdybychom se v roce 1995 zastavili a věnovali čas návrhu základních protokolů internetu tak, aby byly od základu kyberneticky bezpečné, ušetřilo by odvětví stovky miliard dolarů na následných korektivních opravách. S ohledem na tyto zkušenosti by měl solární průmysl standardně navrhovat své produkty s důrazem na kybernetickou bezpečnost, než dojde k jejich masovému rozšíření a než bude pozdě zabránit katastrofické kybernetické události, nebo než bude muset čelit neúměrně vysokým nákladům na dodatečné zavedení kybernetických bezpečnostních opatření. Bohužel dnes neexistuje žádný mandát nebo nařízení, které by takovou povinnost u výrobců solárních zařízení vynucovalo.
Sofistikovanost kybernetických útoků v posledních letech velmi vzrostla. Jedná se o útoky založené na umělé inteligenci, botnety a útoky nultého dne, stejně jako státem sponzorované útoky používané jako nástroj geopolitické agrese, přičemž energetická síť a síťová infrastruktura jsou potenciálním cílem.
Nedávné události, jako například kybernetický útok na významnou satelitní komunikační společnost během konfliktu na Ukrajině, vedly k odpojení 11 GW německých větrných turbín. Podobné útoky se zaměřují i na další obnovitelné zdroje energie a rozvodny, jak dokládají incidenty na Ukrajině, kde bylo napadeno několik rozvoden, což způsobilo rozsáhlé výpadky elektřiny v Kyjevě. Nedávno také získal nizozemský „bílý hacker“ známý jako Jelle Ursem přístup do 40 000 domácností v Nizozemsku prostřednictvím čínské aplikace pro monitoring střešních fotovoltaických systémů, což mu umožnilo prohlížet osobní údaje majitelů domů, vytvářet nové zákazníky a mazat stávající uživatele. Prostřednictvím souřadnic GPS měl také přístup k tomu, kolik elektřiny vyrábějí solární panely zákazníků, a mohl stahovat, upravovat a nahrávat firmware měničů.
Kybernetické bezpečnostní hrozby pro solární energii
Fotovoltaický měnič je důležitou součástí solárního systému, která přeměňuje energii vyrobenou solárními panely na použitelnou elektřinu. Je to také část, která se připojuje k rozvodné síti domácnosti nebo podniku a také k distribuční síti. Pokud se kybernetická bezpečnost nebere vážně, otevírá se prostor pro hackerské útoky na měnič, které by mohly vést k dálkovému ovládnutí a ohrožení dodávek elektřiny. Ať už jste majitel domu, majitel firmy nebo provozovatel sítě, měli byste zvážit, kdo má k těmto měničům přístup, a prověřit výrobce technologie s ohledem na kybernetickou bezpečnost.
Při výpadku sítě může její obnova trvat několik dní i déle. V případě kybernetického útoku to může trvat ještě déle, protože provozovatelé rozvodných sítí musí nejprve zjistit příčinu a místo problému a teprve poté vyčistit systém od narušitelů. Až následně může být zahájen proces zvaný „black start“ („start ze tmy“), jehož cílem je postupně obnovit síť, a opatrně uvést do provozu zdroje tak, aby byla zachována rovnováha nabídky a poptávky v síti. Když se důsledky kybernetického útoku na rozvodnou síť vyloží v těchto souvislostech, pětiprocentní podíl solární energie na celosvětové výrobě energie je najednou mnohem významnější. Vyvstává tak zásadní potřeba, aby se kybernetická bezpečnost stala prioritou od shora dolů.
Co je třeba udělat, aby byla solární energie kyberneticky bezpečnější?
Obrana proti dnešním vysoce sofistikovaným a automatizovaným kybernetickým útokům vyžaduje především zvýšení povědomí majitelů domů, podniků, provozovatelů rozvodných sítí a vlád o tom, že kybernetická bezpečnost solárních produktů se u jednotlivých výrobců výrazně liší. Pokud si uvědomíme, jaké riziko to představuje pro energetickou bezpečnost, je třeba změnit myšlení v celém energetickém hodnotovém řetězci, a to směrem k přístupu „prevence je lepší než léčba“. Ne jinak, než tomu je v případě robustních kybernetických bezpečnostních opatření standardně zabudovaných do telefonů nebo automobilů.
Začíná to u samotných výrobců, kteří v současné době většinou určují úroveň zabezpečení svých výrobků individuálně bez jakékoli regulace, což vede k rozdílným standardům. To je stejné jako u individuálního rozhodování výrobců automobilů o jejich bezpečnostních standardech. Technologické možnosti pro zvýšení kybernetické bezpečnosti při vývoji produktů existují, proto je nutné, aby výrobci upřednostnili investice do těchto technologií před snižováním nákladů a vyššími maržemi. Kybernetická bezpečnost by měla být neoddiskutovatelná, stejně jako požární nebo elektrická bezpečnost.
K prosazení tohoto cíle je nezbytná vládní regulace, která stanoví přísné normy kvality kybernetické bezpečnosti, jimiž se musí odvětví řídit. To začíná zavedením základních standardů kybernetické bezpečnosti pro všechna zařízení připojená k elektrizační soustavě, včetně decentrálních zdrojů energie, ale také snahou o zapojení výrobců solárních zařízení. Ti by se měli podílet na zavádění fyzických a softwarových bezpečnostních opatření a možností monitorování zabezpečení spolu s plány na zmírnění případných kybernetických útoků.
Nedávné zavedení standardu kybernetické bezpečnosti PSTI ve Velké Británii vytvořilo celosvětový precedens, který vyžaduje, aby všichni výrobci připojených spotřebitelských zařízení – včetně fotovoltaických měničů – dodržovali požadavky na sílu hesla, dobu podpory a technickou dokumentaci. V Evropě se očekává, že zákon o kybernetické odolnosti (Cyber Resilience Act) pod vedením Evropské komise, který má být dokončen ještě letos, bude od roku 2027 obsahovat mnohem delší seznam požadavků.
Návrh zákona se týká tisíců produktů internetu věcí, mezi nimiž jsou i solární měniče. To je sice dobrý výchozí bod, ale zlepšení kybernetické bezpečnosti solárních elektráren vyžaduje vlastní legislativní kategorii a prioritní zaměření – zejména v regionu, kde je solární energie považována za jeden z klíčových zdrojů energie pro snížení závislosti na zahraniční ropě a plynu. Některé pozitivní trendy lze pozorovat v USA, kde průmyslové asociace a certifikační laboratoře učinily první kroky k zavedení certifikačních norem.
Kybernetická bezpečnost by měla být vyžadována uživateli
Vlády se sice probouzejí, ale řešení kybernetické bezpečnosti v oblasti obnovitelných zdrojů se neobejde bez mezinárodní spolupráce, a to zejména v Evropě, kde je obchodování s elektřinou mezi jednotlivými zeměmi velmi rozšířené. Legislativu shora dolů je také třeba doplnit tlakem zdola nahoru a zajistit, aby majitelé domů i podniky investující do solární energie vyžadovali jako nezbytnou podmínku vysoké standardy kybernetické bezpečnosti.