Nedostatečná úroveň kyberbezpečnosti solárních elektráren: první incidenty a role Číny

Tlak EU na rychlou expanzi obnovitelných zdrojů vedl v posledních letech k masivnímu nárůstu realizací solárních elektráren. Například jen v ČR dodává do sítě elektřinu již více než 212 tisíc instalací o celkovém instalovaném výkonu přes 4430 MWp [1]. S touto expanzí však přichází i nové výzvy v oblasti kyberbezpečnosti.

Naprostá většina solárních systémů se kvůli vzdálené správě a monitoringu provozuje připojená na servery výrobce. Výrobci už takto spravují instalace o celkovém výkonu v řádech desítek až stovek gigawattů. V odborné komunitě proto roste obava z možných kyberbezpečnostních rizik spojených s touto centralizací. Pokud by se administrátorský přístup k této infrastruktuře dostal do nesprávných rukou – ať už útočníka, který prolomí slabé zabezpečení, nebo státu v případě geopolitického konfliktu – mohla by hromadná manipulace s výkonem vážně narušit stabilitu elektroenergetické sítě.

Události posledního roku ukázaly, že kybernetická bezpečnost fotovoltaických systémů je stále větším tématem nejen pro odbornou komunitu, ale i pro regulátory a zpravodajské služby.

Kyberbezpečnost obnovitelných zdrojů v roce 2024

Rok 2024 přinesl řadu událostí, které postupně vyostřily debatu o kybernetické bezpečnosti fotovoltaických systémů. Zatímco na začátku roku šlo primárně o technické analýzy, varování expertů a rozbor zranitelností, v průběhu roku postupně došlo k několika incidentům a koncem roku už se začala diskutovat a přijímat první konkrétní opatření.

První varovné signály: Od analýz zranitelností k reálným útokům

V lednu vydává Trend Micro analýzu [2] zranitelností pěti vybraných střídačů. Analýza vyvolává v odborné komunitě diskusi o tom, nakolik jsou solární elektrárny skutečně chráněny před kybernetickými útoky.

Už v květnu dochází v Japonsku k reportování prvního významného incidentu [3] při kterém se hackerům podařilo převzít kontrolu nad 800 zařízeními SolarView Compact pro vzdálený monitoring solárních systémů. Zranitelnost byla údajně využita k eskalaci útoku a vedla až k odcizení bankovních účtů. Uvádí se [4], že za útokem stála hackerská skupina s vazbami na Čínu a Rusko.

V květnu také vystupuje na konferenci OWASP Vangelis Stykas, který prezentuje [5] analýzu zranitelností cloudových platforem pro šest různých, převážně čínských, výrobců střídačů. Ve všech testovaných případech se mu podařilo velmi snadno získat administrátorský přístup k celé platformě. V pěti z šesti případů se navíc mohl velmi snadno dostat k updatu firmwaru střídačů.

Zranitelnosti se nacházejí neustále a napříč všemi sektory. Rozhodující je, jak na jejich odhalení firma zareaguje. V případě Stykasova oznámení ho většina výrobců naprosto ignorovala. Stykas měl celkově přístup ke kumulovanému výkonu třikrát převyšujícímu výkon celé německé elektrizační soustavy (780 GW). To vyvolalo v odborné komunitě velkou diskuzi o hrozbě hromadného vzdáleného řízení solárních elektráren.

Reakce států a další incidenty

V červenci vydává FBI oficiální varování [6] před narůstajícím počtem kybernetických útoků vůči sektoru obnovitelných zdrojů energie v USA. Zdůrazňuje geopolitickou motivaci těchto útoků a upozorňuje, že škodliví aktéři se snaží narušit provoz elektráren, krást duševní vlastnictví nebo provádět ransomware útoky.

V srpnu jsou vydány další analýzy zranitelností. Bitdefender publikuje analýzu [8] zranitelností střídačů Solarman a Deye. Kybernetický expert Igor van Gemert na LinkedInu zveřejňuje příspěvek o hackování střídačů za účelem způsobení požáru [7]. Paralelně vychází článek [9] Berta Huberta s názvem „The gigantic and unregulated power plants in the cloud“, který detailně popisuje rizika cloudových platforem a jejich potenciál pro hromadnou manipulaci s výkonem solárních elektráren. Nizozemský DIVD odhaluje [12] šest nových zero-day zranitelností v zařízeních Enphase IQ Gateway, která se používají pro řízení solárních elektráren. Zkombinováním prvních tří z těchto šesti zranitelností může neautentizovaný útočník získat nad zařízením plnou kontrolu. Společnost Enphase uvádí, že má nasazeno přibližně čtyři miliony systémů ve více než 150 zemích.

V září oznamuje [10] Americké ministerstvo spravedlnosti odhalení íránského aktéra, který se zaměřoval na sběr zpravodajských informací v solárním sektoru. Ve stejném měsíci dochází k prvnímu geopoliticky motivovanému útoku v Evropě – proruská hacktivistická skupina Just Evil vede koordinovaný kybernetický útok na litevskou energetickou infrastrukturu, konkrétně na státem vlastněnou energetickou holdingovou společnost Ignitis Group [11]. Hackerská skupina údajně získala přístup k monitoringu spotřeby energie u 22 klientů, včetně nemocnic a vojenské akademie, prostřednictvím kompromitované platformy pro monitoring čínského výrobce střídačů.

V říjnu je zaznamenán problém hromadného vzdáleného vypnutí čínských střídačů Deye v USA, Pákistánu a Velké Británii [13]. Uživatelé hlásili, že jejich zařízení zobrazovala zprávu naznačující, že střídače nejsou povoleny k použití v daných zemích, a byli vyzváni ke kontaktování místních distributorů.

První regulační opatření v Evropě

Tento vývoj přiměl několik evropských států k prvním konkrétním krokům. Rumunsko v říjnu oznamuje, že zvažuje zavedení povinných kyberbezpečnostních auditů pro fotovoltaické elektrárny [14]. Litevský parlament v reakci na rostoucí obavy z kybernetických hrozeb a geopolitického konfliktu v listopadu přijímá legislativu, která zajišťuje omezení vzdálených přístupů čínských výrobců střídačů a baterií k zařízením s výkonem nad 100 kW. Nařízení, které vstoupí v platnost v květnu 2025, umožňuje nadále provozovat a instalovat čínské technologie, avšak s podmínkou, že bude znemožněno jejich vzdálené ovládání.

Na Litvu navázala estonská zpravodajská služba Valisluureamet. Ta ve své výroční zprávě [15] věnovala samostatnou kapitolu hrozbě čínského vlivu v elektroenergetice. Upozornila na to, že Čína se snaží rozšiřovat svou technologickou přítomnost v evropských energetických sítích, a varovala před riziky spojenými se závislostí na čínských výrobcích. Výslovně přitom zmínila paralelu s telekomunikačním sektorem. To je velmi relevantní i pro ČR, zapomnětlivé lze odkázat na [16].

• „Během posledního roku jsme byli svědky toho, jak čínská technologie proniká do zcela nové oblasti v Estonsku – do elektrické sítě. Zavedení čínských měničů a systémů pro ukládání energie do estonských elektrických sítí by dříve či později mohlo vést k opakování scénáře s 5G v telekomunikacích. Jak podnikatelský sektor, tak vláda si musí být plně vědomy důsledků zavádění čínské technologie do kritické infrastruktury Estonska.“
• „Vzestup a globální rozšíření čínské technologie nejsou pouze výsledkem píle a podnikavosti čínských talentů; jde o součást strategického úsilí Číny o posílení svého politického vlivu spolu s exportem vlastních standardů. Cílem Číny je dosáhnout stavu, kdy integrovaná technologická řešení nebude možné nahradit západními technologiemi kvůli jejich nekompatibilitě a hlubokému propojení s čínskou infrastrukturou.“

Události roku 2024 odstartovaly širší debatu o kybernetické bezpečnosti energetiky, která se dále vyostřila na začátku roku 2025 v Německu.

Kyberbezpečnost v energetice tématem roku 2025

Na přelomu prosince a ledna probíhala v Německu velmi vyostřená debata ohledně přijímání novely energetického zákona, která primárně cílila na urychlení roll-outu smartmeterů. Tato legislativa měla podpořit digitalizaci energetiky a umožnit efektivnější řízení spotřeby a výroby elektřiny. Ve finále ale otevřela i širší otázku kybernetické bezpečnosti, především v kontextu nedostatečně zabezpečených cloudových platforem a rizik spojených se vzdálenými přístupy. Tato debata odstartovala sérii článků, viz např. [17] nebo [18], které podrobně rozebíraly čínský vliv v oblasti solární energetiky a možná bezpečnostní rizika spojená s používáním čínských technologií v klíčových součástech energetické infrastruktury. V ČR toto téma otevřely Hospodářské noviny v článku [19].

Otázka kyberbezpečnosti se otevřela také na evropské úrovni, v nedávné době například v legislativě upravující aukce OZE. EU do legislativy nově zavádí tzv. necenová kritéria, která umožní v aukcích zohlednit mj. kybernetickou bezpečnost a kontrolu dodavatelského řetězce. Zvláštní důraz je kladen na omezení rizika závislosti na čínských technologiích.

To vše je součástí širšího „de-risking“ trendu, který EU od začátku ruské války na Ukrajině prosazuje jako strategii vůči Číně [20, 21]. Dlouholetá dominance Číny v solární energetice tak poprvé naráží na bezpečnostní mantinely. S postupující digitalizací a rostoucím rizikem kybernetických útoků si státy i regulátoři stále více uvědomují, že přehnaná technologická závislost a málo diverzifikované trhy mohou být nejen ekonomickým, ale i strategickým rizikem.

Závěr: Evropská fotovoltaika je kyberneticky zranitelná

Události posledních měsíců jasně ukázaly, že možnost zneužití zranitelností v solárních systémech není jen hypotetickou hrozbou, kterou se občas navzájem straší bezpečnostní komunita na konferencích. Od odhalení zranitelností v cloudových platformách, přes kybernetické útoky na energetickou infrastrukturu, až po geopoliticky motivované incidenty, všechny události potvrzují, že solární instalace se stávají stále častějším a atraktivnějším cílem kybernetických útoků.

Množství zveřejňovaných zranitelností jasně ukazuje, že celková úroveň kyberbezpečnosti v solárním sektoru je zcela nedostatečná. Odpovědnost za změnu teď neleží jen na politicích a regulátorech. Nejrychlejší změnu může přinést trh – investoři a provozovatelé, kteří musí od výrobců aktivně vyžadovat vyšší kyberbezpečnostní standardy. Pokud bude při výběru technologií vysoká úroveň kyberbezpečnosti rozhodujícím kritériem, výrobcům nezbude nic jiného než se požadavkům zákazníků přizpůsobit. Fotovoltaika nesmí zůstat snadným cílem kybernetických útoků nebo nástrojem pro případné geopolitické vydírání.

Použité zdroje

1. SOLÁRNÍ ASOCIACE. Počet připojených zdrojů do elektrizační soustavy se loni zvýšil o čtvrtinu. Celkový instalovaný výkon v ČR vzrostl o temelínský blok [online]. [vid. 2025-02-05]. Dostupné z:
   https://www.solarniasociace.cz/2025/01/pocet-pripojenych-zdroju-do-elektrizacni-soustavy-se-loni-zvysil-o-ctvrtinu-celkovy-instalovany-vykon-v-cr-vzrostl-o-temelinsky-blok-2/
2. Distributed Energy Generation Gateway (In)Security | Trend Micro (US) [online]. [vid. 2025-02-07]. Dostupné z: https://www.trendmicro.com/vinfo/us/security/news/security-technology/distributed-energy-generation-gateway-insecurity
3. Hijack of monitoring devices highlights cyber threat to solar power infrastructure | CSO Online [online]. [vid. 2025-02-07]. Dostupné z: https://www.csoonline.com/article/2119281/hijack-of-monitoring-devices-highlights-cyber-threat-to-solar-power-infrastructure.html/amp/
4. Detailed Analysis of ‘Operation Japan’ Campaign | by S2W | S2W BLOG | Medium [online]. [vid. 2025-02-14]. Dostupné z: https://medium.com/s2wblog/detailed-analysis-of-operation-japan-campaign-14834a14a684
5. (19) Gridlock: The Dual-Edged Sword Of EV And Solar APIs In Grid Security - Vangelis Stykas - YouTube [online]. [vid. 2025-02-07]. Dostupné z: https://www.youtube.com/watch?v=7T6I-VcWQ0o
6. FBI. Expansion of US Renewable Energy Industry Increases Risk of Targeting by Malicious Cyber Actors [online]. 2024 [vid. 2025-02-08]. Dostupné z: https://s3.documentcloud.org/documents/24788637/fbiwarning.pdf
7. (1) Potential for Hacking Inverters to Cause Fires | LinkedIn [online]. [vid. 2025-02-07]. Dostupné z:
   https://www.linkedin.com/pulse/potential-hacking-inverters-cause-fires-igor-van-gemert-kedje/
8. 60 Hurts per Second – How We Got Access to Enough Solar Power to Run the United States [online]. [vid. 2025-02-07]. Dostupné z: https://www.bitdefender.com/en-us/blog/labs/60-hurts-per-second-how-we-got-access-to-enough-solar-power-to-run-the-united-states
9. The gigantic and unregulated power plants in the cloud - Bert Hubert’s writings [online]. [vid. 2025-02-08]. Dostupné z: https://berthub.eu/articles/posts/the-gigantic-unregulated-power-plants-in-the-cloud/
10. Office of Public Affairs | Former FAA Contractor Indicted for Illegally Acting as an Agent of the Iranian Government | United States Department of Justice [online]. [vid. 2025-02-07]. Dostupné z:
    https://www.justice.gov/archives/opa/pr/former-faa-contractor-indicted-illegally-acting-agent-iranian-government
11. Dark Web Profile: Just Evil - SOCRadar® Cyber Intelligence Inc. [online]. [vid. 2025-02-08]. Dostupné z:
    https://socradar.io/dark-web-profile-just-evil/
12. DIVD responsibly discloses six new zero-day vulnerabilities to vendor [online]. [vid. 2025-02-14]. Dostupné z:
    https://www.divd.nl/newsroom/articles/divd-responsibly-discloses-six-new-zero-day-vulnerabilities-to-vendor/
13. Sol-Ark manufacturer reportedly disables all Deye inverters in the US - derek the solarboi [online]. [vid. 2025-02-07]. Dostupné z: https://solarboi.com/2024/11/17/sol-ark-oem-disables-all-deye-inverters-in-the-us/
14. Romania to introduce mandatory cyber audit for solar power plants [online]. [vid. 2025-02-08]. Dostupné z:
    https://balkangreenenergynews.com/romania-to-introduce-mandatory-cyber-audit-for-solar-power-plants/
15. The rise of ideology in China’s foreign policy – Estonian Foreign Intelligence Service [online]. [vid. 2025-02-07]. Dostupné z: https://raport.valisluureamet.ee/2024/en/6-china/6-2-the-rise-of-ideology-in-chinas-foreign-policy/
16. Kauza Huawei. Čína vydírala Českou republiku – Page Not Found [online]. [vid. 2025-02-14]. Dostupné z:
    https://pagenotfound.cz/clanek/kauza-huawei-cina-vydirala-ceskou-republiku
17. Sabotagegefahr: Könnte China deutsche PV-Anlagen abschalten? - ZDFheute [online]. [vid. 2025-02-14]. Dostupné z: https://www.zdf.de/nachrichten/wirtschaft/photovoltaik-windkraft-china-internet-zugriff-blackout-100.html
18. Chinas Macht über deutsche Solaranlagen | The Pioneer [online]. [vid. 2025-02-14]. Dostupné z:
    https://www.thepioneer.de/originals/others/articles/chinas-macht-ueber-deutsche-solaranlagen
19. Fotovoltaika v ohrožení? Nedávný případ ukázal, jak snadno by Čína mohla na dálku vypnout elektrárny | Hospodářské noviny (HN.cz) [online]. [vid. 2025-02-14]. Dostupné z: https://archiv.hn.cz/c1-67591580-fotovoltaika-v-ohrozeni-nedavny-pripad-ukazal-jak-snadno-by-slo-na-dalku-vypnout-elektrarny-o-vykonu-jadernych-reaktoru
20. Updating the EU strategy on China: co-existence while derisking through partnerships [online]. [vid. 2025-02-14]. Dostupné z:
    https://www.bruegel.org/policy-brief/updating-eu-strategy-china-co-existence-while-derisking-through-partnerships
21. The EU has a playbook to de-risk from China. Is it working? [online]. [vid. 2025-02-14]. Dostupné z:
    https://www.brookings.edu/articles/the-eu-has-a-playbook-to-de-risk-from-china-is-it-working/