SmartEnergyShare.info
Technologie

Napadli střídač, vypnuli transformátor: Proč jsou české FVE a bateriová úložiště snadným cílem pro hackery

Napadli střídač, vypnuli transformátor: Proč jsou české FVE a bateriová úložiště snadným cílem pro hackery

Napadli střídač, vypnuli transformátor: Proč jsou české FVE a bateriová úložiště snadným cílem pro hackery

Čtyřiadvacátého dubna 2022, hodinu po půlnoci, začaly v rumunské rozvodné síti mizet data z řídicích systémů. Nikdo si toho nevšiml — automatizace fungovala dál. Jenže útočníci mezitím získali přístup k SCADA rozhraní, které řídilo distribuci elektřiny pro 180 000 odběratelů. Tohle není scénář z Netflixu. Je to zdokumentovaný incident z evropské energetiky, který bezpečnostní firma Dragos analyzovala v rámci svého letošního Industrial Cybersecurity Year in Review.

A teď si představte, že totéž se stane vašemu solárnímu parku připojenému přes cloud k OTE nebo spotovému trhu. Nebo bateriové skříni, která reaguje na pokyny z agregátora flexibility. Vítejte v roce 2026, kdy OT kybernetická bezpečnost přestala být luxusem a stala se přežitím.

Co je OT bezpečnost a proč ji energetici ignorují

OT — Operational Technology — jsou průmyslové řídicí systémy. PLC automaty, SCADA servery, DCS systémy, měniče frekvence, chytré elektroměry. Všechno, co fyzicky ovládá výrobu, distribuci nebo spotřebu elektřiny. Rozdíl oproti klasickému IT je zásadní: když padne email server, firma přijde o produktivitu. Když padne OT systém v elektrárně, přijdete o elektřinu — nebo v horším případě o fyzické zařízení.

Problém je jednoduchý: energetický sektor prošel v posledních pěti letech masivní digitalizací. Fotovoltaické systémy se připojují k internetu kvůli monitoringu. Bateriová úložiště reagují automaticky na spotové ceny elektřiny a pokyny z agregátorů. Virtuální elektrárny (VPP) koordinují desítky zdrojů přes cloudová rozhraní. Každé z těchto propojení je potenciální útočný vektor.

Dragos ve svém reportu za rok 2025 identifikoval 23 aktivních APT skupin zaměřených výhradně na průmyslové systémy. Před pěti lety jich bylo devět. Přičemž pět z těchto skupin má prokázané schopnosti způsobit fyzické poškození infrastruktury — nejen krádež dat, ale skutečné vypnutí nebo zničení zařízení.

Nejnebezpečnější hrozby roku 2026 podle Dragos

Dragos letos přejmenoval svůj tracking program a zavedl nové označení skupin. Tři z nich jsou pro evropský energetický sektor kritické.

VOLTZITE (dříve označována jako Volt Typhoon) je čínská skupina, která systematicky infiltruje infrastrukturu západních zemí. Jejich taktika není rychlý útok — je to "living off the land". Používají legitimní administrátorské nástroje, pohybují se pomalu, a jejich přítomnost v sítích trvá měsíce nebo roky, než jsou odhaleni. V dubnu 2025 CISA potvrdila, že VOLTZITE měla přístup k řídicím systémům tří amerických regionálních přenosových soustav po dobu nejméně 14 měsíců.

ELECTRUM je skupina s vazbami na Rusko, která má na svědomí Industroyer/Crashoverride — malware, který v roce 2016 způsobil výpadek elektřiny v Kyjevě. Jejich nová varianta, Industroyer2, byla nasazena v Ukrajině v dubnu 2022. Alarmující je, že části kódu byly letos identifikovány v sondách mířených na polskou a německou přenosovou soustavu.

BAUXITE se zaměřuje primárně na OT zařízení přístupná přímo z internetu — a to zahrnuje desítky tisíc fotovoltaických střídačů v Evropě. Útočníci systematicky skenují IP adresy asociované s Huawei FusionSolar, SolarEdge Monitoring, Fronius Solar.web a podobnými platformami. Nezapomeňte: střídač s cloudovým rozhraním je malý počítač připojený k internetu, který zároveň řídí fyzické napájení.

NUKIB letos v únoru vydal varování specificky zaměřené na solární a bateriové systémy připojené k internetu. Doporučení jsou jasná: segmentace sítě, zakázání výchozích přihlašovacích údajů, monitoring anomálií v komunikaci. Kolik provozovatelů FVE tato doporučení aplikovalo? Podle odhadu z průzkumu ERÚ méně než 12 %.

Jak vypadá reálný útok na energetický OT systém

Pojďme být konkrétní. Typický kill chain útoku na solárně-bateriový systém vypadá takto:

Útočník nejprve pomocí Shodan nebo Censys identifikuje fotovoltaické střídače s otevřenými porty — typicky Modbus TCP (502), DNP3 (20000), nebo webové administrační rozhraní na portu 80/443. Nástroje jako GridScan nebo speciální moduly v Metasploitu umí tato zařízení fingerprintovat a identifikovat model i verzi firmware.

V druhém kroku přichází exploitace. CVE-2024-29510 (Huawei střídače) nebo CVE-2024-3106 (SMA Solar) jsou příklady zranitelností z loňského roku s CVSS skóre přes 8,0. Patches existují, ale aktualizace firmware u průmyslových zařízení se provádějí zřídka — provozovatelé se bojí výpadku.

Po získání přístupu útočník buď sbírá data (výrobní data, smlouvy s obchodníky, cenové strategie), nebo čeká na vhodný moment. Manipulace s výrobou v době vysokých spotových cen může způsobit reálné finanční škody — nejen provozovateli, ale celému trhu. Koordinovaný útok na skupinu zdrojů v době špičky může destabilizovat lokální síť.

Toto není spekulace. Podobný scénář analyzovala firma Claroty v roce 2024 na příkladu italského trhu s elektřinou, kde podezřelá aktivita u několika agregovaných bateriových úložišť způsobila anomálie v intradenním obchodování.

Dragos Platform a nové přístupy k OT bezpečnosti

Dragos v letošním roce výrazně rozšířil svoji platformu o funkce specificky určené pro distribuovanou energetiku. Klíčová novinka je tzv. Asset Visibility pro "edge" zařízení — střídače, smart metry, BESS řídicí jednotky — které dosud stály mimo záběr klasických OT bezpečnostních nástrojů.

Nový modul Neighborhood Keeper umožňuje anonymizované sdílení threat intelligence mezi účastníky stejného sektoru. Když Dragos identifikuje útočný pattern u jednoho provozovatele větrného parku ve Španělsku, stejný detekční podpis se automaticky distribuuje k ostatním energetickým zákazníkům v Evropě — ještě předtím, než útočníci stačí replikovat útok jinde.

Partnerství Dragos s Schneider Electric a ABB přináší nativní integraci s EcoStruxure a ABB Ability platformami — tedy přímý monitoring OT zařízení, která jsou standardní výbavou průmyslových energetických projektů v Česku. Pro menší provozovatele je k dispozici Dragos Community Defense program, který poskytuje základní threat intelligence zdarma výměnou za sdílení anonymizovaných dat.

Nicméně realita je taková, že Dragos je enterprise řešení s enterprise cenou. Pro typického provozovatele FVE s 200 kWp a jednou baterií je to nedostupné. Právě tady nastupuje role agregátorů a sdílovacích platforem — bezpečnost jako sdílená služba. Pokud vaše bateriové úložiště participuje na obchodování s flexibilitou, váš agregátor by měl být schopen garantovat základní kybernetickou hygienu komunikačního rozhraní.

OT bezpečnostní best practices, které fungují

Teorie je hezká, ale co konkrétně dělat? Tady jsou opatření seřazená podle poměru cena/přínos:

Síťová segmentace a demilitarizovaná zóna (DMZ) je základ. OT síť nesmí mít přímou konektivitu s IT sítí nebo internetem. Veškerá komunikace jde přes firewall nebo jump host. Toto opatření samo o sobě eliminuje většinu automatizovaných útoků.

Inventář aktiv — zní banálně, ale více než polovina průmyslových provozovatelů neví, jaká zařízení mají v síti. Nástroj jako Nozomi Networks Guardian nebo open-source alternativa Zeek dokáže pasivně mapovat síťový provoz a identifikovat všechny OT komponenty bez zásahu do provozu.

Monitoring anomálií v průmyslové komunikaci je podstatný. Normální Modbus komunikace mezi SCADA serverem a střídačem vypadá specificky — konkrétní funkční kódy, konkrétní registry, konkrétní frekvence dotazů. Jakákoliv odchylka je příznak. Systémy jako Claroty nebo Nozomi toto dělají automaticky.

Správa patch management cyklu u OT zařízení je specifická — aktualizace nelze dělat za provozu, vyžadují plánované odstávky. Nicméně firmware střídačů a SCADA systémů by měl být aktualizován alespoň jednou za šest měsíců.

Vícefaktorová autentizace na všech administrátorských přístupech — cloudových portálech výrobců střídačů, SCADA systémech, VPN přístupech. Toto je low-hanging fruit, který stále většina provozovatelů ignoruje.

Pro výrobce FVE připojené ke sdílení elektřiny je klíčové rovněž prověřit, jakým způsobem komunikuje jejich střídač nebo BESS s platformou agregátora. Šifrovaná komunikace (TLS 1.2+), autentizace API klíčem, omezení IP adres — to jsou minimální standardy, na které se vyplatí zeptat svého poskytovatele.

Zajímavé srovnání přístupů různých agregátorů a platforem k IoT bezpečnosti najdete také na SmartEnergyShare.cz, kde se tématem VPP a kybernetické odolnosti distribuovaných zdrojů zabývají z pohledu praxe.

Co přijde dál: AI-asistované útoky na energetické trhy

Bezpečnostní komunita začíná sledovat nový trend, který je znepokojivý ve svém dopadu na spotové trhy: automatizované útočné nástroje využívající strojové učení pro optimalizaci timing útoku.

Představte si botnet infiltrovaných bateriových úložišť, který koordinuje odpojení výkonu v okamžiku, kdy model předpovídá špičku spotové ceny — čímž artificielně zvyšuje cenu a poté výkon vrátí. Toto je market manipulation prostřednictvím kyberútoku, a regulátoři zatím nemají framework jak to detekovat.

Na Slovensku byl loni identifikován případ, kdy skupina neznámých aktérů manipulovala data z chytrých měřičů prostřednictvím kompromitovaného koncentrátoru dat — data šla do OTE-equivalent systému s falešnými odečty. Dopad byl omezený, ale princip je nastaven.

Přidejme k tomu rostoucí komplexitu trhu — sdílení elektřiny v komunitách, agregace flexibility, SVR služby — a máme prostředí, kde kybernetický útok má přímý finanční dopad na spotových trzích. Pro provozovatele participující na SVR službách výkonové rovnováhy je kybernetická odolnost řídicích systémů přímo kritická pro schopnost dostát smluvním závazkům.

Podrobněji o bezpečnosti infrastruktury při sdílení energie píší kolegové na ShareElectric.cz — doporučuju především jejich analýzu auditů kybernetické bezpečnosti u komunitních energetických projektů.

Závěr: Bezpečnost není náklad, je to podmínka účasti

Regulace jde dopředu rychleji, než si většina provozovatelů uvědomuje. NIS2 direktiva, implementovaná v Česku zákonem č. 181/2014 Sb. ve znění pozdějších předpisů, nově zahrnuje provozovatele energetické infrastruktury od určité velikosti. Sankcí za nedodržení je až 10 milionů eur nebo 2 % globálního obratu.

Ale zapomeňte na regulaci. Čistě pragmaticky: pokud váš BESS řídicí systém bude kompromitován v době, kdy participujete na intradenním trhu nebo poskytujete FCR rezervu, přijdete nejen o příjmy — přijdete o kontrakty a reputaci. Protistrany si kybernetickou odolnost budou ověřovat jako součást due diligence.

Dobrá zpráva je, že základ není drahý. Segmentace sítě, inventář aktiv, pravidelné aktualizace firmware a vícefaktorová autentizace — to zvládne i malý provozovatel za rozumné peníze. Pokud nevíte, kde začít, energetické poradenství může být prvním krokem k mapování vašich rizik.

Hackeři nezajímají, jestli máte 10 kWp nebo 10 MWp. Zajímá je, jestli je vaše zařízení dosažitelné a zranitelné. A ve světě, kde každý střídač volá domů do cloudu, je odpověď na první otázku téměř vždy ano.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: ElectricShare.cz SmartEnergyShare není dodavatel elektřiny: Jak funguje el... Vice o sdílení elektřiny

← Zpět na všechny články