Kybernetická bezpečnost evropských solárních elektráren

Zpráva evropské solární asociace SolarPower Europe poukazuje na výzvy v oblasti kybernetické bezpečnosti fotovoltaických zařízení v Evropské unii. Hlavním problémem jsou zranitelnost připojených střídačů a správa dat prostřednictvím cloudových služeb mimo Evropu.

Vzhledem k tomu, že solární energie se stává strategickým pilířem energetické transformace v Evropě, objevuje se další, méně viditelná, ale stejně kritická výzva: kybernetická bezpečnost fotovoltaických zařízení.

Zpráva zveřejněná 29. dubna organizací SolarPower Europe ve spolupráci s DNV a Evropským fórem pro střídače poukazuje na znepokojivé mezery v digitální bezpečnosti tohoto odvětví. Dokument s názvem „Solární sektor navrhuje řešení ke zmírnění kritických kybernetických bezpečnostních rizik“ obsahuje jasné zjištění: inteligentní střídače, klíčová součást solárních elektráren, představují zranitelnou bránu pro stále sofistikovanější kybernetické útoky.


Stále nedostatečný regulační rámec a správa
Na rozdíl od tradiční energetické infrastruktury jsou solární střídače často navrženy a používány jako připojené objekty. Jsou vzdáleně přístupné několika subjektům zapojeným do správy instalace: výrobcům, instalátorům, agregátorům energie, provozovatelům sítí atd. Za tímto účelem jsou informace, data a některé funkce hostovány online na základě cloudových služeb. Rostoucí počet subjektů s přímým nebo nepřímým přístupem k těmto střídačům zvyšuje riziko narušení bezpečnosti. Tento rychle rostoucí sektor se proto stává primárním cílem ransomwaru (který blokuje přístup výměnou za výkupné) nebo jiných hrozeb, někdy dokonce fyzických, jako je vzdálené vypnutí nebo narušení infrastruktury.

Ačkoli Evropská unie v posledních letech posílila svou legislativu směrnicí NIS2, zákonem o kybernetické odolnosti (CRA), síťovým kodexem pro kybernetickou bezpečnost (NCCS) nebo jednodušeji obecným nařízením o ochraně osobních údajů (GDPR), jsou tyto předpisy určeny pro veškerou kritickou infrastrukturu a ne vždy zohledňují specifické potřeby solární energie. Například malé rezidenční nebo komerční fotovoltaické instalace často nesplňují prahové hodnoty stanovené předpisy. Kromě toho absence jediného operátora odpovědného za bezpečnost ztěžuje uplatňování robustních standardů v jednotlivých projektech.

Zatímco téměř 70 % rezidenčních a komerčních instalací je nyní připojeno k internetu, znalosti instalátorů a poskytovatelů služeb v oblasti kybernetické bezpečnosti zůstávají vzhledem k sofistikovanosti potenciálních útoků omezené. Špatné postupy – výchozí hesla, absence firewallů, nezabezpečené konfigurace – jsou běžné. Špatně informovaní koncoví uživatelé si často nejsou vědomi rizik spojených se vzdáleným přístupem nebo ukládáním dat v datových centrech mimo EU, někdy v méně chráněných jurisdikcích.


Potřeba přiměřených opatření
Situace je ještě znepokojivější, vezmeme-li v úvahu rozsah kapacit, o které se jedná. V roce 2023 mělo sedm výrobců střídačů potenciál dálkově ovládat více než 10 GW instalované kapacity. Ohrožení pouze jednoho z těchto hráčů by mohlo potenciálně ovlivnit stabilitu evropské elektrické sítě. Citlivé údaje, ať už v reálném čase nebo týkající se informací o uživatelích, mohou být rovněž vystaveny riziku špionáže nebo sabotáže, zejména pokud jsou servery hostovány mimo EU.

Vzhledem k těmto zjištěním SolarPower Europe prosazuje přijetí „harmonizovaného rámce kybernetické bezpečnosti pro fotovoltaiku“, zejména pro inteligentní střídače. Zpráva zdůrazňuje potřebu posuzovat distribuované solární systémy podle jejich skutečné úrovně rizika, definovat jasnou správu bezpečnosti po celou dobu životnosti zařízení, zvyšovat povědomí spotřebitelů a podporovat systémy, které jsou bezpečné již ve výchozím nastavení, a řešit nedostatek evropské normy věnované celému decentralizovanému systému, včetně jeho digitální infrastruktury.