Solární elektrárny: roste riziko hackerského útoku

Častým problémem fotovoltaických elektráren je nejen nedostatečná aktualizace software, ale hlavně ponechávání defaultních hesel, která jsou pro konkrétní zařízení veřejně známá.

Nové fotovoltaické elektrárny rostou po celé Evropě stejně rychle jako houby po dešti. Jen na území České republiky se jich na konci roku 2022 nacházelo podle Solární asociace více než 84 000, přičemž v roce 2023 by jich měly další desetitisíce přibýt.

Díky narůstajícímu množství instalovaných elektráren a skutečnosti, že jsou tyto elektrárny připojeny k internetu, je možné očekávat zvýšený zájem hackerů, kteří budou na tato zařízení čím dál častěji cítit své útoky. 

„Úspěšný masový útok na tato zařízení, díky celkovému výkonu těchto elektráren, který v Evropě činí již více než 200 GW, by úspěšný masový útok na tato zařízení mohl způsobit poměrně velké škody v podobě výpadků dodávek elektrické energie. Útočníkům by ale mohlo jít i o něco jiného. Ovládnutí fotovoltaické elektrárny by se například mohlo stát vhodným prostředkem pro ransomware útoky. Útočníci by oplátkou za znovuzprovoznění elektrárny mohli požadovat například vysoké výkupné. V historii jsme již byli svědky ransomware útoků, které mířily na IoT zařízení a napadaly například chytré termostaty. Pro zapnutí, nebo naopak snížení teploty v domě útočníci rovněž požadovali výkupné. Že budou další na řadě fotovoltaické elektrárny se tedy přímo nabízí,“ říká Roman Kümmel, odborník na IT bezpečnost z Počítačové školy GOPAS.

Webové rozhraní, skrz které se dá fotovoltaická elektrárna ovládat, se může nacházet buď v cloudu na serverech provozovaných výrobci fotovoltaických zařízení. Nebo je webový server implemetován jako součást každého jednotlivého zařízení.

V neposlední řadě ovládá mnoho vlastníků svou fotovoltaickou elektrárnu skrz asistenta pro chytrou domácnost. Každé z uvedených řešení má z pohledu bezpečnosti své výhody i nevýhody.

Pokud se vlastník elektrárny spoléhá na ovládání z cloudu, nemusí sice příliš řešit zabezpečení samotného serveru nebo pravidelnou aktualizaci software, která může přinášet bezpečnostní záplaty. Na druhou stranu se ovšem takový vlastník stává zranitelným vůči hromadnému odstavení elektráren při zdárném útoku na poskytovatele, nebo vůči vypnutí elektráren ze strany provozovatele v případě vypuknutí kybernetické války.

Pokud webový server běží jako součást samotné elektrárny, má její provozovatel věc přeci jen více ve svých rukou. Musí ovšem zajistit dostatečné zabezpečení přístupu k aplikaci v rámci sítě, nebo pravidelnou instalaci aktualizací.

„Častým problémem fotovoltaických elektráren je nejen nedostatečná aktualizace software, ale hlavně ponechávání defaultních hesel, která jsou pro konkrétní zařízení veřejně známé. Mnoho provozovatelů elektráren ponechává nastavené heslo, jež nastavila firma, která elektrárnu instalovala. Je důležité si uvědomit, že tato firma pravděpodobně používá stejné heslo u všech svých zákazníků a použité heslo je tak veřejným tajemstvím. Problém defaultních hesel se přitom netýká pouze malých domácích elektráren s výkonem do 10kWp, ale dokonce i poměrně velkých elektráren s výkonem v řádech i několika MWp. O tom, že velké množství rozhraní těchto elektráren není chráněno dokonce vůbec a je dostupné komukoliv, kdo ví, jak je najít, se snad raději ani nebudu zmiňovat,“ upozorňuje Roman Kümmel, odborník na IT bezpečnost z Počítačové školy GOPAS.

Samotné webové rozhraní pro správu elektráren je přitom často odhalitelné poměrně snadno díky jedinečnému obsahu HTTP response hlavičky „Server“, kterou do svých odpovědí vkládá webový server. Útočníkům stačí použít vyhledávače, které dokáží zařízení vyhledávat na základě obsahu této hlavičky. Takovou službou je například Shodan.io. Pomocí této služby je možné odhalit statisíce fotovoltaických elektráren.

„Provozovatelé elektráren, kteří ponechali nastavení hesla na někom jiném, nebo si nastavili příliš jednoduché heslo, by proto neměli čekat na chvíli, kdy jim přijde vyúčtování od útočníků. Místo toho by si měli co nejrychleji nastavit takové přístupové heslo, které bude jedinečné a bude mít v ideálním případě alespoň 18 znaků. Zapomínat by neměli také na pravidelnou aktualizaci software a firmware, aby se zacelily známé zranitelnosti, kterými mohou provozovaná zařízení trpět. Jejich zneužití by bylo rovněž jen otázkou času. Uvedené skutečnosti se ovšem týkají také větrných elektráren nebo tepelných čerpadel, které lze také ovládat z webového prohlížeče, nebo speciálním programem,“ dodává Roman Kümmel z Počítačové školy GOPAS.

zdroj: tisková zpráva

31 Comments on “Solární elektrárny: roste riziko hackerského útoku”

    1. Člověče, SW FV vám nemůže padat jako špatně opřené vidle o dveře do chlíva. Když už jste do toho investoval, tak to musí být spolehlivé. Škodolibý hacker vám může zničit třeba střídač nebo připojit/odpojit FV kdykoli chce. Přehrát SW/FW. Koukejte s tím něco dělat, případně zaurgujte firmu, která vám to instalovala. A hlavně k tomu nepouštějte nikoho, komu na 100% nevěříte.

  1. kdys je nekdo blbej a necha si puvodni tovarni heslo, tak je to proste jeho blbost

    nevim jak ostatni, ja mam na fotovoltaice nulovou moznost uroku hackera, teda pokud nedojde osobne primo k ni a nehodi na ni treba surt, neni pripojena k datove siti a je pripojena jen na ofline PC ktere neni pripojeno k datove siti, navic dana elektrarna je k siti elektricke pripojena jen formou backupu, tedy vlastne jen baterka, takze kdys klesne baterka pod cca 20%, tak se zaroven pusti nabijecka napojena na sit a vypina se po dosazeni cca 40% na baterii + je tam jeste nejake cosi co me hlida aby zaroven nenabijela s MPPTckem, mezi sebou to komunikuje prez kable, nepotrebuju to mit online a kochat se ja nevim z Recka na dovolene, treba jak to uzasne vyrabi 😀

    1. Tak to mate stesti ze muzete byt pripojeny pres kabel. Ne vzdy je mozne propojit PC s menicem dlouhym kabelem kdyz nemate v baraku rozvedeny ethernet. Vyrobci menicu maji svuj podil na te mizerii s hackery. Ne kazdy menic umoznuje reset do tovarniho nastaveni. Nektere menice nemaji zadne knofliky ani display, jen ovladani pres Appku. Navic jsou pripady na forech, kdy nekdo zmenil heslo a menic se zdraha komunikovat a nejde nastavit. Navic vyrobci kaslou na uplnost manualu. Nektere funkce nejsou vubec popsane, nebo jen halabala.

  2. Bohužel pravdivé. Jen za poslední dva měsíce evidujeme 8 případů „převzetí“ elektrárny. Z toho je tam i případ, kdy elektrárna nejede už šestý týden, protože útočník nahrál upravený firmware PLC a blokuje nahrání jiného. Výměna všech zařízení nejméně za dva až čtyři miliony a až půl roku čekání na dodání nových pamětí do PLC.

    1. Nojo no. Většina lidí sleduje svoji FVE dálkově přes server. Ale kde je ten server? No přece v Číně. Netýká se to jen FVE ale jakéhokoliv čínského krámu který si přineseme domů, třeba wifi kamery. Nepomůže žádný firewall když si to zařízení zavolá páníčka samo. Když tam má páníček schovaný prográmek tak se dostane do celé domácí sítě za routerem i firewallem. Takže já mám routery dva. Jeden je vyhrazen pro čínské krámy a návštěvy, druhý pro moje počítače. Ty sítě se vzájemně nevidí. Svoji FVE mohu ovládat odkudkoliv ze světa přes zabezpečený VPN kanál. Žádný veřejný server.

      1. Ja mam jeden router a dve site. Jednu pro moje ucely a jednu pro hosty a IoT. Aspon doufam, ze vyrobce routeru zajistil, ze se hacker nedostane pres sit pro hosty do te druhe site. Vyrobce routeru poskytuje take nejaky zabezpeceny pristup z celeho sveta.
        Dva routery by bylo docela nakladne, protoze pouzivam repeatery a tak by jich bylo zapotrebi 2x tolik. Od bazenu az k parkovisti pro teslu to je prece jen dost daleko a router staci sotva v dome. Mame podlahove topeni a to zrejme absorbuje vykon.
        Bohuzel zadny vyrobce nevyrabi venkovni modem/router, ktery by zvladal -25 az +50 stupnu Celsia. Pouze router a to je mi k prdu. Chtel bych umistit modem/router venku aby pokryl velkou plochu a doma by stacil 1-2 repeatery.

      2. mám FVE z roku 2007 a 2008 a měniče k žádné síti připojeny nejsou bo se to tenkrát nedělalo – pouze radiový přenos do domácí čtečky s displayem k výrobním statistikám dle času. Že FTV běží můžu kontrolovat přes operátora sítě dle údajů přenášených z elektroměru, ale to jsem dělal jen párkát, když to bylo tehdy nové.
        Zajímalo by mě, co si na své FTV ovládáte, protože za celých cca 16 let jsem neměl jedinou potřebu něco na FTV dálkově ovládat.

          1. tzv záporná výkupní cena se mě týká jen u instalací nad 30kWp a ano, pouštím vše do sítě.
            Spotřeba a výroba se přece musí řešit automaticky a ne, že budu celý den sedět u aplikace řídit to ručně. Večer se jen podívám, že vše klape.
            Instalaci z r. 2007 spotřebovávám kompletně doma + přebytky do baterie a do aut. Instalace r 2008 je v režimu povinného výkupu a tam s tím nic nenadělám a vše musí do sítě dle smlouvy do r. 2028

            1. Nove instalace funguji jinak. Vetsina novych menicu je pripojena k nejakemu serveru kdesi v cloudu. I kdyz vam to funguje automaticky, vzdy je dobre vedet co to dela. Clanek je o zabezpeceni wifi. Vas se to ocividne netyka, mate jiny system. By me ale zajimalo, jak muze vas system automaticky optimalizovat spotrebu vcetne nabijeni EV, kdyz vas menic udajne nekomunikuje s periferii? Mate povinny vykup a garantovanou cenu. Mozna ze nakupujete za mene nez prodavate. To samozrejme meni uplne vsechno.

              1. ano, doma mám povinný výkup a dotovanou výkupní cenu pro instalace r 2008. K instalaci 2007, kterou už můžu použít doma, jsem doplnil komunikační a výkonový prvek, který vyhodnocuje aktuální výkon a v něm je pak daná logika směrování výkonu do rozvaděče tzv priorita 1 okruhy domácnost, pak WB, baterie atd. a poslední možnost je přetok do sítě, bohužel pro mě zadarmo, jen s držením záruky za kvalitu energie od ČEZu, ale to se mi zatím stalo jen párkrát v začátku.
                Je to jen provizorně, ale pořádně to budu řešit v 2028,kdy skončí povinný výkup i pro inst 2008 a vše budu řešit potom komplexně a už profesionálem a asi budu muset i pořídit nový měnič – tehdy nebyly 3Fměniče a každá fáze se musela řešit samostatným měničem. Teď to nemá smysl, když bych to za 5 let musel zase předělávat. Vývoj jde hodně rychle a kdo ví jaké budou za 5 let možnosti pro takovou regulaci

          2. Ty ses zase zhovadil skopcaku, jak to umis jen Ty. Vsichni kolem Tebe jsou dezolati, socky a kolenovrti ale kdyz clovek pozorne cte Tve prispevky o tom jak chodis kontrolovat to a to a zapisujes stavy elektromeru a kontrolujes FVE- tak z toho plyne jen jedno – suverenne nejvetsi kolenovrt jsi jen Ty sam.

              1. já si každý měsíc zapisuju všechno a už mi to ušetřilo docela hodně peněz. 1. mám přehled o spotřebě, 2. hned v daném měsíci uvidím případnou poruchu.
                Už mi takhle třeba týden vloni, když jsem byl pryč, tekla voda z garáže na ulici vadným pojistným ventilem na expanzce u solárního ohřevu TUV. Vyteklo cca 160cbm tj cca roční spotřeba celýho domu. Kdybych si to nezapisoval, tak bych na to třeba nepřišel, protože to teklo jen když v systému stoupl tlak – tedy svítilo sluníčko a nebyl odběr. Takhle jsem to hned řešit s vodárkou a pojišťovnou a ušetřil jsem si platbu za cca roční dodávku vody navíc.
                Takže zapisuju a zapisovat budu… 🙂

                1. Protekajici voda je vzdy darda. Kdysi jsem mel byt v Praze ktery jsem vyuzival jen pokud me zamestnavatel docasne povolal do Prahy. Jednou jsem byl 3 tydny pryc a jako na potvoru protykal splachovac WC. Rocni vyuctovani byl nedoplatek kolem 10.000 kc. Nejak jsem neprisel na myslenku to nahlasit pojistovne. Ale pro priste uz budu vedet. Dik za info. A pak ze je hybrid nanic.

                2. Takze kolenovrt c. 2? 🙂 Jen chlapci pilne zapisujte, kdyz nemate v zivote nic zajimavejsiho na praci. Skopcak krome zapisovani ma na praci „sroubovakovani“. Tudiz ruco prehazuje faze, ma tisic dalsich kramu na to, aby chod sve kolenovrtacke FVE instalace ohlidal. Jeho okoli necha dedka si hrat na elektrikare a ajtaka, protoze by s nim nevydrzeli, je to MEGA osina v prde.li, to vedi vsichni, kdo sem nahlidnou. Druhy podobny sroubovak je Ostep, protoze si postavil barak v takove, ri.ti, kam nevedou draty od pantaty, nastesti tam sluce sviti. Je tu jeste Drevnik a par dalsich “ expertu“ snazicich se podle vlastnich kolenovrtackych a sroubovackych dojmu presvedcit zbytek spolecnosti, ze fotovoltaika bude konecne uz to prave orechove. Kdo ma svych 5 pohromade se muze jen shovivave usmivat a rikat zase „Jen si chlapci hrajte“. Fotovoltaizace Cezka (nemam na mysli velke solarni parky- to je jiny podvod) dopadne jako sveho casu plynofikace Cezka a jeste drive jeho primotopizace. Jasne, muze mne jako danoveho poplatnika sr.at, ze se na tom zas promr.da nejaky bilionek, kdyz ale clovek neusina a nevstava s myslenkou na to, kde by zase neco uskudlil nebo koho oje.bal, da se s tim v poho zit. Jednou za rok mrkne na vyuctovani z CEZu (vcera), zaplati jim tech 15 papiru za spotrebu a je v klidu, bez sroubovakovanl, zapisovani a jineho neduleziteho sra.ni…..

                3. Pro Dlaždicy… Místo cizích drátů mám vlastní FVE…. Nějak mi uniká, čemu přesně říkáš ,,kolenovrt“😘

                4. @Ostep: kdybys do kazde diskuse nehopnul nekde u konce, z kontextu bys vycetl, proc predrecniky povazuji za kolenovrty. Tebe jsem zaradil do druhe kategorie postizenych tj. „sroubovaci“ . Jinac si zde na autora pojmu „kolenovrt“ nehraju, nejcasteji jej pouzival skopcak a ostatni zdejsi wokes kdyz se osklibali nad diesly. Ja nemam turbodiesla primarne pro jeho spotrebu- byt je velmi prijemna, hlavne vsak pro jeho kroutak a pruznost, kdy ja milovnik kvedlacky mohu kvedlat a pri tom pri te jeho pruznosti skoro kvedlat nemusim. Presne podle chuti.

                5. @dlazba. Turbodiesel? Nepsal si jednou ze mas nejakou plecku 4×4, snad Duster nebo neco podobneho, protoze musis se brodit potokem. Nerikej ze mas take Landcruisera jako to tvrdi lavrov42.

                6. @skopcak: kdybys nebyl blb zahledeny do sebe tak nez jsem psal o 3 mesicnim vynucenem brodeni, zminoval jsem I cim jezdim. Jenze rikej neco blbovi….Jinac I Dacia delala Dustera s renaulti dieslovou preplnovanou 1,5. Hodne tomu odchazel EGR ventil, proto nebrat. To novy Landcruiser je opravdu nejpovedenejsi off-road soucasnosti, na muj vkus a potrebu moc velky a tezky. Kdyz ale nebude zbyti?

                7. Tento tyden je tu nejak mrtvo? Cimpak to jen asi muze byt? Vsichni jsou na Prajdu! Uplne zive to vidim – alegoricky cajbrtrak rizeny Global Peachem, na korbe delaji opicky Kuk, sikmooky Tomas, Chrocht, Pituru, Vlajecka, vsichni s holymi zadky….

Napsat komentář