Nejnavštěvovanější odborný web
pro stavebnictví a technická zařízení budov
estav.tvnový videoportál

TZB-info / Obnovitelná energie a úspory energie / Digitalizace domácího vytápění a fotovoltaiky – jaké jsou kyberbezpečnostní výzvy?

Digitalizace domácího vytápění a fotovoltaiky – jaké jsou kyberbezpečnostní výzvy?

29.4.2025
Ing. Erika Langerová, ČVUT v Praze, Univerzitní centrum energeticky efektivních budov
Odborný

Kyberbezpečnostní nároky kladené na „velkou“ energetiku se budou postupně do určité míry rozšiřovat i na domácnosti. Tepelná čerpadla nebo fotovoltaika v domácnostech totiž dnes obvykle nemají řízení, které by bylo vzájemně kompatibilní, natož kyberneticky zabezpečené.

Kyberbezpečnostní směrnice NIS2 se zatím sice týká kritické infrastruktury a „velké“ energetiky, ale všechno naznačuje tomu, že časem bude zpřísněným požadavkům na kyberbezpečnost čelit i „malá energetika“, tj. domácí instalace, resp. zařízení jako tepelná čerpadla, fotovoltaika a další. Důvodem je jejich aktivní zapojení do elektrických sítí (myšleno poskytování služeb elektrickým sítím) a využívání nadstavbových cloudových řešení.

Gimon poznamenal, že ve své práci zaměřené na klimatické a energetické otázky jen zřídka slyší zmínky o bezpečnosti. „Mluvím s podnikateli a lidmi zabývajícími se politikou a mohu s jistotou říct, že kybernetická bezpečnost se v těchto rozhovorech téměř nikdy neobjevuje,“ uvedl. „Energetický sektor je velmi zaměřený na ošetřování rizik a je vůči nim velmi opatrný... Možná by vás překvapilo, jak sofistikovaně dokážou přemýšlet o rizicích z hlediska elektrizační soustavy. Zdá se ale, že tento způsob uvažování se do oblasti kybernetické bezpečnosti příliš nepromítá.“
securityandtechnology.org/blog/cybersecurity-and-the-clean-energy-transition/

V čem je problém v domácích instalacích TZB a jejich koordinaci

Na úvod je nutné zdůraznit, že celý článek směřuje pouze na rezidenční instalace, ne na velké firemní a komerčních objekty a průmyslové provozy, kde má informační síťová bezpečnost už úplně jinou kulturu.

Typický domkař bude cílit na minimální celkovou cenu instalace, což se odrazí na výběru hardwaru, softwaru a zabezpečení informační sítě. Zatímco velké komerční objekty, firmy a průmysl mají z valné většiny zavedenou interní kyberbezpečnostní politiku, u koncových zákazníků v rodinných domcích lze jakékoliv povědomí o informačních sítích jenom těžko čekat.

Ve velkých firemních, komerčních nebo průmyslových objektech se instalace MaR (Měření a Regulace) pro zařízení TZB (tepelná čerpadla, VZT, FVE aj.), výrobní linky apod. plně podřizuje pravidlům kyberbezpečnosti daného IT oddělení. Podle situace (požadované úrovně zabezpečení provozu) zahrnuje základní opatření jako zajištění fyzické bezpečnosti, implementaci Zero Trust přístupu, izolace celé MaR do samostatného segmentu s řízením přístupu, propojení IT a MaR segmentu pouze přes DMZ (demilitarizované zóny) a dedikovaný konduit s firewallem, implementaci SIEM, IAM a další. Samozřejmostí je šifrování komunikace na IT vrstvě. Dodavatel MaR končí na průmyslovém firewallu, vrstvy nad ním jsou záležitost IT oddělení. O architekturu informační sítě a konfiguraci síťových zařízení se starají (a zodpovídají za něj) odborníci IT oddělení. Fyzické i softwarové oddělení IT (informačních) a OT (operačních, tj. řízených MaR) technologií je velmi striktní, například protože v OT vrstvě se provozuje téměř výhradně nešifrovaná zranitelná komunikace typu ModBus TCP/IP nebo proto, že síťové karty PLC jsou velmi slabé a lze je snadno přetížit silným síťovým provozem.

Současný stav a vývoj v průmyslu, rezidenční sféra za tímto postupem v bezpečnosti zásadně zaostává [2]
Současný stav a vývoj v průmyslu, rezidenční sféra za tímto postupem v bezpečnosti zásadně zaostává [2]

Instalace v rodinných domech jsou z pohledu informačních sítí úplně jiný cirkus, u kterého se často opomíjí téměř všechny základy bezpečnosti. To je způsobeno několika faktory. Za informační síť si zodpovídá koncový zákazník. MaR se většinou neřeší centrálně, ale zařizuje si ji dodavatel technologie (tj. ve výsledku máme situaci, kdy VZT má vlastní PLC, tepelko má vlastní PLC, fotovoltaika se také řeší samostatně, většinou přes Wifi a nad to všechno se ještě nabalí něco typu HomeAssistant). Každou instalační firmu potom zajímá jenom zákazníkova Wifi nebo nejbližší síťová zásuvka, přes kterou si PLC do zákazníkovy sítě připojí, a tím její starost končí. Průmyslové firewally nepřipadají vzhledem k navýšení ceny instalace v úvahu. Většina firem, co obsluhuje pouze domkaře, ani nemá ponětí, že něco takového existuje. Instalace v bytových domech jsou v tomto ohledu o něco lepší, protože se často podaří na nich pro kotelnu zajistit samostatnou IT síťovou přípojku a samostatný router, takže se vůbec do kontaktu s domácí IT sítí nedostanou.

Instalační firmy (teď narážím pouze na ty garážové, kvalitní firmy toto mají ošetřené) vnáší do instalací v RD typicky tyto hrozby:

  • Nechráněné porty vystavené přímo do internetu (aktuálně se po Česku dá najít několik takto otevřených instalací typicky na portu 502 -> ModBus TCP/IP – většinou jsou to fotovoltaiky, resp. čínské střídače), a nejsme evidentně jediná země, která s tím má problém, viz tady moc pěkný rozbor.
  • Neřeší informování koncového zákazníka o možnosti segmentace IT sítě a uzavření celé technologie MaR do samostatného segmentu s řízením přístupu. V důsledku tak v jedné ploché síti běhá běžný síťový provoz domácnosti, který se míchá s provozem technologie vytápění, větrání atd.
  • Nezabezpečené vzdálené servisní přístupy
  • Neřeší se úrovně přístupu – klient, servis apod., takže „všichni můžou všude“
  • Slabá nebo výchozí servisní/admin hesla, chybějící nebo slabá autentizace pro API
  • Chybná politika access managementu servisáků – po odchodu z firmy má stále vzdálený přístup do instalací, které dříve spravoval
  • Chybná politika pro správu vzdálených přístupu třetích stran – instalace se zpřístupní třetí straně bez vědomí zákazníka, přístup se pak zapomene odebrat
  • Neprovádí se pravidelné aktualizace firmwaru, softwaru
  • Prakticky nulová proškolenost servisáků v oblasti sítí a rizik
  • a další...

Zákazník potom vnáší tyto hrozby:

  • Pořídí si veřejnou IP, hraje si s otvíráním portů ven a pak něco zapomene zavřít nebo tam provozuje špatně zabezpečenou službu (hostuje děravý WordPress web apod.)
  • Upravuje konfiguraci domácího routeru, aniž by měl pořádně tušení, co dělá
  • Nemá ponětí o segmentaci sítě, provozuje špatně zabezpečenou WiFi.
  • a další...

Dopady na digitalizaci a integraci do elektrických sítí

Špatně zabezpečená IT síť koncového zákazníka zvyšuje riziko neoprávněného přístupu k tepelným čerpadlům a dalším zařízením, která jsou nějakým způsobem propojena do internetu a zároveň poskytují nějaké služby elektrické síti. Absence segmentace sítě znamená, že získáním přístupu k jednomu zařízení mám potenciálně snadný přístup ke všem ostatním zařízením v dané IT síti, což může následně eskalovat až k úrovni nadřazeného řízení, resp. cloudu. Rezidenční instalace jsou z tohoto pohledu velmi rizikovým článkem. Tyto hrozby se aktivně diskutují na evropské i národní úrovni. Aktuálně pro rezidenční zařízení chybí jakýkoliv legislativní rámec, který by toto řešil.

O problému manipulace se senzorickými daty pro cloudové služby, vytváření botnetů z rezidenčních zařízení a elektromobilů, rizicích rozcyklování celé instalace respektive náhlé generace špičkového odběru za účelem destabilizace elektrické sítě (například viz tady prostřednictvím napadených tepelných čerpadel a nabíječek elektromobilů) a další problémech je článek tady nebo záznam z CyberCon 2021 – Petr Matoušek – Bezpečnostní rizika IoT.

Generování nadměrných odběrů napadenými tepelnými čerpadly (simulace), při vysokém počtu napadených TČ může být velmi rizikové pro stabilitu elektrické sítě, zdroj [2]
Generování nadměrných odběrů napadenými tepelnými čerpadly (simulace), při vysokém počtu napadených TČ může být velmi rizikové pro stabilitu elektrické sítě, zdroj [2]

Do budoucna se u rezidenčních zařízení, která budou chtít nějakým způsobem zprostředkovávat služby elektrické síti, dá očekávat výrazný legislativní tlak (více tady a tady) za účelem zpřísnění podmínek kyberbezpečnosti (... a pentesty máte? A jak vyšly?). To povede s největší pravděpodobností i na zpřísnění podmínek na všechny navázané subjekty – instalační firmy, koncové zákazníky apod. [1], [2], [3]. Zatím to vypadá, že se na to s předstihem chystá třeba společnost tiko (Švýcarsko), která má už zavedený i propracovaný systém reportingu zranitelností, což je pro většinu konkurence zatím španělská vesnice.

Pro tuto studii společnost IBM a Threatcare zkoumaly „huby“, tedy zařízení a software, které propojují prvky chytrých měst s širším internetem. V případě platformy Meshlium od společnosti Libelium – řady zařízení přenášejících data z environmentálních senzorů do cloudových služeb – výzkumníci zjistili, že je velmi náchylná k útokům typu shell command injection. U Meshlia výzkumníci zjistili, že je snadné získat kontrolu nad účtem, který provozuje webový server zařízení, a následně odesílat příkazy, které by mohly narušit funkci senzorů nebo falšovat data.
statescoop.com/its-pretty-easy-to-hack-a-smart-city-cybersecurity-researchers-find/

Vytápění a fotovoltaika v domácnostech potřebují ošetřit kybernetické zabezpečení

Rostoucí počet propojení spotřebitelských zařízení s elektrickými sítěmi, IT sítěmi a cloudovými službami přináší nové kybernetické hrozby, na které rezidenční instalace nejsou připravené. Přestože současné legislativní rámce cílí především na kritickou infrastrukturu a „velkou“ energetiku, je pravděpodobné, že s postupnou integrací rezidenčních zařízení do širšího energetického ekosystému budou i rezidenční instalace čelit přísnějším bezpečnostním požadavkům. Tato změna bude vyžadovat nejen legislativní podporu, ale i vyšší povědomí u koncových uživatelů a kvalitnější zabezpečení ze strany výrobců, dodavatelů, subdodavatelů, instalačních a servisních firem (konec „garážových“ řešení). Kybernetická bezpečnost časem nebude pouze okrajovou záležitostí, ale nezbytnou podmínkou pro spolehlivý a bezpečný provoz. Což je dobře.

 
 
Reklama