Kyberbezpečnost (nejen) solárních elektráren: Rekapitulace zásadních událostí letošního jara
Jaro 2025 přineslo sérii událostí a varovných zpráv, které ukazují, jak hluboká je propast mezi rychlostí digitalizace decentralizované energetiky a rychlostí jejího zabezpečování.
Dnešní situace v decentralizované moderní energetice v podstatě připomíná začátky internetu – technologický optimismus předbíhá bezpečnostní realitu, pravidla nejsou pro velkou část trhu jasně daná a většina provozovatelů si teprve uvědomuje, že být online automaticky znamená být zranitelný. Ačkoliv už dnes existují firmy, které kybernetickou bezpečnost svých zařízení a instalací berou vážně, zůstávají zatím stále v menšině. V článku se podíváme na to, jak se tyto problémy odrazily na realitě. Článek chronologicky shrnuje nejzásadnější kyberbezpečnostní události ze světa i z ČR, které jsme zatím v roce 2025 měli možnost pozorovat.
Forescout Vedere Labs: 46 kritických zranitelností v solárních střídačích, systémech pro jejich vzdálenou správu a uživatelských mobilních aplikacích
V březnu 2025 zveřejnila společnost Forescout Technologies zprávu „SUN:DOWN“ [1], která identifikovala 46 nových zranitelností v solárních střídačích od výrobců Sungrow, Growatt a SMA. Tyto chyby mohly například umožnit útočníkům převzít kontrolu nad střídači nebo manipulovat s provozními parametry elektrárny. Zpráva také ve statistikách upozornila, že 80 % zranitelností objevených v solárních systémech za poslední tři roky bylo klasifikováno jako vysoce nebo kriticky závažné.
Velká Británie rozšiřuje povinnost kyberbezpečnostní certifikace podle ETSI EN 303 645 i na tepelná čerpadla
Už loni, dne 29. dubna, vstoupila ve Velké Británii v platnost nová legislativa, která přikazuje výrobcům chytrých zařízení pro domácnosti – včetně IoT prvků jako jsou střídače, chytré zásuvky, termostaty nebo kamery – certifikovat svá zařízení dle normy ETSI EN 303 645 [2]. Tato norma definuje minimální bezpečnostní požadavky pro uživatelská IoT zařízení připojená k internetu, a to jak z pohledu ochrany dat, tak odolnosti vůči kybernetickým útokům. V dubnu letošního roku byla tato povinnost nově rozšířena i na regulátory tepelných čerpadel o tepelném výkonu do 45 kW za jmenovitých podmínek [3].
SolarPower Europe & DNV: Solární sektor navrhuje řešení pro zmírnění kritických kybernetických rizik
Společná zpráva [4] SolarPower Europe a DNV z dubna 2025 upozorňuje na nedostatky v kybernetické ochraně evropských solárních elektráren. Doporučuje zavedení sektorově specifických standardů kybernetické bezpečnosti pro solární systémy a omezení vzdáleného přístupu ke střídačům z rizikových států. Zpráva také zdůrazňuje potřebu aktualizace legislativy, která by reflektovala výzvy spojené s rostoucí digitalizací a decentralizací energetických systémů.
Organizace European Solar Manufacturing Council (ESMC), která zastupuje zájmy evropských výrobců solárních komponent, krátce po vydání zprávy označila ve své tiskové zprávě [5] současnou situaci za „velmi znepokojivou“ a vyzvala Evropskou komisi k zajištění okamžitého zákazu vzdálených přístupů z rizikových zemí po vzoru Litvy [6]. Organizace také volá po vytvoření kyberbezpečnostního „Inverter security toolboxu“, který by měl být modelován po vzoru již úspěšně zavedeného „5G security toolboxu“ používaného v telekomunikacích [5].
Španělsko šetří příčinu blackoutu – ve hře je stále i kybernetická sabotáž
Dne 28. dubna 2025 postihl Španělsko a Portugalsko rozsáhlý výpadek elektrické energie, který ochromil klíčové služby a infrastrukturu. Přestože provozovatel přenosové soustavy Red Eléctrica de España (REE) ve svém předběžném hodnocení vyloučil kybernetický útok jako příčinu výpadku, vyšetřování nadále pokračuje a zvažuje všechny možné scénáře.
Španělský Národní soud (Audiencia Nacional) se rozhodl nepovažovat rychlé zanedbání kybernetického útoku ze strany REE za relevantní a 30. dubna 2025 zahájil vyšetřování s jasným cílem zjistit, zda šlo o akt kybernetické sabotáže kritické infrastruktury [7]. Soudce José Luis Calama na žádost prokuratury označil vyšetřování za důvěrné. Paralelně s touto iniciativou byl sestaven expertní panel ENTSO-E, který událost vyšetřuje jako nezávislá entita [8]. ENTSO-E vypracuje zprávu, která by měla být zveřejněna nejpozději do 6 měsíců od započetí vyšetřování.
Španělský Národní institut kybernetické bezpečnosti (Incibe) mezitím zahájil prověřování kybernetické odolnost malých a středních výrobců elektřiny, zejména solárních a větrných elektráren, včetně rezidenčního sektoru [9]. Tyto rezidenční a malé komerční systémy aktuálně nejsou pokryty žádnou kyberbezpečnostní legislativou a nejsou na ně kladeny žádné požadavky, přestože jejich celkový instalovaný výkon v evropské elektrizační soustavě přesahuje 80 GW a v případě vhodně vedeného hromadného kybernetického útoku (např. přes infrastrukturu výrobce, který je hromadně spravuje) mají reálný potenciál ohrozit stabilitu přenosové soustavy, jak ukázala analýza DNV [4].
Reuters: Nepřiznaná komunikační zařízení v čínských střídačích a BESS
V květnu 2025 agentura Reuters informovala v článku [10] o objevu nepřiznaných komunikačních zařízení v čínských solárních střídačích a bateriích používaných v USA. Dle zjištění Reuters mohla tato komunikační zařízení de-facto obcházet firewally a umožnit vzdálené ovládání nebo vypnutí systémů bez vědomí provozovatele. Čínská ambasáda v USA na celou situaci reagovala prohlášením, že „odmítá generalizaci konceptu národní bezpečnosti a napadání čínských úspěchů v infrastruktuře“.
Agentura Reuters neupřesnila, jakých výrobců by se problém měl týkat ani neposkytla žádné další bližší informace. Na oficiální vyjádření a předložení důkazů ze strany USA se čeká, nicméně paralelně s výzkumem USA probíhá přezkum rizik využívání čínských technologií v sektoru obnovitelných zdrojů energie také ve Velké Británii. Zde jej provádí vnitřní zpravodajská služba MI5 [11]. Britský přezkum by měl být dokončen v řádu měsíců a zahrnuje i střídače, uvedl pro Reuters zdroj obeznámený s problematikou [10]. Zatím není známé, zda budou výsledky přezkumu od MI5 odtajněny veřejnosti.
Oznámení o nálezu nepřiznaných komunikačních modulů přichází pár měsíců poté, co američtí senátoři představili zákon nazvaný „Decoupling from Foreign Adversarial Battery Dependence Act“ [12], který zakazuje Ministerstvu vnitřní bezpečnosti USA nakupovat baterie od některých čínských subjektů počínaje říjnem 2027, kvůli obavám o národní bezpečnost. Zákaz se týká nákupu baterií od šesti čínských společností, které Washington považuje za těsně spojené s Komunistickou stranou Číny, případně čínskou armádou: Contemporary Amperex Technology Company (CATL), BYD Company, Envision Energy, EVE Energy Company, Hithium Energy Storage Technology Company a Gotion High-tech Company. Reuters dále uvádí, že podle tří osob obeznámených se situací se nyní připravuje podobný zákaz i pro čínské výrobce střídačů [10].
Litva: Zákaz vzdáleného přístupu z nepřátelských zemí se chystáme rozšířit i na rezidenční instalace
Litevská vláda už v listopadu 2024 přijala zákon, který přikazuje provozovatelům bateriových uložišť, solárních a větrných elektráren blokovat Číně a dalším rizikovým zemím vzdálený přístup do instalací [6]. Zákon zatím platí pouze pro instalace nad 100 kilowatt výkonu, ale litevský ministr energetiky Zygimantas Vaiciunas pro Reuters uvedl, že se nyní řeší rozšíření tohoto zákona na instalace všech výkonů, tedy i rezidenční [10].
Litva provádí tyto kroky v reakci na rychlé sbližování Ruska a Číny, které se zcela jasně ukázalo při návštěvě Xi Jinpinga na oslavách v konce druhé světové války Moskvě. Nedávné rozšíření čínsko-ruské spolupráce v oblasti kybernetické bezpečnosti, viz článek [13], a přiznání Číny, že stojí za kybernetickými útoky a infiltrací kritické infrastruktury USA prostřednictvím skupin Volt, Flax a Salt Typhoon, viz článek [14], vyvolává v Litvě a v ostatních zemích Evropy oprávněné obavy z formace nové čínsko-ruské „Osy zla“ [15].
Česká republika schválila nový zákon o kyberbezpečnosti: týká se i solárníků a provozovatelů baterek
Dne 15. května 2025 schválila Poslanecká sněmovna nový zákon o kybernetické bezpečnosti (nZKB), který transponuje evropskou směrnici NIS2 a výrazně rozšiřuje rozsah povinností pro provozovatele energetických technologií, včetně například některých provozovatelů velkých fotovoltaických elektráren a bateriových uložišť. Legislativa nyní míří do Senátu. Po jejím schválení a podpisu prezidentem se očekává, že zákon vstoupí v platnost v druhé polovině roku 2025, s účinností většiny povinností od roku 2026.
V souvislosti se schválením zákona se začínají objevovat neaktuální nebo zavádějící interpretace jeho znění od komerčních konzultačních firem. Pro získávání informací k novému zákonu o kyberbezpečnosti proto využívejte výhradně portálu NÚKIBu (Národního úřadu pro informační a kybernetickou bezpečnost). NÚKIB je oficiálním a závazným zdrojem informací ohledně nZKB. Portál NÚKIB zároveň nabízí přehlednou kalkulačku, viz [16], pomocí které si můžete ověřit, zda se na vás nový zákon vztahuje.
Shrnutí
Události posledních několika měsíců naznačují prudký posun v uvažování o bezpečnosti obnovitelných zdrojů. Zatímco dříve dominovala debata o účinnosti a návratnosti investic, dnes se na evropské úrovni dostává do popředí otázka: Kdo má kontrolu nad našimi daty a komu jsme svěřili vzdálené přístupy?
Evropské státy začínají rychle chápat, že pokud má být přechod na zelenou energetiku udržitelný, musí být zároveň odolný vůči kybernetickým hrozbám a geopolitickým vlivům. Pokud mají obnovitelné zdroje ambici začít z velké části nahrazovat tradiční pilíře kritické infrastruktury, jako jsou uhelné elektrárny, pak s tím nutně přichází i nové – a často nepříjemné – povinnosti v oblasti kyberbezpečnosti.
Zdroje
- S. Dashevskyi, F. La Spina, and D. dos Santos, “SUN:DOWN: Destabilizing the Grid via Orchestrated Exploitation of Solar Power Systems.” Accessed: Mar. 28, 2025. [Online]. Available:
https://www.forescout.com/resources/sun-down-research-report/ - Cyber, “EN 303 645 - V3.1.3 - CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements,” 2024.
- “UK unveils ‘smart ready’ heat pump regulations, new utility flexibility rules – pv magazine International.” Accessed: May 17, 2025. [Online]. Available: https://www.pv-magazine.com/2025/04/25/uk-government-announces-smart-ready-regulations-for-heat-pumps-new-flexibility-obligations-for-utilities/
- SolarPower Europe (2025), “Solutions for PV Cyber Risks to Grid Stability.” Accessed: May 17, 2025. [Online]. Available: https://api.solarpowereurope.org/uploads/SPE_2025_Solutions_for_PV_Cyber_Risks_to_Grid_Stability_032dc2ae5a.pdf?updated_at=2025-04-29T07:11:32.315Z
- “Restrict Remote Access of PV Inverters from High-Risk Vendors - ESMC Solar.” Accessed: May 17, 2025. [Online]. Available: https://esmc.solar/restrict-remote-access-of-pv-inverters-from-high-risk-vendors/
- “Lithuanian Parliament bans remote access of companies from China to Lithuanian solar, wind and storage devices - ESMC Solar.” Accessed: Nov. 29, 2024. [Online]. Available: https://esmc.solar/lithuanian-parliament-bans-remote-access-of-companies-from-china-to-lithuanian-solar-wind-and-storage-devices/
- “Spain declares blackout investigation over suspected cyberattack ‘secret’ as judge points to GRU-backed disruption of Ukraine’s power supply.” Accessed: May 17, 2025. [Online]. Available: https://theins.ru/en/news/281009?
- “ENTSO-E expert panel initiates the investigation into the causes of Iberian blackout.” Accessed: May 17, 2025. [Online]. Available: https://www.entsoe.eu/news/2025/05/09/entso-e-expert-panel-initiates-the-investigation-into-the-causes-of-iberian-blackout/
- “Spain investigates cyber weaknesses at small power plants after blackout, FT reports | Reuters.” Accessed: May 17, 2025. [Online]. Available: https://www.reuters.com/business/energy/spain-investigates-cyber-weaknesses-small-power-plants-after-blackout-ft-reports-2025-05-13/
- “Rogue communication devices found in Chinese solar power inverters | Reuters.” Accessed: May 17, 2025. [Online]. Available: https://www.reuters.com/sustainability/climate-energy/ghost-machine-rogue-communication-devices-found-chinese-inverters-2025-05-14/
- “MI5 probes use of Chinese tech in clean power - reNews - Renewable Energy News.” Accessed: May 17, 2025. [Online]. Available: https://renews.biz/98820/mi5-probes-use-of-chinese-tech-in-clean-power/
- “United States of America: ‘Decoupling from Foreign Adversarial Battery Dependence’ bill introduced in Congress - Global Trade Alert.” Accessed: May 17, 2025. [Online]. Available: https://globaltradealert.org/intervention/144034-united-states-of-america-decoupling-from-foreign-adversarial-battery-dependence-bill-introduced-in-congress
- “China and Russia Strengthen Cybersecurity Cooperation Amid Growing Threats".” Accessed: May 17, 2025. [Online]. Available: https://cyberpress.org/china-and-russia-strengthen-cybersecurity/
- “Exclusive | In Secret Meeting, China Acknowledged Role in U.S. Infrastructure Hacks - WSJ.” Accessed: May 17, 2025. [Online]. Available: https://www.wsj.com/politics/national-security/in-secret-meeting-china-acknowledged-role-in-u-s-infrastructure-hacks-c5ab37cb
- “More Than a Systemic Rival: China as a Security Challenge for the EU - ICDS.” Accessed: May 17, 2025. [Online]. Available: https://icds.ee/en/more-than-a-systemic-rival-china-as-a-security-challenge-for-the-eu/
- “Portál NÚKIB.” Accessed: May 17, 2025. [Online]. Available: https://portal.nukib.gov.cz/