Problémem fotovoltaických elektráren je nejen nedostatečná aktualizace software, ale především ponechávání defaultních hesel, která jsou pro konkrétní zařízení veřejně známá. Rizika se týkají také větrných elektráren a tepelných čerpadel, ovládaných z webového prohlížeče nebo speciálním programem.
Nové fotovoltaické elektrárny rostou po celé Evropě jako houby po dešti. Jen na území České republiky jich bylo na konci roku 2022 podle Solární asociace 84 000. Letos přibyly další desetitisíce FVE a je jich už více než 140 tisíc.
Útočníci budou klasicky požadovat výkupné
„Úspěšný masový útok na tato zařízení, díky celkovému výkonu těchto elektráren, který v Evropě činí již více než 200 GW, by mohl způsobit poměrně velké škody v podobě výpadků dodávek elektrické energie. Útočníkům by ale mohlo jít i o něco jiného. Ovládnutí fotovoltaické elektrárny by se například mohlo stát vhodným prostředkem pro ransomware útoky,“ popisuje odborník na IT bezpečnost z Počítačové školy GOPAS Roman Kümmel.
Útočníci by oplátkou za znovuzprovoznění elektráren mohli požadovat vysoké výkupné. „V historii jsme již byli svědky ransomware útoků, které mířily na IoT zařízení a napadaly například chytré termostaty. Pro zapnutí, nebo naopak snížení teploty v domě útočníci rovněž požadovali výkupné. Že budou další na řadě fotovoltaické elektrárny se tedy přímo nabízí,“ doplňuje Kümmel.
Nejvyšší výkupné za ohrožení ransomwarem platí výrobní firmy
Webové rozhraní, přes které se dá fotovoltaická elektrárna ovládat, se může nacházet buď v cloudu (na serverech provozovaných výrobci fotovoltaických zařízení) nebo je webový server součástí každého jednotlivého zařízení.
V neposlední řadě ovládá mnoho vlastníků svou fotovoltaickou elektrárnu skrz asistenta pro chytrou domácnost. Každé z uvedených řešení má z pohledu bezpečnosti své výhody i nevýhody.
I ovládání z cloudu má svá rizika
Pokud se vlastníci elektráren spoléhají na ovládání z cloudu, nemusí řešit zabezpečení samotného serveru nebo pravidelnou aktualizaci software, která může přinášet bezpečnostní záplaty.
Na druhou stranu se ovšem provozovatel stává zranitelným vůči hromadnému odstavení elektráren při zdárném útoku na poskytovatele, nebo vůči vypnutí FVE ze strany provozovatele v případě kybernetické války.
Pokud webový server běží jako součást samotné elektrárny, má její provozovatel bezpečnost ve svých rukou. Musí ovšem zajistit dostatečné zabezpečení přístupu k aplikaci v rámci sítě, nebo pravidelnou instalaci aktualizací.
Fotovoltaických elektráren rychle přibývá. MPO chce zjednodušit jejich povolování
„Častým problémem fotovoltaických elektráren je nejen nedostatečná aktualizace software, ale hlavně ponechávání defaultních hesel, která jsou pro konkrétní zařízení veřejně známá. Mnoho provozovatelů elektráren ponechává nastavené heslo, jež nastavila firma, která elektrárnu instalovala,“ připomíná odborník.
Firma podle nej pravděpodobně používá stejné heslo u všech svých zákazníků a použité heslo je tak veřejným tajemstvím. Problém defaultních hesel se přitom netýká pouze malých domácích elektráren s výkonem do 10kWp, ale i poměrně velkých elektráren s výkonem v řádech MWp.
„O tom, že velké množství rozhraní těchto zařízení není chráněno vůbec a je dostupné komukoliv, kdo ví, jak je najít, se raději ani nebudu zmiňovat,“ varuje Kümmel.
Nečekejte na vyúčtování od hackerů
Samotné webové rozhraní pro správu elektráren je přitom často odhalitelné poměrně snadno díky jedinečnému obsahu HTTP response hlavičky „Server“, kterou do svých odpovědí vkládá webový server.
Útočníkům stačí použít vyhledávače, které dokáží zařízení vyhledávat na základě obsahu této hlavičky. Takovou službou je například Shodan.io. Pomocí této služby je možné odhalit statisíce FVE.
Provozovatelé by si měli co nejrychleji nastavit takové přístupové heslo, které bude jedinečné a bude mít v ideálním případě alespoň 18 znaků
Roman Kümmel, GOPAS
„Provozovatelé, kteří ponechali nastavení hesla na někom jiném, nebo si nastavili příliš jednoduché heslo, by proto neměli čekat na chvíli, kdy jim přijde vyúčtování od útočníků. Místo toho by si měli co nejrychleji nastavit takové přístupové heslo, které bude jedinečné a bude mít v ideálním případě alespoň 18 znaků,“ radí Roman Kümmel.
Majitelé by neměli zapomínat ani na pravidelnou aktualizaci software a firmware, aby se zacelily známé zranitelnosti, kterými mohou provozovaná zařízení trpět.
„Jejich zneužití by bylo rovněž jen otázkou času. Uvedené skutečnosti se ovšem týkají také větrných elektráren nebo tepelných čerpadel, které lze také ovládat z webového prohlížeče, nebo speciálním programem,“ dodává expert.