Krátce po varování Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) před používáním veškeré čínské techniky, která může odesílat data do Číny nebo která může být na dálku ovládána čínskými správci, se tématu kybernetické bezpečnosti věnovali také účastníci podzimního setkání platformy Chytré město a investor.
Diskutovali o možných rizicích a jejich minimalizaci již ve fázi zadávání veřejných zakázek na obnovitelné zdroje energie. Se změnou zákona o kybernetické bezpečnosti čekají nové povinnosti v této oblasti například i obce s rozšířenou působností.
Rizikové čínské součástky jsou běžnou součástí fotovoltaických elektráren. Kybernetické útoky na fotovoltaiky i další obnovitelné zdroje tak mohou v kontextu současné energetické transformace způsobit masivní škody.
Jednorázové vypnutí pouhých 10 GW výkonu fotovoltaických elektráren by podle zjištění expertů asociace Solar Power Europe stačilo k destabilizaci celoevropské energetické sítě s následným kaskádovým blackoutem. Přitom jen v roce 2024 bylo v Evropě instalováno 337 GW nových fotovoltaik.
To, že se obnovitelné zdroje energie se rychle stávají atraktivním cílem kybernetických útoků po celém světě potvrdila bezpečnostní výzkumnice ČVUT Erika Langerová vedoucí týmu Kyberbezpečnost pro energetiku v Univerzitním centru energeticky efektivních budov. Podle analýz společnosti Mandiant jsou obnovitelné zdroje pátým nejnapadanějším sektorem v energetice, přičemž hlavními agresory jsou státní aktéři z Ruska a Číny.
Zatímco ruské útoky mají podle expertky ČVUT typicky destruktivní charakter, čínské útoky jsou zaměřené především na špionáž a budování dlouhodobého přístupu do kritických systémů. Problematická je zejména situace kolem levných čínských střídačů. "Reálně teď v evropské síti běží zhruba asi 80 gigawatt instalovaného výkonu na kompletně nezabezpečených cloudech, protože výrobce není ochotný zranitelnost ve svém systému opravit," varovala Langerová.
Přidala i konkrétní příklady útoků na systémy spojené s obnovitelnými zdroji. Na Ukrajině dochází k denním pokusům o útoky na solární elektrárny, přičemž několik útoků bylo i úspěšných – v jednom případě útok způsobil odstavení komerční solární elektrárny na minimálně čtyři dny. Podobně v Litvě došlo k úspěšnému útoku na systémy dodavatele technologií pro solární elektrárny a hackeři následně prodali přihlašovací údaje provozovatelů elektráren na dark webu. Pro majitele OZE je klíčové pečlivě vybírat výrobce a zavádět odpovídající bezpečnostní opatření.
Kybernetické hrozby popsala Erika Langerová během setkání platformy Chytré město a investor pořádané Frank Bold také pro vysílání České televize. Pusťte si záznam! Rozhovor začíná v čase 10:46 min od začátku pořadu.
Kybernetická bezpečnost fotovoltaických systémů se stává kritickou prioritou pro obce i průmyslové podniky. Jak upozornil Jindřich Stuchlý manažer společnosti SolarEdge, problém má několik dimenzí – od úniku dat až po možnost vzdáleného ovládání systémů. Reálné dopady dokládají případy z praxe, kdy ransomware ochromil firmy na týdny.
Mezi zásadními problémy zmínil Stuchlý takzvané tiché ovládnutí jako možnost koordinovaných útoků na energetickou síť. Princip je jednoduchý. Stačí například, aby útočníci pozměnili nastavení měničů tak, aby fotovoltaika mohla začít znovu vyrábět okamžitě po výpadku. „A co se stane, když tohle uděláte několikrát za sebou? Rozvodna a ochrany vysokého napětí na to jednoduše nejsou stavěné. Zareagují špatně nebo zareagují několikrát za sebou, takže se v podstatě dostanou do blackoutu," popsal Stuchlý mechanismus, který může vést k blackoutu celé oblasti.
Pro obce a provozovatele fotovoltaických systémů existují konkrétní možnosti zabezpečení OZE založené na víceúrovňovém přístupu.
Klíčové jsou čtyři vrstvy ochrany
Zásadním krokem je už samotný výběr dodavatele technologií. Vývoj české legislativy směrem k přísnějším standardům přiblížil Ondřej Polák, analytik Národního úřadu pro kybernetickou a informační bezpečnost.
Zásadní změnu představuje nová legislativa transponující evropskou směrnici NIS2. „Od 1. listopadu 2025 vstoupí v účinnost nový zákon o kyberbezpečnosti, který rozšíří počet regulovaných subjektů v Česku ze 400 na přibližně 6000. Mezi nimi budou i obce s rozšířenou působností, které budou mít v souvislosti s výkonem veřejné správy či dalších regulovaných činností povinnost zavádět bezpečnostní opatření,“ vysvětlil Polák.
V případě solárních elektráren a dalších obnovitelných zdrojů energie je zásadní vhodné nastavení podmínek výběrového řízení: „Každý zadavatel by měl provést důkladnou analýzu rizik a na jejím základě může v odůvodněných případech vyloučit rizikové dodavatele. To ve svém rozhodnutí ze začátku roku 2024 potvrdil i antimonopolní úřad,” doplnil Polák.
Vedoucí advokátka Frank Bold Advokáti Anna Francová popsala konkrétní nástroje pro zajištění kyberbezpečnosti už ve fázi zadávání. Klíčové je využít možnosti, které poskytuje zákon o zadávání veřejných zakázek při nastavení požadavků v rámci zadávacích podmínek - konkrétně požadavky na splnění minimální technické úrovně a smluvní podmínky.
Významnou roli hraje také nedávné rozhodnutí Soudního dvora EU, které vyjasňuje postavení dodavatelů ze třetích zemí. "Dodavatelé ze zemí mimo EU, které nemají uzavřenou mezinárodní dohodu s EU, nemohou požadovat rovné zacházení podle Směrnice," upozornila Francová.
Z praktických zkušeností vyplývá, že zadavatelé by měli co nejpřesněji specifikovat podmínky budovy a své minimální požadavky na technologii. Důležitým pozorováním je, že "FVE systémy jsou řiditelné, pokud dílčí části technologie (panely, střídač, optimizéry, akumulace) pochází od bezpečného výrobce," doplnila Francová. Technické řešení pak zůstává v odpovědnosti dodavatele.
Pro úspěšné zadání zakázky s ohledem na kyberbezpečnost doporučuje předběžné tržní konzultace a využití Portálu o veřejných zakázkách Ministerstva pro místní rozvoj. Zadavatelé by měli při výběru dodavatele soustředit pozornost na kvalitu a zajistit si hladký průběh administrace zakázky od začátku do konce, včetně případného zastoupení v sporech před soudy či ÚOHS.
Úspěšně již podmínky kybernetické bezpečnosti OZE ve zakomponovali do výběrového v Jablonci na Nisou. Jak popsal manažer energetických projektů Jablonecké energetické Jaroslav Šída do podmínek zahrnuli konkrétní technické požadavky a detailní specifikace zabezpečení komunikace, řízení přístupu i monitorování systému.
Zásadní je podle Šídy definovat specifické parametry pro jednotlivá zařízení, zejména měniče a optimizéry. „Každý jednotlivý měnič musí z výroby disponovat svým unikátním a jedinečným heslem a my musíme mít možnost samozřejmě s tím heslem nějakým způsobem pracovat, mít možnost ho měnit," uvedl Šída. Mezi další klíčové požadavky podle něj patří ukládání dat na evropských serverech, certifikace podle evropské legislativy a možnost odpojení od internetu v případě potřeby vlastního monitoringu.
Potvrdil také, že správně nastavené požadavky neodradí seriózní dodavatele: „Žádná z firem, která nám prošla výběrovým, neměla našimi bezpečnostními požadavky sebemenší problém." Doplnil, že ideální je všechny požadavky zakomponovat jako nepřekročitelnou podmínku, nikoli jako bodovací kritérium. Tím si zadavatel zajistí minimální bezpečnostní standard u všech účastníků výběrového řízení.
.jpg)
< zpět na aktuality
Přihlaste se k odběru novinek Bold Future. Nebojte, posíláme jen důležité e-maily k tématům konference.
Přihlaste se k odběru newsletteru
