Hackeři už neútočí na počítače. Útočí na trafostanice. A jde jim to čím dál líp.

V červnu 2026 zaznamenala bezpečnostní firma Dragos přes 2 100 pokusů o průnik do systémů řízení kritické infrastruktury jen v Evropě. Není to sci-fi, není to hypotéza pro konferenční prezentaci. Je to týdenní statistika. A pokud provozujete cokoliv, co se točí kolem energetiky – od fotovoltaické elektrárny přes bateriové úložiště až po rozvodnu – patříte do cílové skupiny.
Skupina UAT-5918, spojovaná s čínskými státními aktéry, nedávno kompromitovala telekomunikační a energetické operátory na Tchaj-wanu přes zranitelnosti ve veřejně dostupných webových serverech. Metoda? Nic sofistikovaného. Web shell, laterální pohyb, exfiltrace credentials pomocí Mimikatz. Základní nástroje, které fungují, protože OT sítě jsou pořád děravé jako ementál. A pak je tu čerstvý případ malwaru GoSerpent, který cílí na vládní instituce a diplomaty v jihovýchodní Asii – ukázka toho, že špionážní kampaně a útoky na průmyslové systémy se čím dál víc prolínají. Stejné techniky, jaké se používají na krádež diplomatické korespondence, se za pár měsíců objeví v kampani proti energetické firmě.
Dragos a stav OT bezpečnosti v roce 2026
Dragos, americká firma specializující se výhradně na kybernetickou bezpečnost průmyslových řídicích systémů (ICS/OT), letos publikovala několik zajímavých aktualizací. Firma rozšířila svou platformu Dragos Platform o lepší detekci anomálií v protokolech Modbus TCP a DNP3 – tedy přesně těch protokolech, které běžně najdete na střídačích, měničích a řídicích jednotkách baterií. Není náhoda, že se na to zaměřili. Modbus je protokol z 80. let bez jakékoliv autentizace. Kdo se dostane do sítě, může teoreticky posílat příkazy libovolnému zařízení, které naslouchá.
Dragos také oznámil partnerství s několika evropskými poskytovateli MSSP služeb (Managed Security Service Provider), což signalizuje jednu věc: poptávka po monitoringu OT prostředí roste rychleji, než firmy stíhají najímat vlastní bezpečnostní týmy. To dává smysl – energetika je specializovaný obor, a najít člověka, který rozumí zároveň Modbusu, SCADA architektuře i klasickému pentestingu, je jako hledat jehlu v kupce sena.
Zajímavý je i report Dragos Year in Review, který ukazuje, že přes 70 % analyzovaných incidentů v energetickém sektoru začalo na IT straně sítě a teprve pak se rozšířilo do OT prostředí. Jinými slovy – firewall mezi kanceláří a řídicí místností je pořád ta nejdůležitější investice, kterou spousta firem odkládá.
Reálné incidenty, které by měly děsit každého provozovatele FVE
Připomeňme si pár konkrétních případů z poslední doby, protože abstraktní hrozby nikoho nepřesvědčí.
V roce 2023 čínský Volt Typhoon kompromitoval kritickou infrastrukturu v USA a zůstal v sítích měsíce nepozorován – takzvaný "living off the land" přístup, kdy útočník nepoužívá malware, ale legitimní nástroje operačního systému. Loni se podobná technika objevila i v Evropě proti energetickým distributorům. Cíl nebyl okamžitá sabotáž, ale dlouhodobá přítomnost – schopnost kdykoliv v budoucnu vypnout část sítě jako geopolitickou páku.
Pak je tu klasika – útok na ukrajinskou rozvodnou síť z roku 2015 a 2016, kdy malware Industroyer/CrashOverride dokázal přímo komunikovat s protokoly IEC 60870-5-101/104 a IEC 61850, tedy standardy používanými i v české přenosové soustavě. Devět let starý útok, a jeho technická podstata je pořád aktuální, protože protokoly se od té doby zásadně nezměnily.
A nesmíme zapomenout na zranitelnosti solárních měničů. Bezpečnostní výzkumníci opakovaně demonstrovali, že cloudové platformy pro správu FVE (od několika velkých výrobců střídačů) obsahovaly chyby umožňující hromadné vzdálené vypnutí tisíců jednotek najednou. Když má jeden výrobce 3 % instalovaného výkonu v evropské síti a útočník dokáže vypnout všechny jednotky současně, mluvíme o reálném riziku pro stabilitu frekvence sítě. Tohle není teorie – ENTSO-E na to upozorňuje ve svých doporučeních už dva roky.
Co říká NÚKIB a proč to není jen byrokratická povinnost
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) letos zpřísnil požadavky v rámci zákona o kybernetické bezpečnosti, který transponuje evropskou směrnici NIS2. Pro energetiku to znamená rozšíření okruhu regulovaných subjektů – nově pod NIS2 spadá i řada menších výrobců a agregátorů flexibility, kteří dřív nebyli vůbec na radaru.
Klíčová doporučení NÚKIB pro OT prostředí zahrnují segmentaci sítě (oddělení IT a OT pomocí DMZ zóny), povinnou dvoufaktorovou autentizaci pro vzdálený přístup k řídicím systémům, a pravidelné penetrační testy zaměřené specificky na průmyslové protokoly – ne jen na webové aplikace, jak se to dělá běžně. Detaily najdete přímo na nukib.gov.cz, kde úřad publikuje i konkrétní metodiky hodnocení rizik.
Realita je taková, že spousta menších energetických firem a provozovatelů komunitní energetiky bere tyto požadavky jako otravnou byrokracii, kterou vyřeší checklist a razítko. To je špatný přístup. NIS2 sankce začínají na desítkách milionů korun a u kritických subjektů může jít o statutární odpovědnost managementu. Pokud provozujete bateriové úložiště nebo agregujete flexibilitu pro víc odběratelů, doporučuji projít si aktuální stav zabezpečení dřív, než to za vás udělá kontrola.
Jak se OT bezpečnost liší od klasické IT bezpečnosti
Tohle je bod, který spousta IT specialistů podceňuje, když poprvé přijdou do energetického provozu. V klasickém IT prostředí je priorita důvěrnost dat. V OT prostředí je priorita dostupnost a integrita – systém musí běžet nepřetržitě, protože jeho výpadek může znamenat blackout, ne jenom ztrátu dat.
To má konkrétní důsledky. Patch management, který v IT děláte automaticky každý týden, v OT prostředí často nejde – řídicí jednotka střídače může běžet na systému, který se nesmí restartovat, protože restart znamená výpadek výroby na několik hodin. Antivirus, který běžně nasazujete na notebooky, může na starším PLC způsobit kolizi a vypadnutí zařízení uprostřed provozu.
Proto se v OT bezpečnosti spoléhá hlavně na pasivní monitoring síťového provozu (network intrusion detection bez zásahu do provozu), striktní segmentaci a takzvaný "zero trust" přístup i uvnitř sítě – tedy že žádné zařízení automaticky nedůvěřuje jinému, i když jsou ve stejném VLANu. Dragos, Nozomi Networks nebo Claroty jsou příklady firem, které tuhle pasivní detekci dělají jako hlavní byznys.
Pro menší provozovatele, kteří nemají rozpočet na enterprise OT bezpečnostní platformu, je základ aspoň síťová segmentace pomocí VLAN a firewall pravidel mezi monitoringem/IoT vrstvou a samotnými řídicími jednotkami. Platforma jako platforma SmartEnergyShare řeší monitoring FVE a bateriových úložišť přes vlastní [IoT monitoring](https://smartenergyshare.com/iot-monitoring) vrstvu, která je oddělená od přímého řízení výkonu – princip, který by měl dodržovat každý, kdo agreguje víc zdrojů dohromady.
Praktické kroky pro provozovatele FVE a bateriových úložišť
Co dělat konkrétně, pokud vlastníte nebo spravujete fotovoltaickou elektrárnu, bateriové úložiště nebo se účastníte agregace flexibility?
Za prvé – změňte výchozí přístupové údaje na všech zařízeních. Zní to banálně, ale podle Dragos reportu je pořád přes 40 % kompromitovaných OT zařízení dostupných s továrním heslem nebo bez hesla vůbec. Střídače, měniče, monitoring boxy – všechno to má výchozí admin/admin nebo podobné kombinace.
Za druhé – oddělte monitoring síť od řídicí sítě. Pokud váš dodavatel FVE monitoringu žádá přístup do stejné sítě, kde běží řízení výkonu baterie, ptejte se proč. Legitimní řešení tohle nepotřebují.
Za třetí – pokud se účastníte agregace flexibility nebo prodáváte přebytky přes platformu jako sdílení elektřiny nebo obchodování flexibility, ověřte si, jak agregátor zabezpečuje komunikaci mezi vaším zařízením a centrálním systémem. Certifikace ISO 27001 nebo dodržování NIS2 požadavků by měly být standardem, ne bonusem.
Za čtvrté – sledujte aktualizace firmwaru vašich střídačů a měničů. Výrobci jako SolarEdge, Huawei nebo Sungrow pravidelně publikují bezpečnostní záplaty, ale spousta instalací je nikdy neaplikuje, protože to vyžaduje fyzický zásah nebo naplánovaný výpadek.
Pátý bod, který se často zapomíná – pojistěte se proti kybernetickým rizikům. Pojišťovny dnes už standardně nabízí cyber pojištění i pro provozovatele energetických zařízení, a cena se odvíjí právě od úrovně zabezpečení, kterou dokážete doložit.
Kam se OT hrozby posouvají a co čekat dál
Trend na příští dva roky je jasný – útočníci se čím dál víc zaměřují na dodavatelský řetězec. Není efektivní útočit přímo na dobře zabezpečenou elektrárnu, když stačí kompromitovat softwarového dodavatele, který spravuje monitoring pro stovky instalací najednou. Přesně tenhle vektor byl použit u útoku na SolarWinds v roce 2020 a od té doby se v energetice objevuje čím dál častěji.
Druhý trend je AI-asistované phishing kampaně cílené konkrétně na techniky a operátory dispečinků. Zprávy generované jazykovými modely jsou gramaticky bezchybné, kontextově relevantní a těžko odlišitelné od legitimní komunikace dodavatelů. GoSerpent malware zmíněný v úvodu je ukázkou téhle nové generace – kombinace sociálního inženýrství a technicky sofistikovaného payloadu.
Očekávám, že do konce roku 2026 uvidíme první veřejně potvrzený případ útoku na bateriové úložiště v Evropě s přímým dopadem na stabilitu sítě, ne jen na jednotlivou instalaci. Zní to alarmisticky, ale s rostoucím podílem decentralizovaných zdrojů a agregace flexibility roste i atraktivita těchto cílů pro státem sponzorované skupiny. Víc podrobností o bateriových úložištích a jejich rizicích najdete na BESS Global Blog, který se tématu věnuje z technického i regulatorního pohledu.
Pokud chcete zjistit, jak funguje bezpečné sdílení elektřiny a jaké standardy zabezpečení používá SmartEnergyShare, podívejte se na jak to funguje nebo si projděte reference a projekty, kde je vidět, jak se principy OT bezpečnosti aplikují v praxi na konkrétních instalacích.
Kybernetická bezpečnost v energetice přestala být okrajové téma pro nadšence do síťové architektury. Je to existenční otázka pro každého, kdo vlastní zdroj energie připojený k internetu. A pokud si myslíte, že vaše malá střešní FVE není zajímavý cíl – zapomínáte, že útočníci nechtějí vaši elektrárnu. Chtějí přístup do vaší sítě jako odrazový můstek dál.
Zdroje
- NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost
- Dragos – OT Cybersecurity Year in Review
- The Hacker News – GoSerpent Malware Targets Southeast Asian Governments
- oEnergetice.cz
- ERÚ – Energetický regulační úřad
- ENTSO-E – European Network of Transmission System Operators
Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →
Další články na toto téma najdete na: SmartEnergyShare.info Proč váš dodavatel vydělává na vašich přetocích z FVE — a... Vice o velké bateriové