Hackli průmyslový řídicí systém za 14 minut. Vaše chytrá FVE může být dalším cílem.

Prosinec 2015, Ivano-Frankivsk, Ukrajina. Hackeři skupiny Sandworm coordinated přes 30 vzdálených přístupů do SCADA systémů tří distribučních společností a manuálně odpojili 230 kilovoltové rozvodny. 230 000 domácností bylo bez elektřiny šest hodin. A nebyl to film. Byl to první potvrzený kybernetický útok na energetickou síť v historii — a spoustu věcí od té doby se změnilo. Jenže k lepšímu? To je otázka.

Dnes jsou Evropa i Česko v jiné situaci. FVE střídače komunikují přes cloud, chytré měřáky odesílají data každých 15 minut, bateriová úložiště přijímají příkazy z centrálních systémů. Smart energy infrastruktura roste rychleji než bezpečnostní praxe, která ji chrání. A útočníci to dobře vědí.

OT infrastruktura: proč je energetika tak lákavý cíl

OT (Operational Technology) systémy jsou prostě jiný svět než klasické IT. Běží na starých protokolech — Modbus, DNP3, IEC 61850 — které vznikly v době, kdy internet neexistoval a slovo "kybernetická bezpečnost" bylo ryzí sci-fi. Mnohé průmyslové řídící systémy (ICS) v energetice mají "životnost" 20–30 let. Jenže někdo je mezitím připojil na internet, protože tak je to pohodlnější.

Firma Dragos, jedna z mála specializujících se výhradně na OT kybernetickou bezpečnost, ve svém výroční zprávě za rok 2024 identifikovala 23 aktivních skupin hrozeb zaměřených specificky na průmyslovou infrastrukturu. Z toho 9 skupin má schopnosti zasáhnout energetiku. Není to teorie — je to praxe.

Nejnebezpečnější je skupina VOLTZITE, která Dragos sleduje od roku 2021. Cílí na americké energetické utility, japonské a asijské rozvaděče a od roku 2023 rozšiřuje aktivity do Evropy. Technika? Pre-positioning — tiché proniknutí do systémů a čekání. Útočníci leží v síti měsíce, sbírají topologii, mapují systémy. A pak buď prodají přístup nebo čekají na politický rozkaz.

V Česku se bezpečnostní komunita začíná probouzet. NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) klasifikuje provozovatele přenosové a distribuční sítě jako "základní služby" pod zákonem č. 181/2014 Sb. To jim ukládá povinnosti — hlásit incidenty, implementovat bezpečnostní opatření. Jenže zákon je jedno, realita druhé.

Spotová cena jako nový vektor útoku

Tady se dostáváme k věci, o které se moc nemluví. Smart energy není jen o solarech a bateriích. Je to o datových tocích, o algoritmech, které reagují na spotovou cenu elektřiny v reálném čase a rozhodují — nabijeme baterii teď, nebo počkáme na hodinu záporné ceny?

Kdo kontroluje data, kontroluje rozhodnutí.

Představte si scénář: útočník se dostane do systému agregátoru flexibility — firmy, která řídí tisíce bateriových úložišť nebo FVE instalací. Nemůže nutně způsobit blackout. Ale může koordinovaně vypnout nebo zapnout kapacity v momentě, kdy to trh nečeká. Výsledek? Výkyv frekvence sítě, aktivace záložních zdrojů, v extrémním případě kaskádový efekt.

Tohle není sci-fi. OTE (Operátor trhu s elektřinou) zpracovává každý den tisíce datových bodů. Zmanipulovat cenové signály v DAM (Day-Ahead Market) nebo IDM (Intraday Market) je obtížné, ale ne nemožné. A kybernetický útok nemusí být přímý — stačí ovlivnit predikcí solární výroby nebo falzifikovat data ze senzorů.

Pokud sledujete spotové ceny na denním trhu, víte jak volatilní mohou být — minus 50 Kč/MWh v létě, 2000 Kč/MWh v zimní špičce. Ekonomika za tím je obrovská. A kde jsou velké peníze, jsou velcí útočníci.

Více o tomto tématu technicky rozebírá blog smartenergyshare.info, který sleduje vývoj smart grid a AI v energetice.

Dragos a reálné průmyslové hrozby: co se děje za oponou

Dragos letos zveřejnil data, která by měla znepokojit každého provozovatele energetické infrastruktury. Ve zprávě "Year in Review 2024" firma uvádí, že 23 % všech ransomwarových útoků na průmysl v roce 2024 cílilo na energetiku — včetně menších distribučních firem a obnovitelných zdrojů.

Jedno číslo, které vyrazí dech: průměrná doba, po kterou útočník setrvává v OT síti bez detekce, je 252 dní. Více než osm měsíců. Klasické bezpečnostní nástroje na to nestačí — IDS systémy navržené pro HTTP provoz nic neví o Modbus frameovacím protokolu.

PIPEDREAM/INCONTROLLER — malware identifikovaný v roce 2022 — byl navržen speciálně pro průmyslové systémy. Měl moduly pro Schneider Electric Modicon PLC, Omron řadiče a OPC UA servery. Bezpečnostní agentury USA a Velké Británie varují, že variace tohoto malwaru jsou stále aktivní.

Pro českou energetiku jsou nejrelevantnější skupiny napojené na ruský stát — primárně Sandworm a APT28 (Fancy Bear). Sandworm stojí za oběma ukrajinskými útoky (2015 a 2016) i za NotPetyou, který v roce 2017 způsobil škody přesahující 10 miliard dolarů globálně. A jak NUKIB potvrdil, Česká republika je aktivně ve hledáčku ruských zpravodajských operací od roku 2022.

NUKIB varuje: česká kritická infrastruktura není bez rizika

NUKIB vydal v roce 2024 zprávu o stavu kybernetické bezpečnosti v Česku. Jemně řečeno — není důvod k oslavám. Energetický sektor je sice lépe chráněný než třeba zdravotnictví, ale mezery jsou patrné.

Konkrétní doporučení NUKIB pro provozovatele kritické infrastruktury zahrnují:

Segmentaci sítí — OT a IT nesmí být v jednom segmentu. Zní to jako základní poučka, ale průzkumy ukazují, že přibližně 40 % průmyslových firem v Evropě stále nemá důslednou síťovou segmentaci. Zero-trust architektura je ideál, realita bývá horší.

Monitoring OT protokolů — klasický SIEM (Security Information and Event Management) na Modbus ani DNP3 "nevidí". Potřebujete specializované OT monitorovací nástroje jako Dragos Platform, Claroty nebo Nozomi Networks.

Záplatování průmyslových systémů — bolestivé téma. PLC od Siemens, Schneider nebo Allen-Bradley beží firmware, který výrobce aktualizuje v intervalu let. A provozovatelé aktualizace odkládají, protože patch nasazený ve špatný čas může zastavit výrobu. Kompromis neexistuje — buď plánovaný downtime na update, nebo riskujete.

CISA (americká obdoba NUKIB) vydala v roce 2024 doporučení specificky pro renewable energy operátory — FVE, větrné parky a bateriová úložiště. Klíčové body: audit přístupu třetích stran (integrátoři, servisní technici), šifrování komunikace mezi střídači a cloudem, offline zálohy konfigurace.

Podrobná analýza kybernetických hrozeb pro bateriová úložiště je dostupná na bess-global-blog.vercel.app, kde se specializují právě na BESS technologie a jejich bezpečnostní aspekty.

Jak se bránit: praktické OT security strategie

Dobré zprávy: chránit se lze. Špatné zprávy: stojí to peníze a čas. Tady je pragmatický přehled toho, co skutečně funguje.

Asset inventory jako základ. Nelze chránit to, o čem nevíte. Průmyslové sítě jsou notoricky nezdokumentované — přidával se zařízení za zařízením, nikdo nevedl aktuální seznam. Pasivní discovery nástroje (Nozomi, Claroty) umí automaticky zmapovat OT síť bez rizika narušení provozu.

Privilegovaný přístup pod kontrolou. PAM (Privileged Access Management) pro OT je nutnost. Každý servisní technik, který se připojuje k PLC, musí být auditovatelný. VPN tunnely s časovým omezením, záznam relací, MFA. Stará dobrá hesla "admin/admin" na průmyslových zařízeních — to není vtip, to je realita, kterou Shodan každý den indexuje.

Threat intelligence sdílení. Energetický sektor v Česku by měl aktivněji sdílet informace o hrozbách — model, který funguje v USA přes ISAC (Information Sharing and Analysis Center). V Evropě existuje EnergySHIELD projekt financovaný EU, ale adopce je pomalá.

Incident response pro OT. IT incident response playbook nefunguje pro OT. Odpojit infikovaný server od sítě? V IT trivialita. V OT to může zastavit výrobu a způsobit bezpečnostní incident. Potřebujete OT-specifický IR plán, ideálně nacvičený v simulacích (table-top exercises).

Pro provozovatele FVE a bateriových úložišť, kteří využívají obchodování s flexibilitou, je klíčové zabezpečit API komunikaci s agregátory. OAuth 2.0, rate limiting, monitoring anomálního chování — to jsou minimum.

Pokud provozujete IoT monitoring infrastruktury, doporučuji projít možnosti IoT monitoringu, kde lze identifikovat slabá místa v datovém řetězci od senzorů k platformě.

AI jako obránce i útočník: bitva algoritmů

Tady se dostáváme k nejzajímavější části. AI v kybernetické bezpečnosti není marketingový buzzword — je to skutečná změna hry, a to na obou stranách barikády.

Útočníci používají generativní AI pro tvorbu phishingových kampaní v dokonalé češtině, pro automatizaci průzkumu sítí a pro generování zero-day exploit kódu. Zpráva Mandiant z roku 2024 dokumentuje první potvrzené použití LLM pro generování social engineering skriptů v APT kampani.

Na obranné straně: ML modely trénované na OT provozu dokáží detekovat anomálie, které klasické pravidlové systémy přehlédnou. Modbus dotaz, který přišel v 3:47 ráno a žádal neobvyklou registrovou adresu — člověk to nepřehlédne v logu s milionem řádky. ML model ano.

Problém? Data. ML model potřebuje historická data z OT prostředí k tréningu. A ta data jsou buď neexistující nebo striktně proprietární. Dragos řeší tento problém sdíleným threat intelligence modelem přes jejich komunitu — anonymizovaná telemetrie od tisíců zákazníků. Výsledek je model, který vidí hrozby v globálním kontextu.

Pro inteligentní energetické platformy, jako je platforma SmartEnergyShare, je AI obrana logickým dalším krokem. Systémy, které dnes optimalizují spotové obchodování, mohou zároveň detekovat neobvyklé datové toky a automaticky eskalovat na bezpečnostní tým.

Predikce na konec: do roku 2027 bude první velký kybernetický incident v evropském renewable energy sektoru způsoben kompromitovaným cloud API agregátora flexibility. Ne přímým útokem na elektrárnu, ale přes dodavatelský řetězec dat. BUDE to varování, které průmysl potřebuje, ale za které zaplatíme příliš vysokou cenu.

Provoztovatelé FVE a ti, kteří uvažují o vstupu do energetického sdílení, mohou začít zjišťovat možnosti na stránce pro výrobce FVE — kde bezpečnost datové infrastruktury je součástí diskuse od samého začátku.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: SmartEnergyShare.info Velké bateriové systémy táhnou růst skladování energie v ... Vice o sdílení elektřiny