Digitalizace energetiky a masivní rozvoj obnovitelných zdrojů s sebou nesou rizika, o kterých se příliš nemluví. Tím největším je podle Eriky Langerové, vedoucí týmu Kyberbezpečnost pro energetiku na ČVUT, naše závislost na čínských technologiích. V rozhovoru popisuje, jak čínské firmy ovládají drtivou většinu českých i evropských solárních elektráren a jak snadno by mohly v případě geopolitického konfliktu způsobit masivní blackout.
Co se dozvíte:
Proč čínští experti detailně studují, jak způsobit blackout v západních sítích.
Jaké je největší riziko vaší domácí fotovoltaiky (a není to solární panel).
Proč je až 90 % střídačů v Česku právě z Číny.
Jak čínské zákony nutí soukromé firmy ke spolupráci se zpravodajskými službami.
Proč je Evropská unie v řešení tohoto problému pomalá a „bezzubá“.
Co můžete okamžitě udělat pro zabezpečení své solární elektrárny.
Nedávno jste publikovala zjištění, že experti napojení na čínské bezpečnostní instituce poměrně detailně zkoumají, jak v západních zemích dosáhnout blackoutu. Můžete to přiblížit?
Je to pravda. Zabývali jsme se tím, co Čína publikuje v rámci svého akademického prostředí. Našla jsem obrovské množství studií, které řešily, jakým způsobem by se dala destabilizovat elektrická síť.
U těch čínských publikací bylo zajímavé, že to nestudovaly na modelech čínských sítí, ale právě na modelech západních sítí – převážně amerických, ale našly se mezi nimi i evropské, konkrétně Německo, Itálie a Francie.
Nejslabším článkem je střídač a cloud výrobce
Můžete vysvětlit podstatu problému? Jak by se toho blackoutu dalo dosáhnout?
Zajímalo je, jak to udělat s co nejnižšími náklady a co největším efektem. Tedy jak narušit jen několik nejpřetíženějších uzlů a shodit celou síť. A když se podíváte, jak transformujeme energetiku na decentralizovanou a digitalizovanou, je tu obrovský problém. Otevírá se cesta, jak by se takové útoky daly provést právě skrze obnovitelné zdroje – typicky soláry, bateriová úložiště a vítr.
Kde jsou tedy ta nejzranitelnější místa?
Obrovský problém je v tom, že se stalo moderním připojovat tyto zdroje na vzdálené servery a cloudy výrobců. Koncový uživatel pak může přes aplikaci sledovat výrobu a měnit parametry. Zároveň si tam výrobce udržuje trvalý přístup na úrovni administrátora, aby mohl přehrávat firmware a dělat aktualizace. To znamená, že s tou elektrárnou může dělat de facto cokoliv.
A bavíme se o masovém měřítku?
Bavíme se o výrobcích, kteří na svých serverech agregují třeba i miliony instalací. To jsou řádově gigawatty výkonu. Když tohle najednou vypnete, bavíme se o blackoutu. A existují i horší způsoby, nejen náhlé vypnutí. Můžete manipulovat s provozními charakteristikami tak nešikovně, že blackout vyvoláte, nebo rychle za sebou zapínat a vypínat. Pokud nahrajete škodlivý firmware, můžete střídač nebo baterii i fyzicky poškodit.
Je neuvěřitelné, že necháme neprověřeného výrobce někde v Číně kontrolovat desítky, v případě Huawei až 140 GW instalovaného výkonu.
Zjednodušeně řečeno, problém je v tom, že výrobci, což jsou většinou čínské firmy, mají přes cloud přístup k ovládání koncového zařízení. Chápu to správně?
Je to tak. Srdcem i mozkem té elektrárny není solární panel, ale střídač. Ten převádí stejnosměrný proud na střídavý, ale výrobci k němu přidali pokročilé funkce, jako sdílení dat na cloud, aby to bylo uživatelsky atraktivní. To bohužel otevírá dveře kybernetickým útokům.
Jak velký podíl na trhu mají čínští výrobci? V Česku to bude předpokládám drtivá většina.
Ano. V Česku máme specifikum, že měříme a řídíme výkon po jednotlivých fázích, na rozdíl od většiny Evropy, která používá součtové měření. Proto potřebujeme asymetrické střídače a jediný, kdo o to měl na začátku masivní zájem, byli Číňani. Proto nás zaplavili ještě víc než zbytek Evropy.
Odhaduje se, že v Česku je zhruba 80–90 % čínských střídačů. V celé Evropě drží Číňané asi 65 % celkového instalovaného výkonu. Dva největší výrobci jsou Huawei a Sungrow.
Problém není technika, ale čínské zákony
Proč je takový problém, že jsou ti výrobci z Číny a že jsou zařízení napojená na jejich cloudy?
Problém je legislativní. I když si čínská firma pronajme cloud v Evropě, typicky v Německu nebo ve Francii, stále k němu má přístup jako správce. A Čína má složitý právní ekosystém, v rámci kterého si stát vynucuje naprostou kontrolu nad komerčním sektorem. Mají zákon o národní zpravodajské činnosti, který v článku 7 přikazuje firmám povinnost součinnosti, pokud je o to požádají čínské zpravodajské služby. Soukromá firma musí vyhovět a nesmí ani sdělit, že k něčemu takovému došlo.
A proč lidé vůbec souhlasí s připojením na cloud?
Můžete ho provozovat i bez toho, ale typicky u čínských výrobců ztratíte prodlouženou záruku. Standardně máte pět let, ale když zůstanete trvale připojeni na cloudu, dostanete desetiletou. Je to tím podmíněné.
Protiargument může být, že by si Čína nepoškodila vlastní obchodní zájmy.
To je nejsilnější protiargument a já mu rozumím. Na druhou stranu, je to reálná hrozba. Podívejte se na kombinovaný scénář: Čína zaútočí na Tchaj-wan a bude potřebovat, aby Rusko „zabavilo“ NATO v Evropě. Pak je naprosto realistické, že nám klidně ty soláry vypne a nebude se starat o ekonomický dopad, protože vojenské zájmy převáží nad komerčními. Vidíme náznaky, že Čína tímto směrem jde, podepsali s Ruskem memorandum o spolupráci v kyberprostoru. Energetika se stává čím dál častějším terčem útoků.
Brusel je bezzubý, řešení musí přijít od států
Dá se s tím něco dělat na legislativní úrovni?
Určitě. Chybí nám strategie digitalizace energetiky, a to nejen v Česku, ale na úrovni celé EU. Problém je, že rezidenční sektor z toho úplně vypadl. Na jednu stranu s ním počítáme jako s aktivním hráčem na trhu, který bude poskytovat flexibilitu síti, na druhou stranu pro něj nemáme legislativně ukotvená žádná práva a povinnosti v oblasti kyberbezpečnosti. Kdyby například NÚKIB chtěl zasáhnout, nemá pro to mandát.
Jsou snahy Evropské unie dostatečně rychlé?
Ne, na evropské úrovni je to strašně pomalé. Evropská komise teď dokončila posouzení rizik u větrných elektráren a na soláry se chystá. Termín dokončení je ale až na konci příštího léta. My si nemůžeme dovolit čekat rok, bezpečnostní situace se zhoršuje příliš rychle. Státy si budou muset poradit samy. V Bruselu jsou navíc obrovské tlaky z průmyslových asociací, jejichž členská základna je často převážně čínská, a ty se snaží diskuze blokovat.
Co by tedy měla legislativa řešit především?
Musíme vyřešit hlavně ty vzdálené přístupy. Je neuvěřitelné, že necháme neprověřeného výrobce někde v Číně kontrolovat desítky, v případě Huawei až 140 GW instalovaného výkonu. U jaderné elektrárny by to bylo nemyslitelné. Stačilo by začít argumentovat reciprocitou. Čína má zákony, které zakazují západním entitám přistupovat do čínských zařízení připojených k síti. Měli bychom udělat to samé.
Až Čína vtrhne na Tchaj-wan, budeme mít úplně stejný problém jako na začátku války na Ukrajině s plynem.
Co můžu dělat já? Odstřihněte se od cloudu
Co mohou dělat lidé, kteří už solární elektrárnu mají?
První krok, který bych udělala, je odstřihnout se od cloudu výrobce. I za cenu ztráty prodloužené záruky. Existují česká i zahraniční náhradní řešení pro monitoring, která vám poběží v lokální síti. Kdo je šikovnější, může si jednoduchý software naprogramovat sám.
Co dál?
Pokud i s náhradním řešením komunikujete ven do internetu, je dobré dát střídač do samostatné Wi-Fi sítě. Některé domácí routery to umožňují, případně existují další síťové prvky, které to vyřeší. Hlavní problém je v tom, že koncoví uživatelé tomu nerozumí, ale už vznikají firmy, které nabízejí „kyberbezpečnost jako službu“.
A co byste doporučila těm, kteří si fotovoltaiku teprve plánují pořídit?
Podívala bych se, jestli má výrobce certifikace kyberbezpečnosti. Dále bych si prošla veřejné databáze zranitelností a podívala se, jestli tam daný výrobce má nějaké záznamy a jak rychle reagoval na jejich opravu. Z toho vám většinou vypadne, že čínský výrobce je nepřípustný a zůstanou vám tři nebo čtyři západní výrobci.
Zmiňujete západní výrobce. Existují vůbec reálné alternativy? Nebude to znamenat konec dostupných solárů?
Alternativy zatím ještě existují. Bohužel je ale Čína brutálně vytlačuje z trhu, protože soutěží proti neférové, státem dotované konkurenci. Evropští výrobci odhadují, že pokud se do dvou let něco zásadně nezmění, budou se muset stáhnout. My jsme přitom v roce 2011 měli v Evropě kapacity na výrobu veškerých obnovitelných zdrojů. Neuměli jsme si ale náš průmysl ochránit.
Takže opakujeme stejnou chybu jako s ruským plynem.
Přesně tak. Evropská unie tlačí argument, že přechodem na obnovitelné zdroje budeme energeticky nezávislí na Rusku. Ale my neděláme nic jiného, než že přecházíme od závislosti na Rusku k závislosti na Číně. Z bláta do louže. Až Čína vtrhne na Tchaj-wan, což vypadá, že se k tomu blížíme, budeme mít úplně stejný problém jako na začátku války na Ukrajině s plynem. Musíme se probrat, jinak to skončí špatně.
