Článek
Kyberbezpečnostní expertka Erika Langerová z pražské technické univerzity ČVUT se rozhodla zjistit, zda čínští vědci studují slabiny západních energetických sítí. Její čerstvě zveřejněná odhalení vyvolala pozdvižení ve Washingtonu i Bruselu.
Ukazuje se totiž, že experti napojení na čínské bezpečnostní instituce v desítkách studií detailně zkoumají, jak za pomoci chirurgicky směřovaných útoků dosáhnout v západních zemích blackoutu. Tedy totálního výpadku elektrické energie, který paralyzuje životy lidí, jako v dubnu ve Španělsku a při menším incidentu v červenci i v části Česka.
Přenosová soustava i elektrárny v Česku ze zákona spadají do takzvané kritické infrastruktury a na jejich ochraně a obraně se podílí Národní úřad pro kybernetickou a informační bezpečnost, tajné služby, armáda i policie. Vyřadit je z provozu by pro útočníky bylo složité.
Velký čínský vypínač
Kyberbezpečnostní expertka Langerová ale upozorňuje, že čínské firmy, které jsou povinné pod hrozbou drakonických trestů spolupracovat s komunistickou vládou, v posledních letech bez větší pozornosti získaly pod kontrolu jinou část české (a západní energetické sítě) – solární panely, které jsou dnes i v Česku umístěny na tisících střech domů. Provozují je běžní lidé bez jakékoliv ochrany či pomoci bezpečnostních expertů státu. A v posledních letech tyto malé solární elektrárny zaznamenávají boom.
„Kdyby nás Čína chtěla vypnout, má na to snadnou cestu,“ popsala Langerová, která se podílela i na v dubnu zveřejněné analýze, která simulovala dopady různých typů kyberútoků vedených přes součástky solárů na stabilitu sítě. Detaily simulací jsou neveřejné, ale znají je evropské instituce, které s nimi dále pracují.
Malé fotovoltaické elektrárny
- Malé fotovoltaické elektrárny (FVE) jsou elektrárny o výkonu do deseti kilowattů, mezi něž patří především střešní solární elektrárny na rodinných domech, ale i na malých firmách či veřejných budovách.
- V posledních letech zaznamenaly boom. Jejich meziroční nárůst činil v uplynulých letech 158 procent (2022) a 172 procent (2023).
- Celkový instalovaný výkon fotovoltaických elektráren byl v roce 2023 v Česku 3,6 gigawattu. Třetinu zaujímaly právě nejmenší fotovoltaiky.
Zdroj: Energetický regulační úřad
Langerová přitom nepronikla do žádných utajených databází komunistického režimu. Vychází jen ze studií, které čínští vědci nahrávají do mezinárodních vědeckých databází, aby nasbírali akademické body. I tyto veřejné studie jsou podle ní alarmující.
„Samozřejmě že takovým scénářům se věnují i západní výzkumníci. Ti ale krom zranitelností studují, jak se jim ubránit. Čínské studie se ale ve velké mase zaměřují pouze na útoky. Zároveň zkoumají nikoliv vlastní sítě, ale ty západní – v USA, Francii nebo Německu,“ popsala Seznam Zprávám Langerová, která je na ČVUT vedoucí týmu Kyberbezpečnost pro energetiku.
Jedna z prací čínských autorů z National University of Defense Technology, která je přímo napojená na čínskou armádu.
Čína dlouhodobě jakékoliv nekalé úmysly na Západě odmítá. Soukromé čínské společnosti zároveň popírají, že by v hybridních operacích (jako je špionáž nebo hackerské útoky) s komunistickou vládou kooperovaly.
Chytré mozky ovládané z Číny
Mozkem malých solárních elektráren jsou takzvané střídače. Ty (i kvůli specifickému českému způsobu měření) dodaly v posledních letech do Česka téměř výhradně čínské firmy.
A co více, aby provozovatelé malých solárních elektráren nepřišli o prodlouženou záruku, souhlasí s podmínkou, že součástky jsou trvale připojené k čínským serverům, odkud je mohou firmy ovládat a třeba je i vypnout. Nebo aktualizovat jejich řídicí software, aby se choval škodlivě a střídač zničil, či dokonce způsobil požár. Fakticky to podle Langerové je podobné, jako bychom v Česku Číňany nechali řídit některou z jaderných či uhelných elektráren a neměli jistotu, jak s ní budou nakládat.
Střídače v solárních elektrárnách
- Střídače převádí stejnosměrný proud z fotovoltaické elektrárny na střídavý proud a následně směřují elektřinu do domácnosti či sítě.
- V Česku se na rozdíl od většiny Evropy (s výjimkou Slovenska a Portugalska) provádí měření i účtování spotřeby energie po tzv. fázích. To vyžaduje takzvané asymetrické střídače. Ty pro malý trh vyrábějí téměř výhradně čínské firmy. Jiná řešení jsou pro Čechy výrazně dražší.
- Národní úřad pro kybernetickou a informační bezpečnost odhaduje, že okolo 95–99 procent zařízení v Česku je čínských. Mezi největší dodavatele patří firmy Huawei či Sungrow.
I z práce Langerové vyšel Národní úřad pro kybernetickou a informační bezpečnost, který využil své pravomoci a na začátku září vydal nebývalé varování před veškerými čínskými technologiemi. V materiálech, které mají Seznam Zprávy k dispozici, přitom rozsáhle rozebírá mimo jiné hrozbu čínských součástek v malých solárních elektrárnách.
„V případě, že by Čínská lidová republika měla motivaci provést destabilizační či destruktivní útoky na českou elektroenergetickou síť, skrze čínské dodavatele by díky tamnímu legislativnímu prostředí za stávajícího stavu téměř jistě (90–100 procent) disponovala schopností, jak takového cíle dosáhnout,“ varují experti zodpovědní za kybernetickou bezpečnost státu.
Varování se ale ze zákona nevztahuje na provozovatele malých solárních elektráren a těm nedává ekonomický smysl nakupovat o desítky tisíc dražší západní střídače.
Zda a za jakých okolností by při současném podílu malých solárních elektráren na českém energetickém mixu jejich zneužití stačilo v Česku k blackoutu, není jasné. Data nejsou veřejně dostupná.
Na úrovni Evropské unie ovšem sdružení ESMC, které reprezentuje evropské výrobce solárních technologií, odhaduje, že Čína má prostřednictvím střídačů pod kontrolou na 200 gigawattů solárních kapacit, tedy výkon odpovídající zhruba dvěma stovkám jaderných elektráren. K rozsáhlému blackoutu, podobnému jako ten, který zasáhl Španělsko a Portugalsko, stačí podle expertů změna v řádech gigawattů.
Okno příležitosti i pro Rusko
Bezpečnostní informační služba (BIS) ve svých výročních zprávách Čínu dlouhodobě označuje vedle Ruska za největší bezpečnostní hrozbu pro Česko. Experti se ale shodují, že podobný útok by zásadně poškodil obchodní zájmy Číny a je pro komunistický stát krajní variantou.
V menším měřítku se ale podobný incident už odehrál. Loni čínská společnost Deye bez předchozího vědomí či souhlasu uživatelů odpojila své střídače v USA a dalších zemích. Příčina doteď není zcela jasná.
Zpráva oznamuje, že přestaly fungovat některé chytré mozky solárů v USA.
Zdroje z bezpečnostní komunity, s nimiž Seznam Zprávy v posledních týdnech mluvily, ovšem zmiňují, že čínské střídače mohou posloužit jako zbraň i pro Rusko. Čínští výrobci v nich totiž nechávají dlouhodobě neopravené, ale zato známé bezpečnostní zranitelnosti, prostřednictvím nich se k jejich ovládnutí mohou dostat hackeři.
Riziko ruských útoků na evropskou energetiku:
„U části čínských výrobců se doba od přijetí ohlášení o zranitelnosti do vydání opravy často pohybuje v řádu několika měsíců a v některých případech výrobce na výzvy k opravě dokonce nereaguje vůbec. Výsledkem je, že v současné době v elektroenergetické síti existuje určité nezanedbatelné procento čínských střídačů připojených k serverům čínských výrobců, na kterých se nacházejí neopravené kritické chyby,“ varuje český kyberbezpečnostní úřad.
„Tyto chyby mohou v případě zneužití umožnit útočníkovi vzdálené převzetí kontroly nad celými flotilami malých střídačů. Útočník pak může na dálku hromadně měnit provozní parametry, zapínat a vypínat střídače nebo do nich nahrávat škodlivý firmware,“ upozorňují kyberexperti státu.
Řešení? V nedohlednu
Vyměnit střídače, z nichž každý vyjde na 50 či 60 tisíc (a ty západní jsou o desítky tisíc dražší), by nejspíše soukromé provozovatele stálo v součtu miliardy. Ministerstvo průmyslu a obchodu, které je za agendu ve vládě zodpovědné, se zatím k tomu, jak Česko zareaguje, nevyjadřuje.
„Návrhu možných opatření se v současné době věnují instituce na národní i evropské úrovni. Na národní úrovni je těsně před dokončením analýza rizik, jejíž součástí je i návrh doporučených opatření. Na evropské úrovni jsou v současné době spuštěny dvě analýzy rizik přímo pod Evropskou komisí,“ reagoval na varování Národního úřadu pro kybernetickou a informační bezpečnost mluvčí ministerstva Marek Vošahlík.
Analýzu rizik sestavuje i Evropská komise. Kdy bude hotová, ale není jasné.
Co radí český kyberbezpečnostní úřad
Česko by se mělo podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) zasadit o to, aby čínské střídače nebyly jedinou možností pro spotřebitele – pomocí regulací či jiných nástrojů.
Kyberúřad zmiňuje i další kroky:
Spojené státy, jejichž vztahy s Čínou se vyhrocují, zneklidnilo zjištění, které vyšlo najevo letos na jaře. V čínských solárních střídačích, které jejich provozovatelé od přímé komunikace s Čínou odstřihli, experti našli schovaná další utajená komunikační zařízení.
Estonská rozvědka před rizikem čínských střídačů veřejně varovala už loni. Ředitel tajné služby Kaupo Rosin tehdy uvedl, že pakliže čínské střídače nebudou nahrazeny, země se vystavuje riziku čínského vydírání. Litva už v listopadu schválila zákon, který zakazuje čínský vzdálený přístup u solárních elektráren nad 100 kilowattů, vláda ale uvažuje, že by se rozšířil i na menší instalace na střechách domů.
Hrozbu si už uvědomila i Indie, kde na 80 procent střídačů je čínské výroby. Díky nově zavedenému opatření vláda bude vyžadovat, aby komponenty byly připojené výhradně k serverům v Indii, které spravuje vládní agentura. Írán dokonce předloni otevřel vlastní výrobní linku, aby nemusel součástky západních či čínských firem kupovat.
„Na všech relevantních místech aktuálně panuje shoda na tom, že není možné dále přehlížet, jak velké riziko současná situace představuje. V nejbližší době si budeme muset nejenom v Česku, ale v celé Evropě problém oficiálně přiznat. A pak udělat přiměřené technické zásahy, které dokážou všechna rizika snížit na přijatelnou úroveň,“ dodává Langerová.
