Hrozby plynoucí z přímého propojení naší kritické infrastruktury s čínskými informačními systémy dokument hodnotí na úrovni „Vysoká“. Úřad tedy jejich naplnění považuje za „pravděpodobné až velmi pravděpodobné“. Jak by mohlo vypadat v praxi?
Koncem loňského roku přestala majitelům tisíců malých fotovoltaických elektráren (FVE) v USA, Velké Británii, Pákistánu či latinskoamerických zemích fungovat jejich fotovoltaika poté, co čínský výrobce Deye deaktivoval střídače údajně zakoupené od nelicencovaných prodejců. I kdyby byl Deye v právu, představa vypnutí velké části naší výroby energie zmáčknutím tlačítka v Pekingu je vskutku děsivá.
Ze střídačů FVE lze navíc těžit data o vzorcích spotřeby a fungování naší přenosové sítě, která je možné zneužít jak obchodně ve prospěch čínských firem, tak bohužel také, a patrně účelněji, v případném geopolitickém konfliktu.
Jak jsme viděli nedávno ve Španělsku i v Česku, vysoký podíl výroby z fotovoltaiky v daném okamžiku přinejmenším komplikuje aktuální topologii sítě a re-dispečink, takže se v případě kybernetického útoku může stát i samotnou příčinou blackoutu.
Nehledě na to, že pokud je střídač připojen přes domácí Wi-Fi, může se soudruh vládní hacker dokonce nabourat do vašeho telefonu nebo počítače. Je přitom nutné si uvědomit, že podle NÚKIB je až 99 procent asymetrických střídačů pro malé FVE čínské výroby.
Nejde ovšem jen o fotovoltaiku na střechách rodinných domků. Střídače velkých FVE jsou vybaveny firewally, které přímou komunikaci do Číny znemožňují. Jenže ve Spojených státech letos došlo k několika případům, kdy provozovatel FVE nalezl v zařízení komponenty, které v něm podle dokumentace nemají co pohledávat, a mohou složit právě k přemostění těchto firewallů.
Podle nepotvrzených zpráv byly nepřiznané součástky nalezeny také v bateriových úložištích. Ta se přitom stávají čím dál důležitějším prvkem přenosové soustavy, zatímco mohou být řízena z Číny ještě mnohem větší měrou než střídače FVE.
Např. k obchodování s elektřinou prostřednictvím bateriových úložišť se používají vysoce komplexní algoritmy, které běží na serverech na Dálném východě. A tam nejenže neplatí přísná legislativa, jaká se vztahuje na cloudy v EU. Především se však v Číně uplatňuje tzv. Zákon o společnostech, který nutí firmy spolupracovat s bezpečnostními složkami státu nárazově i na dlouhodobé bázi.
Co s tím? Provozovatelé malých fotovoltaik mohou připojit střídač přes datovou SIM místo Wi-Fi, což omezí potencionální útok jen na střídač samotný. Systémová opatření však mohou přijmout pouze česká vláda a Evropská unie.
Například na zákazu podmiňování záruky připojením na čínské servery bychom se v Bruselu dohodnout mohli. Další důležitá opatření, například odpovídající úpravy dotačního programu Nová Zelená úsporám, však je nutné zavést na národní úrovni.
Skupina ČEZ se podle svých slov snaží popsaná rizika u svých fotovoltaických projektů a bateriových úložišť ošetřit. V případě dalších velkých projektů chystaných v Česku privátními investory s čínskými technologiemi však není taková obezřetnost zaručena a měla by jí být věnována pozornost na úrovni příslušných českých úřadů.
Autor je zakladatel skupiny Amper
(Redakčně upraveno)
