Domácnosti: Achillova pata kyberbezpečnosti moderní energetiky

Energetika prochází zásadní transformací, kdy se tradiční centralizovaný model, založený na pasivním odběru energie koncovými spotřebiteli, mění na nový decentralizovaný a digitalizovaný model s aktivním zapojením strany spotřeby. Tato transformace bude mít za následek úbytek centrálních zdrojů, jejichž regulační výkon bude muset být nahrazován agregovanou flexibilitou z malých decentralizovaných energetických zdrojů, jako jsou fotovoltaické elektrárny nebo tepelná čerpadla; a akumulace formou agregace na nižších napěťových úrovních včetně nízkého napětí (NN) [1]. Tato změna přináší nejen nové příležitosti, ale také nová rizika – a jedním z klíčových, dosud nedostatečně řešených témat je kybernetická bezpečnost, zejména v úrovni rezidenčního sektoru.

Obr. 1 Rozdíly v konceptech tradiční a moderní energetiky

Domácnosti jsou slabým článkem kyberbezpečnosti decentralizované energetiky

V tradiční energetice nebylo nutné se kybernetickou bezpečností rezidenčního sektoru zabývat, protože spotřebitelé fungovali jako pasivní odběratelé, bez jakéhokoliv datového propojení do vyšších a citlivějších úrovní elektrizační soustavy.

Přečtěte si také Nedostatečná úroveň kyberbezpečnosti solárních elektráren: první incidenty a role Číny Přečíst článek

Kyberbezpečnost ve „velké“ energetice

Kyberbezpečnostní opatření a legislativa proto dosud primárně cílila na velké výrobní zdroje, přenosovou a distribuční soustavu, dispečerská centra a komerční a průmyslové subjekty významných výkonů. Požadavky na kyberbezpečnost zde upravuje především zákon o kybernetické bezpečnosti (v současnosti [2], od Q2/2025 se očekává, že vstoupí v platnost [3]), který dále doplňuje například smlouva o připojení uzavíraná mezi žadatelem o připojení výrobny a provozovatelem distribuční, resp. přenosové, soustavy. Ta z hlediska kyberbezpečnosti uvádí primárně požadavky na úrovni RTU (komunikačního terminálu, který propojuje instalaci do komunikační infrastruktury provozovatele distribuční, resp. přenosové, soustavy). O samotný provoz výrobny se stará proškolený personál. Motivace provozovatele výrobny dodržovat organizační i technická kyberbezpečnostní opatření je typicky vysoká, protože jakýkoliv incident má potenciál vést k odstavení výrobny z provozu a tím ke ztrátě zisku.

Proč není kyberbezpečnost v domácnostech vyhovující?

V rezidenčním sektoru je situace výrazně odlišná. Tento sektor aktuálně není pokrytý kyberbezpečnostní legislativou. Provozovatelem zařízení je koncový uživatel, který není dostatečně kvalifikovaný k tomu, aby byl schopen zajistit odpovídající úroveň ochrany. Zařízení neprovozuje za účelem zisku, ale primárně pro vlastní potřebu, takže se dá očekávat, že jeho motivace věnovat se zajištění kybernetické bezpečnosti bude minimální.

U řídicích systémů energetických zdrojů rezidenčního sektoru je při vývoji typicky obrovský tlak na rychlé uvedení na trh, a to za co nejnižší cenu. Málokterý výrobce zohledňuje kyberbezpečnost, protože na tu dosud nebyl požadavek ani ze strany legislativy, ani ze strany spotřebitele. Do budoucna se očekává, že toto částečně pomůže zlepšit nová legislativa, především RED – Radio Equipment Directive [4] a CRA – Cyber Resilience Act [5].

Další problémy se vyskytují na úrovni systémové integrace, konkrétně komunikačního propojení do IT sítě zákazníka. Zde je hlavním problémem to, že síť bývá typicky plochá, bez řízení přístupu, bez monitoringu síťové provozu a dalších zásad dobré praxe. To znamená, že střídače, bateriová úložiště nebo nabíječky elektromobilů mohou sdílet síť s osobními počítači, tiskárnami nebo dalšími IoT zařízeními domácnosti. Takováto síťová architektura znamená, že v případě útoku je po kompromitaci jednoho prvku velmi snadné se dostat na další zařízení.

Bezpečnostní problémy se kumulují i serverech výrobců, na které je naprostá většina rezidenčních instalací připojena pro zajištění vzdáleného přístupu a monitoringu. Aktuálně zde neexistuje žádná povinnost pravidelného nezávislého auditu kyberbezpečnosti. Tyto audity provádí pouze naprosté minimum výrobců z vlastní iniciativy. Naprostá většina spíš tlačí na minimalizaci nákladů na vývoj a testování, a to i za cenu značného navýšení bezpečnostních rizik. Vzdálený přístup a monitoring tak ve výsledku často probíhá přes systémy s nejasnou úrovní ochrany, se slabými hesly a zranitelnostmi, viz například [6], [7]. Zde je nutné si uvědomit, že pokud by útočník kompromitoval serverovou infrastrukturu výrobce, mohl by získat přístup k tisícům připojených rezidenčních zařízení a tím pádem i k výkonům v řádech desítek až stovek gigawatt. To jsou běžné součtové hodnoty výkonů, které již největší výrobci střídačů na svých serverech agregují.

Obr. 2 Problémy rezidenčního sektoru, přejato z [8]

Domácnosti jako součást moderní energetiky

Rozvoj moderní energetiky přinese několik nových hráčů a několik nových obchodních modelů, které mají potenciál zásadním způsobem navýšit kybernetická rizika. V ČR budeme v nejbližších letech pozorovat zvýšenou snahu o zapojení strany spotřeby do obchodních modelů agregace a flexibility.

Scénář 1: Zapojení domácností do nepřímého řízení poptávky – cenové signály

Již zavedený a v praxi používaný model, a to i pro rezidenční sektor. Tento scénář se odehrává napřímo mezi koncovým zákazníkem a dodavatelem energie, viz Obr. 3. Scénář předpokládá, že koncový odběratel je schopen změnit svou spotřebu energie na základě cenových signálů bez přímého zásahu externího aktéra. V implicitním modelu neexistuje žádná přímá odměna (např. finanční bonus) od dodavatele energie nebo agregátora flexibility za manipulaci s provozem spotřebičů, protože zákazník svou flexibilitu neobchoduje aktivně na trhu.

Praktická realizace může probíhat buď tak, že dodavatel energie přímo optimalizuje provoz spotřebičů u zákazníka prostřednictvím svého nadřazeného řídicího systému anebo pouze zasílá cenové signály do uživatelova nadřazeného řídicího systému, který si je dále zpracovává a provádí rozhodnutí o provozu spotřebičů/zdrojů. Roli poskytovatele cenových signálů může v tomto modelu částečně přebírat i agregátor flexibility. Ten zde může figurovat jako prostředník, pokud přenáší nebo zpřístupňuje cenové signály, a to, aniž by zároveň koncového uživatele zapojil do explicitních obchodních modelů. Agregátor v implicitním modelu tedy neobchoduje se zákazníkovou flexibilitou, pouze usnadňuje řízení spotřeby poskytováním cenových signálů. Uživatel tak není aktivním účastníkem trhu s flexibilitou, pouze reaguje na cenové signály.

Klíčovou informací z pohledu kyberbezpečnosti je, že v tomto scénáři zpravidla nefiguruje žádná třetí strana – celý proces probíhá výhradně mezi dodavatelem a zákazníkem. DER zařízení komunikuje na jeden server: server výrobce. Od serveru agregátora/dodavatele pouze přijímá signál, nedává zpětnou vazbu.

Obr. 3 Aktéři implicitní odezvy na straně poptávky

Scénář 2: Zapojení domácností do přímého řízení poptávky – poskytování flexibility a služeb výkonové rovnováhy

Explicitní odezva na straně poptávky je nový model, který se v ČR teprve bude rozbíhat, protože až do přijetí LEX OZE III nebyl legislativně ukotven. Před přijetím tohoto zákona chyběla právní jistota pro zapojení agregátorů flexibility, zejména pokud šlo o jejich samostatný vstup na trh (nezávisle na dodavatelích energie, tj. subjekt tzv. nezávislého agregátora). Po přijetí LEX OZE III se očekává postupný rozvoj explicitní DSR, zejména v sektorech s vysokou spotřebou energie. Domácností se explicitní DSR dotkne později, podle odhadů ČEPS se dá první zapojení rezidenčního sektoru očekávat v následujících 2–3 letech [9].

Explicitní odezva na straně poptávky znamená, že spotřeba energie zákazníka je upravována na základě přímého požadavku od externího aktéra výměnou za finanční kompenzaci. Explicitní odezvy může být využito ve dvou hlavních oblastech: pro obchodování na velkoobchodních energetických trzích a pro poskytování služeb výkonové rovnováhy (SVR).

V modelu explicitní odezvy se koncový uživatel aktivně zapojuje do trhu s flexibilitou podle principu znázorněného na Obr. 4. Koncový uživatel musí být vždy zapojen prostřednictvím subjektu agregátora flexibility, protože jeho individuální flexibilita zpravidla nedosahuje dostatečně velkého objemu na to, aby mohla být poskytována samostatně na velkoobchodních trzích nebo aby byla zajímavá pro poskytování služeb výkonové rovnováhy. Na těchto trzích je minimální velikost obchodovatelné jednotky často stanovena na 1 MW.

V rámci obchodování na velkoobchodních trzích může agregátor flexibilitu zákazníka využít k optimalizaci tržních operací. Naopak při poskytování služeb výkonové rovnováhy flexibilita zákazníka slouží k přímému řízení zátěže s cílem stabilizovat elektrickou síť, například rychlou reakcí na signály operátora přenosové soustavy pro snížení nebo zvýšení spotřeby v řádu sekund až minut.

Obě varianty vyžadují přesné měření spotřeby a rychlou obousměrnou komunikaci mezi zařízením zákazníka a agregátorem, ale liší se cílem a typem odměny – obchodování se zaměřuje na dlouhodobé optimalizace cen, zatímco služby výkonové rovnováhy jsou zaměřeny na okamžitou reakci na potřeby sítě. Zákazník je za poskytování své flexibility finančně odměňován, buď formou pevné sazby za disponibilitu (kapacitu), nebo na základě odměny za skutečně poskytnutou službu.

Obr. 4 Aktéři explicitní odezvy na straně poptávky (zjednodušeno)

Tento model přináší nová rizika. Vzniká zde duální připojení s obousměrnou komunikací, v Německu často označováno jako 2-WAN problém, tj. obousměrná komunikace jak se serverem výrobce, tak se serverem agregátora. Tento model řízení vytváří těžko kontrolovatelnou situaci, kdy se do řízení zdroje mohou zapojit dva odlišné subjekty s potenciálně rozdílnými bezpečnostními politikami a standardy. Mohou zde vznikat kolizní situace.

Zatímco agregátor využívá zdroj ke komerční optimalizaci na energetickém trhu, výrobce zařízení disponuje vzdáleným přístupem k údržbě, aktualizaci firmwaru a diagnostice. Pokud by došlo k narušení bezpečnosti na straně platformy výrobce, útočníci by mohli převzít kontrolu nad zařízeními, která jsou zároveň součástí agregovaného celku, což by umožnilo rozsáhlé manipulace s výkonem, které by v případě větších agregačních bloků mohly mít přímý dopad na stabilitu sítě.

Z hlediska kybernetické bezpečnosti představují servery agregátorů flexibility i servery výrobců strategický cíl útoků. Jejich kompromitací lze získat centrální kontrolu nad značnými výkony decentralizovaných zdrojů, s jejichž flexibilitou se zároveň bude počítat pro regulaci elektrizační soustavy.

Zde je nutné podotknout, že agregátor flexibility bude podle nového zákona o kybernetické bezpečnosti [3] uvažován jako subjekt poskytující regulovanou službu a budou se na něj vztahovat příslušné povinnosti k zajištění kyberbezpečnosti.

Má-li být rezidenční flexibilita kyberneticky zabezpečená, je třeba odpovědět na spoustu otázek

Zapojení rezidenčního sektoru do agregace flexibility přinese moderní energetice významné výhody, ale zároveň otevře nové výzvy v oblasti kybernetické bezpečnosti. Dle mého názoru nejsou současné rezidenční instalace z hlediska kyberbezpečnosti připraveny se do nových modelů moderní energetiky zapojit. Domnívám se, že ještě existuje řada nevyjasněných otázek, ať už z pohledu zabezpečení na úrovni samotných zařízení, jejich systémové integrace, zabezpečení platforem pro vzdálený přístup a monitoring, tak z pohledu provozu samotné instalace. Za zajištění bezpečného provozu by měl zodpovídat koncový zákazník, který k tomu ale v naprosté většině případů nemá technické kompetence.

Zdroje

1. J. Šafránek, Transformace energetiky a související úloha ERÚ. Accessed: Feb. 07, 2025. [Online]. Available:
   https://eru.gov.cz/energetika-transformace-energetiky-souvisejici-uloha-eru
2. 181/2014 Sb. Zákon o kybernetické bezpečnosti. Accessed: Feb. 26, 2025. [Online]. Available:
   https://www.zakonyprolidi.cz/cs/2014-181
3. Nový zákon o kybernetické bezpečnosti | Portál NÚKIB. Accessed: Feb. 25, 2025. [Online]. Available:
   https://portal.nukib.gov.cz/informace/legislativa/zakon-o-kyberneticke-bezpecnosti
4. Radio Equipment Directive (RED) - European Commission. Accessed: Feb. 26, 2025. [Online]. Available:
   https://single-market-economy.ec.europa.eu/sectors/electrical-and-electronic-engineering-industries-eei/radio-equipment-directive-red_en
5. Regulation - 2024/2847 - EN - EUR-Lex. Accessed: Feb. 26, 2025. [Online]. Available:
   https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847
6. Vangelis Stykas sounds the alarm on critical vulnerabilities threatening electric vehicles and photovoltaic systems - INCYBER NEWS. Accessed: Feb. 07, 2025. [Online]. Available:
   https://incyber.org/en/article/vangelis-stykas-critical-vulnerabilities-threatening-electric-vehicles-photovoltaic-systems/
7. (19) Gridlock: The Dual-Edged Sword Of EV And Solar APIs In Grid Security - Vangelis Stykas - YouTube. Accessed: Feb. 07, 2025. [Online]. Available: https://www.youtube.com/watch?v=7T6I-VcWQ0o
8. The gigantic and unregulated power plants in the cloud - Bert Hubert’s writings. Accessed: Feb. 08, 2025. [Online]. Available: https://berthub.eu/articles/posts/the-gigantic-unregulated-power-plants-in-the-cloud/
9. České sdružení regulovaných elektroenergetických společností, Domácnosti pomůžou vyrovnávat síť už do tří let, soustava je připravená, říká Šolc z ČEPS, Accessed: Dec. 22, 2024. [Online]. Available: https://www.csres.cz/cz/aktuality/medialni-vystupy/domacnosti-pomuzou-vyrovnavat-sit-do-tri-let-soustava-je-pripravena-rika-solc-z-ceps.html