Cyberbezpieczeństwo prosumentów. Jak chronić fotowoltaikę i magazyn przed atakami?

Cyberbezpieczeństwo prosumentów. Jak chronić fotowoltaikę i magazyn przed atakami?

Rozwój przydomowych instalacji OZE to nie tylko wygoda, ale i nowe zagrożenia. Cyberprzestępcy mogą uzyskać dostęp do fotowoltaiki czy magazynu energii. Jak rozpoznać, że jest się ofiarą ataku? Jak się bronić? Kilka wskazówek przygotowała nasza redakcja. 

Czy haker może włamać się do instalacji fotowoltaicznej. Tak. Moduły, magazyn energii czy pompa ciepła działają w systemie, łącząc się z Internetem. Nowoczesne falowniki łączą się z chmurą producenta i aplikacją, wiele z nich posiada opcje zdalnego serwisu. Czyni to przydomową energetykę celem. Dr Robert Kośla, przewodniczący rady Fundacji Bezpieczna Cyberprzestrzeń, w odpowiedzi na pytania redakcji Gramwzielone.pl wyjaśnia, jakie zagrożenia czyhają na prosumenta i jak reagować.

Atak przez chmurę i falownik

Zdalne wyłączenie fotowoltaiki czy magazynu energii jest technicznie możliwe. Falownik jest mózgiem instalacji – kto przejmie nad nim kontrolę, ten steruje przepływem energii w całym domu – wyjaśnia ekspert.

REKLAMA

Atakujący może przejąć kontrolę nad naszymi urządzeniami na kilka sposobów: przez chmurę producenta, aplikację, podatność falownika lub źle zabezpieczony router. W takiej sytuacji jest w stanie zatrzymać produkcję energii, rozładować lub wyłączyć magazyn czy też zmienić parametry pracy (napięcie, częstotliwość lub limity mocy).

Analogicznie na ataki narażona jest pompa ciepła, o ile działa w ramach tej samej platformy lub korzysta ze wspólnej aplikacji. Robert Kośla zaznacza, że skutki takiego ataku nie będą spektakularne, ale uciążliwe. Haker może wychłodzić dom zimą czy, zmieniając parametry, podwyższyć rachunki. Sprzęt zaś jest zużywany.

Realność takich zagrożeń pokazało badanie SUN:DOWN z 27 marca 2025 r. przeprowadzone przez Forescout Vedere Labs. W jego ramach przeprowadzono analizę falowników sześciu producentów: Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe i SMA. Wykryto kilkadziesiąt podatności, część krytycznych, umożliwiających przejęcie urządzenia i destabilizację sieci.

Pożar magazynu. Realne zagrożenie czy legenda?

Jedną z obaw związanych z przydomową energetyką jest ryzyko pożaru. Skoro haker jest w stanie włamać się np. poprzez falownik, to czy jest w stanie wywołać pożar?

Wywołanie pożaru samym cyberatakiem jest przy sprzęcie certyfikowanym mało prawdopodobne, bo chronią nas niezależne zabezpieczenia sprzętowe. Ale „mało prawdopodobne” to nie „niemożliwe” – i właśnie dlatego nie wolno kupować magazynów energii nieznanego pochodzenia – przestrzega Robert Kośla.

Certyfikowane magazyny są chronione przez układ zarządzania baterią (BMS) oraz bezpieczniki i zabezpieczenia (które chronią przed przeładowaniem, przegrzaniem i ucieczką termiczną, ang. thermal runaway). Wspomniane zabezpieczenia działają niezależnie od oprogramowania, więc wyłączenie ich zdalnie jest mało prawdopodobne.

Ekspert podkreśla jednak, że ryzyko to rośnie przy zakupie sprzętu niecertyfikowanego. W takim przypadku rośnie ryzyko, że atakujący będzie potrafił obejść lub wyłączyć zabezpieczenia np. poprzez manipulowanie parametrami ładowania. Aby urządzenia były bezpieczne, ważne też jest aktualizowanie ich na bieżąco.

Chińskie znaczy niebezpieczne?

Wiele się mówi o zagrożeniach wynikających ze stosowania chińskiej technologii. Firmy z Państwa Środka mają mocną pozycję na globalnym rynku, a cały problem jest bardziej złożony niż konieczność unikania produktów z jednego kraju.

Problem chińskich komponentów to nie kwestia gorszej jakości, lecz ryzyka strategicznego. Podatności znajdowano u producentów z różnych krajów – ale koncentracja produkcji w jednym państwie i jego przepisy realnie podnoszą ryzyko – wyjaśnia Kośla.

Podwyższone ryzyko, jakie stwarza korzystanie z chińskiego sprzętu, wynika z trzech elementów: krajowych przepisów zobowiązujących firmy do współpracy ze służbami, ukrytych w niektórych urządzeniach nieudokumentowanych modułów komunikacyjnych (które pozwalają na ominięcie firewalla) i zależności od chmury producenta, która zlokalizowana jest poza Unią Europejską. Wspomniane urządzenia komunikacyjne wykryto w maju 2025 roku. Znajdowały się w falownikach, magazynach energii i pompach ciepła.

Należy jednak zaznaczyć, że podatności na cyberataki wykryto u producentów z różnych krajów. Stąd problem jest systemowy, nie ogranicza się do jednego kraju.

REKLAMA

–-Niezależnie od kraju pochodzenia – bezwzględnie unikajmy urządzeń bez certyfikacji i bez gwarancji aktualizacji bezpieczeństwa – zaznacza Kośla.

Ekspert rekomenduje wykorzystywanie sprzętu produkowanego w krajach UE/EOG. Przy zakupie warto wymagać informacji o tym, gdzie są przechowywane dane, kto może mieć dostęp do urządzeń, i zapoznać się z wykazem komponentów. Należy bezwzględnie unikać urządzeń bez certyfikacji i aktualnego wsparcia technicznego.

Hakerzy atakują mój magazyn energii?

Skąd jednak wiedzieć, że jesteśmy ofiarami cyberprzestępców? Robert Kośla radzi zwrócić uwagę na kilka sygnałów ostrzegawczych:

  • Nieznane logowania – powiadomienia o próbie uzyskania dostępu z nieznanego urządzenia lub lokalizacji;
  • Samoistne zmiany ustawień – zmienione parametry pracy, harmonogramu ładowania czy limitów, których nie wprowadzaliśmy;
  • Nietypowe zachowania instalacji – których przykładem może być rozładowywanie się magazynu energii „bez powodu” czy niespodziewane wyłączenia fotowoltaiki;
  • Nadmierne uprawnienia aplikacji – gdy aplikacja chce za dużo uprawnień i wysyła prośbę o dostęp do kontaktów, SMS-ów, lokalizacji czy innych danych, których nie potrzebuje do obsługi instalacji;
  • Aplikacja z nieoficjalnej dystrybucji – oprogramowanie instalowane z linku powinno budzić ostrożność. Robert Kośla wyraźnie podkreśla, by korzystać wyłącznie z Google Play lub App Store;
  • Brak aktualizacji i wsparcia – gdy aplikacja jest długo nieaktualizowana lub całkowicie porzucona przez producenta, to zagrożenie rośnie;
  • Phishing – wiadomości podszywające się pod producenta i proszące o podanie hasła lub logowanie się przez link. Producent nigdy nie prosi o hasło.

Cyberhigiena

Przestępcy często nie korzystają z wyrafinowanych luk czy skomplikowanego oprogramowania. Wykorzystują rutynę i zaniedbania ofiary, brak aktualizacji, proste hasła i pomijanie zasad cyberhigieny. Aby utrudnić nielegalne działanie, warto przestrzegać poniższych zasad:

  • Zmień domyślne hasła – po instalacji oprogramowania należy zmienić domyślne hasła. Nowe powinny być długie i unikalne, warto stosować menedżer haseł. Imię ukochanego zwierzaka może być łatwe do zapamiętania, ale nie zapewni bezpieczeństwa;
  • Uwierzytelnianie dwuskładnikowe (2FA/MFA) – podwójna weryfikacja nie tylko utrudnia włamanie, ale i może nas ostrzec;
  • Aktualizuj oprogramowanie – aktualizacje łatają znane podatności – to najtańsza i najskuteczniejsza ochrona. Warto sprawdzić, na ile lat dostawca zapewnia wsparcie techniczne i aktualizacje;
  • Oddzielna sieć dla OZE – warto utworzyć dla przydomowej energetyki osobną sieć Wi-Fi lub VLAN oraz odseparować ją od komputerów i telefonów;
  • Dostęp zdalny tylko przez chmurę producenta – dostęp do falownika umożliwia chmura producenta. Nie powinno się stosować przekierowania portów (ang. port forwarding);
  • Zabezpiecz router – to brama do naszych urządzeń. Ważne, by miał aktualny firmware, szyfrowanie WPA2/WPA3, zmienione hasło administratora, wyłączone UPnP i zdalne zarządzanie;
  • Ogranicz dostęp serwisowy – warto zapytać instalatora, kto i w jaki sposób może uzyskać zdalny dostęp do instalacji oraz wyłączyć ten, który nie jest niezbędny;
  • Sprawdzaj historię – instalacje trzeba monitorować. Sprawdzać historię logowania i nietypowe zachowania jak zmiany ustawień czy nagłe rozładowania;
  • Kupuj świadomie – sprzęt powinien być certyfikowany i pochodzić od renomowanego dostawcy.

Do kogo zgłosić atak?

Jeżeli powyższe rady nie wystarczyły, warto wiedzieć, do kogo zgłosić zdarzenie. Właściwym kontaktem jest CERT Polska (CSIRT NASK), krajowy zespół reagowania na incydenty. Zgłoszenia może dokonać zarówno przedsiębiorca, jak i osoba fizyczna. W tym celu wystarczy wypełnić formularz na stronie CERT lub wysłać maila. Podejrzane SMS-y można przekazać na numer 8080.

Skoro atak dotyczy przydomowej energetyki, kluczowe jest poinformowanie producenta sprzętu i instalatora. Robert Kośla zaleca, by poprosić o reset poświadczeń, zweryfikować aktywne dostępy zdalne i upewnić się, że posiada się obecną wersję oprogramowania. Jeżeli problem dotyczy współpracy z siecią elektroenergetyczną, warto poinformować Operatora Systemu Dystrybucyjnego.

Podejrzenie popełnienia przestępstwa należy zgłosić Policji, zwłaszcza gdy doszło do kradzieży danych czy strat finansowych (np. przez uszkodzenie instalacji lub wyłudzenia).

Nie trzeba być inżynierem

Cyberbezpieczeństwo prosumenta nie wymaga wiedzy inżynierskiej – wymaga konsekwencji. Energetyka rozproszona jest przyszłością; zadbajmy, żeby była również cyberbezpieczna – przestrzega Robert Kośla.

Cyberprzestępcy wykorzystują rutynę i lenistwo: pozostawienie domyślnych haseł, odkładanie aktualizacji „na później” czy poleganie na prostych hasłach. Bazują też na emocjach, wysyłają wiadomości, które mają skłonić użytkownika do wejścia w szkodliwy link bez refleksji.

Niezabezpieczone falowniki to problem globalny, nie jednostkowy. Dlatego Unia Europejska pracuje nad regulacjami, których celem jest ograniczenie ryzyka ataków wymierzonych w infrastrukturę krytyczną. Jedną z propozycji jest zablokowanie unijnego finansowania dla inwestycji, które korzystają z chińskich falowników.

Zagrożenia dla cyberbezpieczeństwa stwarzają nie tylko falowniki. Problem szpiegowania przez czujniki turbin wiatrowych w projektach offshore wind był tematem interpelacji posła Kacpra Płażyńskiego. W odpowiedzi resort klimatu przyznał, że nie rekomenduje blokady dla chińskich części.

*Robert Kośla jest przewodniczącym rady Fundacji Bezpieczna Cyberprzestrzeń, organizacji pozarządowej, której główną misją jest wzmacnianie świadomości w obszarze zagrożeń pochodzących z cyberprzestrzeni.

Marcin Karwowski, redaktor Gramwzielone.pl

marcin.karwowski@gramwzielone.pl

© Materiał chroniony prawem autorskim. Wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy E-Magazyny Sp. z o.o.