Majitelům fotovoltaik může kdokoli na dálku zničit spotřebiče. Obvykle stačí jen znát e-mail majitele

Zvládne to i vaše babička

Lidé si často myslí, že k tomu aby se jim někdo mohl nabourat do domácích zařízení je potřeba velkých programátorských znalostí. Bohužel v dnešní době tomu tak už není. Situace je přesně opačná. K nabourání obvykle dochází zcela jednoduchými způsoby. V případě fotovoltaik se však ukázalo, že se masivně po celém Česku rozšířila chyba, o které se dlouhou dobu nevědělo a až nyní se o ní začíná postupně a jen tak trochu v tichosti diskutovat. Tato chyba umožňuje vniknout do řídícího systému vaší fotovoltaiky naprosto komukoli, kdo zná nebo uhodne vaši e-mailovou adresu. A získat tuto adresu je to nejjednodušší, co si můžeme představit. Jedná se o veřejný údaj, dáváte ji všude, kam jen přijdete, vaše okolí ji zná. Zkrátka, zjistit e-mailovou adresu na kohokoli, je snadné. A v tu chvíli už je obvykle jen krok k tomu, abychom majiteli fotovoltaiky doma zařídili nečekaný ohňostroj.

Riziko, kterému se nevěnuje pozornost

Součástí instalace fotovoltaického systému je tzv. střídač. Jedná se o zařízení, které zajišťuje převod elektrického proudu z panelů do dalších systémů, buď pro uložení do baterií nebo pro přenos do elektrické sítě vašeho domu. Skoro všechny moderní střídače jsou automaticky přihlášeny do internetu. Mnohdy si to ani majitel nemusí uvědomovat nebo o tom nemusí vědět. Důvod je takový, že instalační firma pak může k této jednotce přistupovat na dálku a měnit její nastavení nebo zjišťovat diagnostiku, pokud je nějaký problém. To je fajn věc v případě, kdy to slouží majiteli. Jenže zde už se otevírá problém samotný. Přístup do jednotky.

Je to jen otázka času

K tomu, aby byla zajištěna jednoduchá komunikace mezi střídačem, výrobcem, instalační firmou a majitelem, který se do něj může přihlásit přes aplikaci, je celý systém připojen na server, tzv. cloud. Díky tomu nemusíte řešit identifikační číselnou adresu vašeho připojení (IP adresu). Váš střídač se sám přihlásí do cloudu. Vy se s aplikací přihlásíte také do cloudu. Tam se obě připojení potkají a můžete pomocí aplikace řídit váš střídač. Stejně tak může toto dělat instalační firma, ale na více servisní a technické úrovni. A nebo výrobce, který tam může takto bez vašeho vědomí třeba nahrát nový firmware nebo dělat na dálku změny.

Ale jak se tam může dostat soused?

Kritický problém je v tom, že zařízení, které vám instalační firma nainstaluje, je obvykle vybaveno výchozím heslem. Toto heslo pak většina instalačních firem nemění a ani vám neřekne o tom, že tam je a že byste si jej měli změnit. Důvod je ten, aby se do vašeho zařízení mohli poté dostat kdykoli, když budou potřebovat. Například když se vymění technik v průběhu instalace, nebo když pak přijde někdo na servis. Aby si zjednodušili práci, nechávají heslo, které pak hned zná každý, kdo přijde a eliminují se situace jako že nevíte, kam jste si jej napsali a technik se nemůže do jednotky dostat. To je sice příjemné pro instalační firmu, ale fatálně nebezpečné pro majitele. Pro vzdálené připojení do vašeho systému totiž stačí znát dva údaje. Váš e-mail a vaše heslo. Pokud toto heslo je ono původní výchozí heslo, které si snadno kdokoli najde na internetu v diskusích nebo na stránkách výrobce, stačí už jen znát váš e-mail a může se pomocí cloudu přihlásit do vašeho domácího systému. A pohrát si s vámi dle libosti.

Kdo si hraje, nezlobí? Ne tak docela

Bohužel, kdo si v tuhle chvíli začne hrát, nejspíš zlobit bude. Může vám na dálku natvrdo vypnout systém a tedy způsobit blackout v domácnosti. To je ještě ta lepší varianta. Horší varianta je, pokud si začne hrát s napětím v síti. V síti potřebujeme mít 230 voltů. Často lze však nastavit vyšší napětí, jako například 240 a nebo 245 voltů. Spotřebiče v domácnosti by to měly zvládnout. Měly, ale obvykle tomu tak není. Důvod je ten, že spotřebiče jsou dnes často dimenzovány jen velmi těsně tak, aby přežily svou záruku a pak se začaly kazit. Je to způsobeno také snahou výrobců ušetřit na součástkách. Tím, že se do vašich spotřebičů místo 230 pustí 245 voltů, může dojít buď k jejich okamžitému zničení nebo k dramatickému zkrácení jejich životnosti. Tato situace tedy může být velmi rafinovaná. Někdo se vám přihlásí do nastavení, upraví jej a vy o tom ani nevíte. Domácí spotřebiče se začnou postupně kazit a než si všimnete tohoto "vtípku", můžete mít pěkný průvan v peněžence.

Když zlobí sám výrobce

Jak je známo, skoro všechny fotovoltaické systémy jsou vyrobeny v zemi, která je často označována jako potenciální bezpečnostní riziko. Může se tak stát, že jednoho dne dostanou výrobci fotovoltaik centrální příkaz, aby vyslali do všech připojených zařízení kód, který změní jejich vlastnosti. Co se pak může stát? V podstatě cokoli. Může dojít nejen k likvidaci domácích spotřebičů, ale také například požárům domácností. Nechceme být zbytečně paranoidní, tato situace však může reálně nastat. Ve chvíli, kdy je váš střídač připojen do internetu, výrobce s ním může reálně operovat a může v něm na dálku provádět změny. V tomto případě pak mohou být velmi nebezpečné.

Vyřazení celé přenosové soustavy

Že to ještě není všechno? Není. Fotovoltaické systémy jsou totiž obvykle schopny pouštět získanou elektřinu do přenosové soustavy, tedy přímo do sítě. Posílat elektřinu tímto směrem bez řádně podepsané smlouvy s distributorem, je trestné. Důvody jsou pochopitelné. Síť je dimenzována na nějakou kapacitu a není možné aby si každý dělal, co se mu zachce. Pokud by se to stalo, mohla by síť zkolabovat. A asi už sami tušíte, kam míříme. Nastavení posílání elektřiny do sítě je právě v centrální jednotce. Jakmile instalační firma provede instalaci fotovoltaiky obvykle nechává toto nastavení vypnuté a čeká se na podpis smlouvy s majitelem distribuční soustavy. Jakmile je smlouva podepsaná a distributor o tom ví, může se energie posílat. Instalační firma proto na dálku aktivuje vypouštění přetoků do sítě. Jenže co když si jednoho dne někdo tisíce kilometrů od nás usmyslí, že nám současně u všech fotovoltaických systémů aktivuje vypouštění elektřiny do sítě? Nastane kolaps. Jsme proti tomu nějak chráněni? Těžko. Řešení samozřejmě existuje a to na různých úrovních bezpečí. Bohužel však osvětová kampaň v tomto směru zcela chybí. Vypadá to skoro tak, že čekáme až na moment, kdy se to stane. Do té doby to je, zdá se, všem jedno.

Cesta sice nedokonalá, ale lepší než nic

Tak jak tomu obvykle bývá, pokud je řešení perfektní a dokonalé, pak je obvykle méně přívětivé. A naopak. To první, co bychom tedy měli udělat, je okamžitě změnit výchozí heslo v naší centrální řídící jednotce. Tím zabráníme největšímu riziku, tedy možnosti, aby se nám do systému přihlašoval kde kdo a aby nám prováděl nastavení, které nám mohou doma způsobovat výpadky, ničit spotřebiče a nebo nás vystavit riziku trestního stíhání kvůli nepovolenému odesílání elektřiny do veřejné soustavy. To druhé, co pak je bezpečné zcela, je odpojení systému od internetu. Samozřejmě každý chce mít přehled o tom, co mu doma fotovoltaika dělá. Dívat se na svou aplikaci ve chvíli, kdy je na dovolené. Bohužel však zde platí pravidlo, že co je online, to je napadnutelné. Změníme-li heslo, nejsme již napadnutelní ostatními. Možnost napadení ze strany výrobce však dále trvá.

P.S. Řešíte stavbu domu, možnosti větrání a vytápění? Navštivte online stavební veletrh Veleton, který se uskuteční 24. ledna – 2. února 2025. Vstupenku si lze stáhnout ZDARMA již nyní na tomto odkazu (počet vstupenek je limitován). Těšit se můžete na množství inspirace, živých přednášek, konzultací s odborníky i slevové vouchery.