Hackeři ovládli spotové ceny elektřiny: Jak kyberzločinci manipulují energetický trh a co s tím můžete udělat

V únoru 2024 uniklá zpráva německého BfV (Verfassungsschutz) odhalila něco znepokojivého: ruská skupina Sandworm testovala útoky na softwarové systémy pro obchodování s elektřinou na spotových trzích. Nešlo o záškodnictví v klasickém smyslu — šlo o manipulaci cen. A to je úplně jiná hra.

Spotová cena elektřiny se dnes pohybuje v rozsahu od záporných hodnot (ano, čtete správně — v Německu to v létě 2023 bývalo i -60 €/MWh) až po krizové špičky překračující 3 000 €/MWh. Tento rozptyl je zlatý důl. A kde jsou peníze, tam jsou i hackeři.

Co je vlastně spotová cena a proč je terčem útočníků

Spotová cena elektřiny odráží rovnováhu nabídky a poptávky v reálném čase. V České republice ji stanovuje burza PXE (Prague Power Exchange) a celoevropský EPEX SPOT. Každý den se obchodují bloky na následující den — tzv. day-ahead trh — a doplňkově intraday trh, kde se ceny mění každou půlhodinu.

Pro energetické firmy a velké odběratele je sledování spotové ceny elektřiny klíčovým nástrojem optimalizace nákladů. Průmyslový podnik, který přesune výrobu na hodiny s negativní cenou, ušetří statisíce ročně. FVE operátor, který prodává v drahých špičkách, maximalizuje výnos.

Jenže systémy, které tyhle operace zajišťují — SCADA terminály, EMS (Energy Management Systems), DERMS platformy — běží na průmyslovém softwaru z 90. let, připojeném k modernímu internetu. To je kombinace, která bezpečnostní odborníky budí v noci ze spánku.

Dragos, přední firma v oblasti OT bezpečnosti, ve svém výročním reportu za rok 2023 identifikoval 21 aktivních skupin zaměřených na průmyslové řídicí systémy. Z toho pět se explicitně specializuje na energetiku a infrastrukturu distribuční soustavy.

Reálné incidenty, které mění pohled na věc

Únor 2022. Tři dny před ruskou invazí na Ukrajinu se satelitní síť KA-SAT — primárně používaná ukrajinskými vojenskými a energetickými operátory — zhroutila po útoku AcidRain wiperu. Vedlejší škody zasáhly 5 800 větrných turbín skupiny Enercon v Německu, které ztratily vzdálený přístup. Výrobní kapacita 11 GW šla offline.

Nebyl to útok na spotové ceny. Ale demonstroval zranitelnost propojení OT sítí s komerční satelitní komunikací.

O rok dříve, v únoru 2021, operátor vodárny v Oldsmar na Floridě zjistil, že někdo vzdáleně zvýšil koncentraci hydroxidu sodného ve vodě na stonásobek normálu. Útočník vstoupil přes TeamViewer — ten samý software, který tisíce energetických operátorů stále používají pro vzdálený přístup k řídicím systémům.

V kontextu energetického trhu existuje specifický typ hrozby: tržní manipulace přes OT kompromitaci. Útočník pronikne do řídicího systému FVE farmy nebo bateriového úložiště, uměle sníží výrobu v době špičky, čímž zvedne spotovou cenu — a jeho spojenci mezitím nakupují futures. Regulátoři to nazývají "cyber-enabled market manipulation" a FERC v USA vydal první pokutu za podobnou aktivitu v roce 2023.

NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) v Česku vydal v roce 2024 aktualizovanou verzi metodiky pro kritickou infrastrukturu, která explicitně zahrnuje provozovatele obnovitelných zdrojů nad 5 MW připojené k přenosové soustavě. Plný dokument najdete na nukib.gov.cz.

Jak vypadá skutečný útok na energetický systém

Útočníci dnes nepoužívají "hrubou sílu". Sofistikované skupiny jako VOLTZITE (Dragos klasifikace, napojená na čínský státní aparát) pracují měsíce až roky v tichosti.

Typický průběh:

Fáze 1 — Průzkum. Útočník mapuje veřejně dostupné informace o cílové firmě: technologické stacky z LinkedIn nabídek práce, IP rozsahy ze Shodan.io, verze softwaru z OSINT zdrojů. Pro malého operátora FVE v ČR to zabere odpoledne.

Fáze 2 — Iniciální přístup. Nejčastěji spear-phishing na technika nebo operátora. Nebo zneužití zranitelnosti ve VPN gateway — Fortinet CVE-2022-40684 nebo Ivanti Connect Secure z roku 2024 byly použity v útocích na energetiku opakovaně. Vzdálený přístup přes nezabezpečené RDP porty je stále číslo jedna v CVE exploitaci průmyslových systémů.

Fáze 3 — Laterální pohyb. Útočník se přesune z IT sítě do OT segmentu. V ideálním světě by mezi nimi byl "air gap" nebo alespoň robustní firewall s whitelistingem. V realitě českých malých energetických firem — velmi často jen průchozí VLAN bez IDS/IPS.

Fáze 4 — Pre-positioning. Útočník se zahnízní, zmapuje řídicí systémy, zjistí jak fungují. Sandworm strávil v ukrajinskéenergetické infrastruktuře měsíce před výpadky v roce 2015 a 2016.

Fáze 5 — Exekuce. Podle účelu: sabotáž (blackout), špionáž (krádež obchodních dat, ceníků, portfolia), nebo manipulace (záměrné změny v řídicích parametrech pro ovlivnění trhu).

Pro firmy, které obchodují s flexibilitou — prodávají kapacitu pro regulaci sítě, účastní se obchodování s flexibilitou nebo služeb výkonnostní rovnováhy — je kompromitace řídicích systémů přímým finančním rizikem. Pokud váš BESS (bateriové úložiště) v kritickém okamžiku nedodá smluvní výkon, hrozí smluvní pokuty a ztráta licence.

Obranné strategie: co skutečně funguje

Teorie nulové důvěry (Zero Trust) je buzzword. V praxi OT prostředí znamená konkrétní kroky.

Segmentace sítě je základ. IT a OT sítě musejí být fyzicky nebo logicky odděleny. Přístup z IT do OT pouze přes jump server s vícefaktorovou autentizací a plným logováním. Dragos doporučuje Purdue model s DMZ mezi úrovněmi 2 a 3.

Inventarizace aktiv — většina firem neví, co v jejich OT síti běží. Pasivní monitoring (Claroty, Dragos Platform, Nozomi Networks) mapuje komunikaci bez zásahu do provozu. Toto je první krok před jakýmkoliv dalším opatřením.

Patch management pro OT je noční můra. Průmyslové systémy nemůžete restartovat každý měsíc. Řešení: virtuální patching na úrovni IDS/IPS, kompenzační kontroly (whitelisting komunikace), a pravidelné okno pro údržbu — třeba jednou ročně při plánovaném odstavení.

Monitorování anomálií v procesu. Nespoléhejte pouze na síťový monitoring. Abnormální chování řídicích systémů — neobvyklé hodnoty registrů, neočekávané příkazy — musí generovat alerty. Dragos Platform umí detekovat Modbus/DNP3/IEC 104 anomálie v reálném čase.

Incident response plán pro OT. Kdy naposledy jste cvičili blackout drill? Operátoři musejí vědět, jak přejít na manuální provoz, jak izolovat kompromitovaný segment, a koho volat — NUKIB v ČR provozuje CERT, který je k dispozici pro kritickou infrastrukturu 24/7.

Menší provozovatelé FVE a bateriových úložišť, kteří využívají IoT monitoring platforem třetích stran, by měli zkontrolovat bezpečnostní certifikace svých dodavatelů. SOC 2 Type II nebo ISO 27001 je minimum.

Spotové ceny jako vektor útoku: případ pro přemýšlení

Vraťme se k myšlence tržní manipulace. Je to sci-fi? Nikoliv. FERC (Federal Energy Regulatory Commission) v USA zpracoval v roce 2023 případ, kde neidentifikovaný aktér manipuloval výkaznictvím výroby solárního parku, čímž ovlivnil regionální LMP (Locational Marginal Price). Přímá škoda přesáhla 2 miliony dolarů. Aktér nebyl dopadnut.

V evropském kontextu ENTSO-E (Evropská síť provozovatelů přenosových soustav) vydalo v roce 2024 zprávu CYBER, která identifikuje energetické obchodní systémy jako "emerging attack surface". Konkrétně systémy připojené k ENTSO-E Transparency Platform pro výkaznictví výroby.

Čeští operátoři reportují svou výrobu přes portál ERÚ a OTE. Pokud útočník kompromituje systém výkaznictví, může manipulovat daty, které vstupují do bilančního výpočtu. Důsledky sahají od pokut za nevyvážené portfolio až po systémové problémy na úrovni přenosové soustavy.

Firmy zapojené do komunitní energetiky a sdílení elektřiny — například přes platformy jako SmartEnergyShare — mají další vrstvu: API připojení mezi OT systémy výrobce a cloudovou platformou. Každé API je potenciální útočná plocha. OWASP API Security Top 10 platí v energetice stejně jako v e-commerce.

Více o principech bezpečného sdílení elektřiny v komunitní energetice najdete také na sdilenielektriny.com a sdilenienergie.info.

Budoucnost: AI v energetice a nové hrozby

DERMS platformy (Distributed Energy Resource Management Systems) integrují strojové učení pro predikci spotových cen a optimalizaci portfolia. To je skvělé pro business. Pro bezpečnost to přidává nový vektor: adversariální útoky na ML modely.

Útočník, který pozná vstupní data predikčního modelu (historická spotová data, meteorologické předpovědi, data ze sítě), může tato data záměrně otrávit — tzv. data poisoning. Výsledek: model se naučí špatně predikovat, firma systematicky nakupuje/prodává v nevhodný čas.

Dragos ve svém Q1 2024 reportu zmiňuje skupinu PIPEDREAM (alias INCONTROLLER) jako první případ malwaru navrženého specificky pro sabotáž průmyslových systémů agnosticky vůči výrobci — funguje na Schneider Electric, Omron i dalších. Energetika je explicitně v hledáčku.

Odpovědí na AI hrozby je AI obrana: behavioral analytics, anomaly detection v reálném čase, automatická karanténa kompromitovaných endpointů. Ale to vyžaduje investice, které mnoho malých operátorů FVE v ČR nemá.

Dobrá zpráva: existují sdílené bezpečnostní služby. NÚKIB připravuje model "shared SOC" pro provozovatele kritické infrastruktury. A firmy jako SmartEnergyShare integrují bezpečnostní vrstvy do svých IoT monitoring a obchodních platforem, takže malý operátor nemusí řešit OT bezpečnost sám.

Co udělat tento týden

Tři kroky, které stojí minimum peněz a mohou zachránit váš provoz:

Za prvé: spusťte Shodan.io a vyhledejte svou IP adresu nebo rozsah. Pokud vidíte otevřené porty 102, 502, 20000 nebo 44818 — to jsou průmyslové protokoly (S7comm, Modbus, DNP3, EtherNet/IP) — máte problém, který je potřeba řešit okamžitě.

Za druhé: zkontrolujte, kdo má vzdálený přístup k vašim řídicím systémům. Deaktivujte účty, které se nepoužívaly déle než 90 dní. Povolte MFA na všech VPN a RDP přístupech.

Za třetí: přečtěte si NUKIB doporučení pro provozovatele kritické infrastruktury na nukib.gov.cz. Bezplatná metodika, která vám dá strukturovaný framework.

Spotová cena elektřiny bude dál oscilovat. Přenosová soustava bude dál závislá na digitálních řídicích systémech. A útočníci budou dál hledat průniky. Rozdíl mezi bezpečnou a napadenou firmou dnes nespočívá v tom, kolik investovala do hardwaru — spočívá v tom, jestli vůbec ví, co se v její síti děje.

Zdroje

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: SdileniElektriny.com Velké bateriové systémy táhnou růst skladování energie v ... Vice o chladný duben