Nedávno mě zaujal rozhovor s Radkem Špicarem, víceprezidentem Svazu průmyslu a dopravy, který prohlásil, že „Čínská elektroauta nejsou jen konkurence válcující evropské automobilky, ale také možné bezpečnostní riziko“ a že se o této problematice příliš nemluví. Ivo Zelinka pak na X navázal příspěvkem, „Máte rádi trojské koně? Pak pro vás mají čínské automobilky skvělou zprávu – můžete si takového koně levně pořídit„. Já bych si tedy dovolil navázat daleko větším problémem, o kterém se též nemluví. A to jsou čínské fotovoltaické systémy na střechách rodinných domů, na které lze navíc žádat o dotace typu „Zelená úsporám“…
Čína je hrozba
To, že je Čína hrozbou, se lze dočíst pravidelně ve zprávách BIS či o tom slyšet hovořit hlavu státu. Do praxe to ale nemá prakticky žádný dopad. Patrně se čeká na první „průser“. Obrovskému podílu čínských fotovoltaických systémů napomáhá i fakt, že množství evropských výrobců FVE střídačů spočítá na prstech jedné ruky i ten, kdo si jich pár nechal v cirkulárce. Pokud si přesto někdo vybere z evropské konkurence (pozor na rebrandy čínských značek!), často ho pak odradí cena. U panelů je situace ještě horší.
Čína je lídr
Sám mám na střeše čínské panely a ve sklepě čínský střídač značky SOLAX. O jeho kvalitách nepochybuji, nicméně vhled do IT bezpečnosti mě už před instalací dovedl k tomu, že prvním krokem po spuštění elektrárny bude to, že ji prostě odstřihnu od internetu. Pro FVE systémy je naprosto typické, že je lze ovládat a sledovat přes cloud, resp. mobilní zařízení či webový portál. Vlastně často ani jiná rozumná varianta neexistuje, pokud chcete o FVE vědět alespoň něco. Výrobce tak automaticky sbírá řadu cenných informací. Nedělám si iluze, že je nesbírají západní společnosti i v jiných odvětvích, nicméně jak říká jeden kamarád: „radši se nechám odposlouchávat ze západu, než z východu“.
Kromě toho ale víme, že výrobci mají k dispozici často větší množství nástrojů, než samotný majitel fotovoltaiky. Konkrétně například u značky SOLAX je Vám schopna technická podpora přes internet upgradovat firmware jednotlivých komponent. Stačí je o to požádat e-mailem. Pokud se o upgrade firmware pokusí sám majitel, bude k tomu potřebovat patřičně nastavený USB flashdisk, strčený do střídače.
Tchaj-wan
Modleme se, aby nikdy nevypukl konflikt mezi západem a Čínou např. o Tchaj-wan. Pokud by eskaloval, mohlo by dojít minimálně k tomu, na co upozorňuje p. Špicar. Plus, pokud nás Rusko dokázalo vydírat vypínáním / zapínáním plynu, což bylo pár let dozadu nemyslitelné, proč by nemohla Čína vydírat skrze chytrá IOT zařízení (včetně FVE), když jsou v drtivé většině Čínského původu a je s nimi prošpikovaná celá Evropa?
Chyby a uživatel
Zpět však do pozitivnější reality 🙂 On tedy ten „průser“ může přijít daleko jednodušší cestou. Připomeňme, že majitel FVE může být typově naprosto stejný člověk, který například na bazoši prodává kalhoty za pár stovek a nechá se přitom okrást o 200 tisíc, může to být zároveň ten, který používá jedno jednoduché heslo na všechny služby či ten, který vůbec nezná pojem jako „dvoufázové ověření“ nebo 2FA (zde je teda dobré podotknout, že 2FA neznají ani někteří výrobci střídačů!!!). Můžeme se tak brzo dočkat kauz, kdy prostě někdo získá kontrolu nad cizí elektrárnou a minimálně tak majiteli doma zhasne. Neúmyslné chyby (a nebo úmyslné plynoucí z lajdáctví a neznalosti) ale mohou dělat i samotní výrobci střídačů či jiných chytrých IOT zařízení. Zde je pár kauz, popsaných přímo na viry.cz:
https://viry.cz/zavirovani-automobilu-pres-internet/
https://viry.cz/hrozba-v-rozkroku/
https://viry.cz/kulma-na-vlasy-s-ovladanim-pres-mobil-je-tu/
Co s tím?
Nejednodušší je zvážit, zda opravdu musíte mít chytré zařízení dostupné z internetu. Zda nenechat WiFi čističku vzduchu či WiFi pračku opravdu „tupou“ a ovládat ji fyzicky tak, že k ní prostě příjdete. To stejné u střídače fotovoltaiky a dalších zařízení. Pokud to možné není, pak je cestou provozovat tato zařízení alternativně tak, jak je nebude používat drtivá většina ostatních uživatelů. Jakmile pak příjde chvíle útočníka či k tomu povede geopolitická situace, je skoro jasné, že vektor útoku bude veden tak, aby postihl co možná největší skupinu uživatelů (tedy na cloudovou infrastrukturu).
Tímhle „alternativním“ užitím můžete paradoxně nakonec dojít i k daleko vyššímu komfortu užívání těchto chytrých zařízení. Už jen z důvodu, že nemusíte mít v mobilním telefonu 10 aplikací od každého výrobce, nýbrž jednu, většinou i „vymazlenější“. Ale o tom snad příští týden 🙂 Vpravo nahoře se můžete přihlásit k odběru, abyste o to nepřišli.
Výňatek z rozhovoru mezi Radkem Špicarem a Čestmírem Strakatým lze najít zde:
Příspěvek Ivo Zelenky pak tady:
Zdravím,
tohle je trefa do černého,přesně tak to je…
A není to jen o fotovoltaice. Např. satelitní přijímače Cryptobox jsou na tom podobně a určitě nebudou sami. Výborněj článek, kterej nazývá věci pravými jmény.
Zdravím,
100% souhlas a není nutné si to nějak abstraktně představovat. V opačném gardu se to již stalo:
https://radiozurnal.rozhlas.cz/sef-jablotronu-odpojil-od-sluzeb-uzivatele-z-ruska-a-vzkazuje-namirte-svuj-hnev-8694378
Ač s dobrým úmyslem, jen to ukazuje, jak je to jednoduše zneužitelné a to že v Číně má v každé firmě podíl a kontrolu stát, to jen usnadňuje. Pokud by tedy došlo k nějakému konfliktu, velmi jednoduše nám při nejmenším zkomplikují život. Jen doufám, že velcí producenti jsou na toto připravení.
Připomíná mi to vtip:
Wikipedie: „Já vím všechno!!“
Google: „Já najdu všechno!!“
Facebook: „Já znám všechny!!“
Internet: „Beze mě jste všichni namydlení!!“
Elektřina: „A tak se uklidníme, jo?“
Dobrý den,
cituji: „prvním krokem po spuštění elektrárny bude to, že ji prostě odstřihnu od internetu“…
Tohle jsem udělal u Zigbee brány z Lidlu (https://www.elvisek.cz/2021/08/zigbee-modifikace-lidl-silvercrest-zb-gateway/). U Solaxe to máte řešené jak? Nějaké traffic rules v routeru na příchozí i odchozí komunikaci z IP adresy střídače?
Jak jde pak poznat, že jsem úspěšně Solaxe odstřihl od cloudu?
Děkuji.
Zdravím,
doufám, že se k tomu dostanu v dnešním pokračování 🙂 Mám to tak, že ty IOT věci mám v separátní VLANě. Na stejné síti pak mám Home Assistant. Má to své výhody i nevýhody. Defaultně mám na fw pravidlo, které všechny zařízení v tom VLAN blokuje v komunikaci vůči internetu (kromě HA). A pak mám pravidla pro každé zařízení, kde to má být jinak. Solax cloud potřebuje pro činnost dva porty, tuším že TCP 443 a 8443 (tím druhým si nejsem jist, případně upravím, až u toho budu). Pouze první umožní vyčíst nějaké statické údaje o střídači a přes ten druhej tečou live data o tom, kolik proudí z baterie / do baterie apod. Pokud není druhý povolen, na první pohled to vypadá OK, ale ve všech směrech je uvedeno 0W. Zařízením buď dávám statické IP adresy a nebo je mam „zamčené“ na DHCP serveru a nebo jsou na volno. Záleží, jakého charakteru jsou. Šlo by vymejšlet další věci, ale lepší takhle, než vůbec 🙂