Jak hackeři napadají energetickou infrastrukturu: reálné případy útoků na elektrárny a rozvodny
Dvacátého třetího prosince 2015 se ve třech ukrajinských oblastech najednou zhaslo. Bez proudu zůstalo 230 tisíc lidí uprostřed zimy. Nebyla to porucha vedení ani selhání transformátoru. Byl to první veřejně potvrzený kybernetický útok na elektrorozvodnou síť v historii. A od té doby se situace dramaticky zhoršila.
Sandworm: státem sponzorovaná jednotka, která vypíná světla
Za útokem na ukrajinskou energetiku stála skupina Sandworm — jednotka 74455 ruské vojenské rozvědky GRU. Útočníci pronikli do systémů tří distribučních společností (Prykarpattyaoblenergo, Chernivtsioblenergo a Kyivoblenergo) prostřednictvím spear-phishingových e-mailů s infikovanými dokumenty Microsoft Office. Malware BlackEnergy 3 jim otevřel zadní vrátka do podnikových sítí, odkud se laterálně přesunuli do SCADA systémů řídících rozvodny.
Operátoři Sandwormu pak na dálku ovládli HMI rozhraní a manuálně odpojovali vývodové pole — jeden po druhém. Současně spustili KillDisk, který přepsal firmware průmyslových konvertorů sériové komunikace, čímž znemožnili vzdálené znovupřipojení. Zavolali na zákaznické linky distributorek, aby zahlcením linek zpomalili hlášení výpadků.
O rok později, v prosinci 2016, Sandworm udeřil znovu. Tentokrát cílem byla rozvodna Pivnichna v Kyjevě. Použitý malware Industroyer (také označovaný jako CrashOverride) byl první známý škodlivý kód specificky navržený pro průmyslové řídicí systémy elektrizační soustavy. Dokázal komunikovat přímo protokoly IEC 60870-5-101, IEC 60870-5-104, IEC 61850 a OPC DA — tedy jazyky, kterými mluví ochranné terminály a řídicí systémy rozvoden. Výpadek trval přibližně hodinu, ale zpráva byla jasná: infrastruktura je zranitelná na úrovni průmyslových protokolů.
Colonial Pipeline: když ransomware zastaví dodávky paliva
V květnu 2021 zasáhl ransomware skupiny DarkSide společnost Colonial Pipeline, provozovatele největšího produktovodu na východním pobřeží USA. Útočníci pronikli přes kompromitované VPN heslo bez vícefaktorové autentizace. Ačkoliv samotné OT systémy řízení potrubí nebyly přímo napadeny, společnost preventivně odstavila provoz na šest dní, protože neměla jistotu, zda se malware nerozšířil z IT do provozních technologií.
Následky byly okamžité: panické nákupy pohonných hmot v jihovýchodních státech USA, nouzový stav vyhlášený ve čtyřech státech a výplata výkupného 4,4 milionu dolarů v bitcoinech (z nichž FBI později 2,3 milionu získala zpět). Incident odhalil zásadní problém — mnoho provozovatelů kritické infrastruktury nemá segmentaci mezi IT a OT sítěmi, takže i útok na fakturační systém může vyřadit fyzickou infrastrukturu.
Triton: malware, který mohl zabíjet
Snad nejznepokojivějším případem je malware Triton (také TRISIS), objevený v srpnu 2017 v petrochemickém závodě v Saúdské Arábii. Na rozdíl od předchozích útoků necílil na řídicí systémy výroby, ale na bezpečnostní instrumentované systémy (SIS) Schneider Electric Triconex — poslední linii obrany, která má zabránit fyzickým katastrofám jako výbuchy nebo úniky toxických látek.
Útočníci, později identifikovaní jako pracovníci ruského výzkumného institutu CNIIHM (Central Scientific Research Institute of Chemistry and Mechanics), se pokusili přeprogramovat bezpečnostní kontroléry tak, aby v případě nebezpečné situace nezasáhly. Pouze chyba v kódu malwaru způsobila, že SIS přešel do bezpečného stavu a závod se odstavil, místo aby pokračoval v provozu s vypnutými pojistkami. Bezpečnostní analytici se shodují, že úspěšný útok mohl mít fatální následky pro personál závodu.
Česká republika: žádný ostrov bezpečí
Česká energetika není mimo radar útočníků. V březnu 2024 upozornil NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) na zvýšenou aktivitu skupin napojených na ruské zpravodajské služby vůči české kritické infrastruktuře včetně energetiky. Podle výroční zprávy NÚKIB za rok 2024 patřila energetika mezi tři nejčastěji cílené sektory v ČR.
Skupina ČEZ, největší český energetický koncern, čelí podle vlastních vyjádření stovkám pokusů o průnik měsíčně. V roce 2023 společnost investovala do posílení kybernetické bezpečnosti přes 300 milionů korun. NÚKIB také opakovaně varoval před zranitelnostmi v průmyslových řídicích systémech menších provozovatelů — obecních tepláren, malých vodních elektráren nebo fotovoltaických parků připojených do distribuční sítě, kde úroveň zabezpečení často zaostává za velkými hráči.
S rostoucím počtem decentralizovaných zdrojů, jako jsou domácí fotovoltaické elektrárny s bateriovými úložišti a chytrými střídači, se útočná plocha dramaticky rozšiřuje. Každý střídač s připojením k internetu je potenciální vstupní bod. Platformy typu Smart Energy Share, které umožňují monitoring a správu distribuovaných energetických zdrojů, přitom mohou sloužit i jako nástroj pro včasnou detekci anomálií v chování připojených zařízení — neobvyklé komunikační vzory nebo neoprávněné změny konfigurace.
Jak se energetika brání
Obrana proti kybernetickým útokům na energetickou infrastrukturu stojí na několika pilířích. Prvním je segmentace sítí — striktní oddělení podnikového IT od provozních OT systémů s jednosměrnými bránami (data diodami), které umožňují pouze jednosměrný tok dat z OT do IT, nikoliv opačně.
Druhým pilířem je monitoring průmyslových protokolů. Řešení jako Nozomi Networks, Claroty nebo Dragos analyzují provoz na úrovni SCADA/ICS protokolů a detekují anomálie, které by klasické IT bezpečnostní nástroje přehlédly — například neočekávaný příkaz na otevření výkonového vypínače.
Třetím je architektura nulové důvěry (Zero Trust) aplikovaná na OT prostředí: žádné zařízení ani uživatel nemá implicitní oprávnění, každý přístup se ověřuje. Směrnice NIS2, která v Česku vstoupila v platnost transpoziční legislativou, rozšiřuje povinnosti v oblasti kybernetické bezpečnosti na výrazně širší okruh subjektů v energetice včetně středních firem v dodavatelském řetězci.
Čtvrtým a často podceňovaným prvkem je lidský faktor. Většina úspěšných průniků začíná phishingovým e-mailem nebo kompromitovaným heslem. Pravidelný trénink zaměstnanců, simulované phishingové kampaně a vícefaktorová autentizace zůstávají nejúčinnějšími opatřeními s nejnižšími náklady.
Co přinese zítřek
Energetická infrastruktura prochází bezprecedentní digitální transformací. Chytré sítě, virtuální elektrárny, vehicle-to-grid technologie — to vše přináší obrovské příležitosti pro efektivitu a dekarbonizaci, ale současně exponenciálně rozšiřuje útočnou plochu. Geopolitické napětí navíc zvyšuje motivaci státních aktérů k přípravě destruktivních kapacit v energetických sítích protivníků.
Otázka dnes nezní, zda k dalšímu významnému útoku na energetickou infrastrukturu dojde, ale kdy — a zda budeme připraveni.
Zdroje
- CISA – ICS Advisories & Alerts — databáze bezpečnostních výstrah pro průmyslové řídicí systémy
- NÚKIB – Výroční zpráva o stavu kybernetické bezpečnosti ČR — přehledy hrozeb a incidentů v české kritické infrastruktuře
- Dragos – ICS/OT Cybersecurity Year in Review — roční analýza hrozeb pro průmyslové systémy
- ESET Research – Industroyer2 Analysis (2022) — technická analýza nové verze malwaru Industroyer použité proti Ukrajině
- MIT Technology Review – The Colonial Pipeline Hack — investigativní reportáž o útoku na Colonial Pipeline