Instalacja PV, magazyn energii i system EMS to dziś komputery podłączone do internetu — i tak trzeba je traktować. Falownik raportuje do chmury producenta, magazyn aktualizuje firmware zdalnie, a EMS steruje przepływem energii w całym zakładzie. Wygoda jest realna. Ryzyko też: kto przejmie te urządzenia, ten steruje Twoją energetyką.
Dlaczego energetyka firmowa stała się celem
Systemy OT (operational technology) w energetyce mają dwie cechy, które przyciągają atakujących: długi cykl życia (falownik pracuje 15+ lat, często na starym firmware) i bezpośredni wpływ na procesy fizyczne. Badania z ostatnich lat — w tym analizy Forescout dotyczące falowników PV — pokazują, że podatności w urządzeniach energetycznych to nie teoria, tylko regularnie publikowane CVE. Osobny wpis poświęciliśmy 46 podatnościom znalezionym w falownikach Sungrow, Growatt i SMA.
Typowe wektory ataku na instalację firmową
- Konto w chmurze producenta — przejęcie konta serwisowego daje zdalną kontrolę nad falownikiem lub magazynem.
- Stary firmware — znane podatności bez łatek to najczęstsza droga wejścia.
- Płaska sieć lokalna — falownik w tej samej sieci co komputery biurowe oznacza, że infekcja laptopa sięga instalacji.
- Zdalny dostęp serwisowy — niekontrolowane tunele instalatorów, często z domyślnymi hasłami.
- Domyślne hasła — wciąż spotykane w rejestratorach, licznikach i bramkach komunikacyjnych.
Co na to prawo: NIS2 i CRA
Dla części firm cyberbezpieczeństwo instalacji przestaje być dobrą praktyką, a staje się obowiązkiem. Dyrektywa NIS2 obejmuje sektor energii i podmioty ważne dla łańcucha dostaw, a CRA (Cyber Resilience Act) nakłada wymogi na producentów urządzeń — co zmienia też pytania, które warto zadawać przy zakupie magazynu czy falownika. Szczegóły dla magazynów energii — wraz z wymogami programów dofinansowań — opisujemy w osobnym wpisie o NIS2 i CRA.
Checklista minimum na 2026
- Zinwentaryzuj urządzenia: producent, model, wersja firmware, sposób komunikacji z chmurą.
- Oddziel sieć OT od biurowej (VLAN, firewall) — falownik nie musi widzieć księgowości.
- Zmień wszystkie domyślne hasła i włącz 2FA na kontach w chmurze producenta.
- Ustal politykę aktualizacji firmware — kto, kiedy i po jakiej weryfikacji.
- Ogranicz i loguj zdalny dostęp serwisowy; wyłącz tunele, których nikt nie używa.
- Przeglądaj logi pod kątem nietypowej aktywności (logowania z zagranicy, nocne komendy sterujące).
Nie zgaduj — zmierz
Jak w każdym obszarze, w którym pracujemy: najpierw pomiar, potem decyzja. Audyt cyberbezpieczeństwa OT pokazuje, które z powyższych punktów są u Ciebie realnym ryzykiem, a które są już domknięte.
Zgłoszenie: powergo.pl/formularz/audyt. Telefon: kliknij przycisk wyświetlania — IVR skieruje Cię do specjalisty audytu (opcja 7). W ciągu 24h otrzymasz wstępną ocenę ryzyka cyber Twojej instalacji oraz rekomendację, co dalej. Audyt cybersec OT trwa typowo 1-2 dni w terenie plus 3-5 dni raportowania. Cena 5-15 tys. zł, zależnie od skali instalacji.
PowerGo — Energia w ruchu.
Zobacz też
Cyberbezpieczeństwo i magazyny energii
- Magazyn energii a cyberbezpieczeństwo: NIS2, CRA i wymogi NFOŚiGW dla firm
- Forescout znalazł 46 nowych podatności w falownikach Sungrow, Growatt i SMA — co to znaczy dla polskich firm
Audyt bezpieczeństwa instalacji lub dobór magazynu energii — skontaktuj się z PowerGo.