Zespół badawczy Forescout (Vedere Labs) opublikował analizę SUN:DOWN, w której opisał 46 podatności w falownikach fotowoltaicznych trzech dużych producentów: Sungrow, Growatt i SMA. Część z nich pozwalała na przejęcie kont użytkowników, zdalne wykonanie kodu przez chmurę producenta i w efekcie na sterowanie falownikiem bez wiedzy właściciela. Producenci wydali poprawki — ale wnioski dotyczą każdej instalacji, nie tylko tych trzech marek.
Co dokładnie znaleziono
- Przejęcie kont — luki w platformach chmurowych pozwalały uzyskać dostęp do cudzych instalacji (np. przez podatne API i przewidywalne identyfikatory).
- Zdalne wykonanie kodu — złośliwa aktualizacja lub komenda z chmury mogła przejąć urządzenie na poziomie systemu.
- Sterowanie mocą — po przejęciu falownika możliwa jest manipulacja parametrami pracy; w skali wielu urządzeń to scenariusz istotny nawet dla stabilności sieci.
Dlaczego to dotyczy także Ciebie
Nie chodzi o straszenie konkretnymi markami — chodzi o model ryzyka. Praktycznie każdy nowoczesny falownik komunikuje się z chmurą producenta, a Ty logujesz się do niej aplikacją. To znaczy, że bezpieczeństwo Twojej instalacji zależy nie tylko od elektryki na dachu, ale też od higieny kont, firmware i architektury sieci. Tania instalacja, w której nikt nie pomyślał o stronie cyfrowej, potrafi wrócić do właściciela tak samo jak ta z niedokręconymi złączami DC — tylko innymi drzwiami.
Co zrobić w firmie — konkretnie
- Sprawdź, czy Twoje falowniki są na liście — poproś instalatora lub producenta o potwierdzenie wersji firmware z poprawkami.
- Zaktualizuj firmware i ustal stały proces aktualizacji (nie jednorazowo).
- Zabezpiecz konto w chmurze — unikalne hasło, 2FA, usunięcie nieużywanych kont serwisowych.
- Odizoluj falownik w sieci — osobny VLAN, bez dostępu z sieci biurowej i gościnnej.
- Przejrzyj logi — nietypowe logowania i komendy sterujące to sygnał do natychmiastowej reakcji.
Szerszy kontekst
Jak podejść do tematu systemowo — segmentacja, polityka firmware, wymagania wobec producentów wynikające z NIS2 i CRA — opisujemy w przewodniku po cyberbezpieczeństwie instalacji energetycznych oraz we wpisie o magazynach energii i wymogach NIS2/CRA.
Sprawdź swoją instalację
Zgłoszenie: powergo.pl/formularz/audyt — inżynier skontaktuje się w 24h z listą pytań o producentów Twoich urządzeń i wersje firmware. W ramach audytu sprawdzimy, czy Twoje falowniki są na aktualnej liście podatności, zweryfikujemy konfigurację sieciową monitoringu oraz dostęp do chmury producenta, przeanalizujemy logi pod kątem nietypowej aktywności. Alternatywnie kliknij przycisk wyświetlania telefonu — IVR skieruje Cię do specjalisty audytu PV (opcja 7). Otrzymasz raport z konkretnymi rekomendacjami i oceną ryzyka cyber dla Twojej instalacji.
PowerGo — Energia w ruchu.
Zobacz też
Cyberbezpieczeństwo i magazyny energii
- Magazyn energii a cyberbezpieczeństwo: NIS2, CRA i wymogi NFOŚiGW dla firm
- Cyberbezpieczeństwo instalacji energetycznych dla firm — przewodnik 2026
Audyt bezpieczeństwa instalacji lub dobór magazynu energii — skontaktuj się z PowerGo.