Czy zmieniłeś hasło dostępu do sieci WiFi falownika?

• Pozostawienie domyślnego hasła falownika stanowi jedną z najczęstszych i najłatwiejszych do wykorzystania luk w cyberbezpieczeństwie instalacji PV.
• Każdy, kto znajdzie się w zasięgu sieci serwisowej falownika, może spróbować uzyskać dostęp do urządzenia i wpłynąć na jego pracę.
• Zmiana hasła na silne i unikalne znacząco redukuje ryzyko przejęcia kontroli nad instalacją oraz zwiększa bezpieczeństwo domu.

Sieć WiFi falownika – co to? 

Falownik, aby komunikować się z aplikacją monitorującą pracę instalacji PV, tworzy własną sieć Wi-Fi. Najczęściej widoczną jako krótkotrwały punkt dostępu wykorzystywany podczas pierwszej konfiguracji urządzenia. To lokalna, tymczasowa sieć serwisowa, która umożliwia instalatorowi lub użytkownikowi połączenie się bezpośrednio z falownikiem, wprowadzenie ustawień oraz połączenie urządzenia z domową siecią internetową. Wiele falowników ma domyślne hasło do tej sieci (np. „12345678” albo numer seryjny urządzenia). Pozostawienie takiego hasła bez zmian to jedna z najczęstszych luk bezpieczeństwa w instalacjach PV.

Dlaczego? Ponieważ każdy, kto znajdzie się w zasięgu tej sieci, a często jest to kilka–kilkanaście metrów od falownika, mógłby spróbować połączyć się z urządzeniem. Nieuprawniony dostęp może umożliwić zmianę ustawień pracy falownika, ingerencję w proces monitoringu, a nawet wyłączenie produkcji energii. Zmiana domyślnego hasła na własne, mocne i unikalne, minimalizuje ryzyko przejęcia kontroli nad urządzeniem oraz zwiększa bezpieczeństwo całego systemu. To prosta, ale kluczowa czynność, która chroni zarówno prywatne dane, jak i stabilność instalacji fotowoltaicznej.

Może się nawet okazać, że haker nie musi się dużo gimanstykować, chcać przejąć kontrolę nad kilkoma systemami, stawianymi przez tego samego instalatora. Ci z kolei chcąc mieć łatwy dostęp do instalacji, które serwisują, często ustalają hasło serwisowe identyczne dla kilkunastu instalacji w tej samej okolicy. Może się też okazać, że falowniki od tego samego producenta mają identyczne domyślne hasło dostępu i tutaj również przed szkodnikiem otwiera się dużo możliwości, małym wysiłkiem.

Wyniki naszej ankiety przeprowadzonej w trakcie premiery Energetycznego Talk Show

Jedna bramka otwiera wiele drzwi

Jeśli ktoś niepowołany uzyska dostęp do falownika, zyskuje znacznie więcej niż tylko możliwość podejrzenia wykresu produkcji energii. W praktyce dostaje punkt wejścia do infrastruktury, która jest fizycznie połączona z domem i może to wykorzystać na wiele niebezpiecznych sposobów.

Pierwszym i najbardziej oczywistym zagrożeniem jest możliwość manipulowania parametrami pracy falownika. Haker może zmieniać ustawienia napięcia, częstotliwości pracy czy progi odłączania, wpływając nie tylko na działanie całej instalacji PV, ale i na bezpieczeństwo sieci elektrycznej w budynku. Może również wyłączać instalację zdalnie, co dla użytkownika oznacza brak produkcji energii i potencjalne straty finansowe.

Do tego dochodzi możliwość cyklicznego restartowania falownika. Choć brzmi to jak niewinne psikusy, w rzeczywistości takie działanie może destabilizować pracę urządzeń elektrycznych, skracać żywotność elementów elektronicznych, a nawet prowadzić do błędów i awarii, których diagnoza będzie czasochłonna i kosztowna. 

Jeszcze groźniejsza jest manipulacja mocą wyjściową falownika, zwiększanie lub zmniejszanie mocy w niewłaściwy sposób może prowadzić do przeciążeń, przegrzewania, a w skrajnych przypadkach nawet do degradacji sprzętu, zwarć czy trwałych uszkodzeń elementów instalacji.

Nieproszony gość

Jednak bezpośrednia ingerencja w falownik to dopiero początek. Haker, który uzyska dostęp do sieci serwisowej falownika, może potraktować je jako bramę do całej domowej sieci. Może zacząć skanować urządzenia, wyszukiwać laptopy, dyski NAS, kamery monitoringu czy sprzęt typu smart home. W ten sposób zdobywa informacje o strukturze sieci, lukach w zabezpieczeniach i urządzeniach podatnych na ataki.

Ingerencja może iść jeszcze dalej. Cyberprzestępca może próbować eskalować ataki, na przykład infekować słabo zabezpieczone urządzenia IoT i tworzyć z nich tzw. „zombie” – uśpione jednostki, które w przyszłości mogą posłużyć do większych, skoordynowanych ataków typu DDoS. To już nie tylko zagrożenie dla jednego domu, ale również dla większych fragmentów infrastruktury internetowej.

W szerszym kontekście, przy wykorzystaniu wszystkich prosumenckich falowników w Polsce (ponad 1,5 mln) powstaje już duża farma zombie, która może atakować dowolnie skoordynowany cel. ataki typu DDoS mogą brzmieć egzotycznie, jednak są one coraz popularniejsze i cierpi przez nie każdy z nas. Ostatnie awarie popularnych platform utrudniły komunikacje, czy ograniczyły możliwości swobodnej pracy niektórym osobom, a były to właśnie przeciążania serwerów wywołane przez takie zombie. Dlatego nie jest to odrealniony problem i scenariusze, które nie wpłynął na życie zwykłego Kowalskiego.  

Od falownika przez Twoją lodówkę do robota odkurzacza 

W skrajnych przypadkach możliwe jest też przejęcie haseł zapisanych w urządzeniach IoT, szczególnie gdy użytkownicy stosują te same dane logowania do różnych urządzeń. To prosta droga do przełamania kolejnych warstw zabezpieczeń i dostępu do prywatnych danych.

Nie należy także lekceważyć aspektu prywatności. Na podstawie wzorców zużycia energii, które haker może odczytać z falownika, można łatwo ocenić, o jakich godzinach w domu przybywa Twoja rodzina, kiedy domownicy śpią, a kiedy wyjechali na weekend. To informacje, które w niepowołanych rękach mogą stanowić realne zagrożenie fizyczne dla domu i jego mieszkańców.

Internetowy włamywacz może też zyskać podgląd i podsłuch – wystarczy, że podłączy się do popularnego odkurza robota i będzie mógł swobodnie przemieszczać się po naszym domu. I tak, wszystko może się zacząć od tego, że nie chciało nam się zmienić hasła dostępu do falownika.