Malware w fotowoltaice? Jak zabezpieczyć falownik, monitoring i zdalny dostęp zanim pojawi się pierwszy incydent

Jak wygląda cyberatak na system PV i co naprawdę może zostać sparaliżowane

Wyobraź sobie farmę PV 500 kWp. Falowniki pracują, panele produkują, dane spływają do portalu monitoringu. Nikt nie zauważa, że kilka tygodni wcześniej ktoś przez podatny na atak rejestrator danych dostał się do wewnętrznej sieci obiektu. Nie wyłączył instalacji od razu – zainstalował malware z timerem albo zbierał dane konfiguracyjne i dostępowe.

Dokładnie taki scenariusz opisuje materiał opublikowany w marcu 2026 r. o incydencie, który dotknął ok. 800 urządzeń monitoringu PV w Japonii w maju 2024 r. Malware rozprzestrzeniało się przez podatność w logerach Contec SolarView – używanych na tamtym rynku i stanowiących przykład tego, jak podatność w warstwie monitoringu może przenieść ryzyko na całą instalację.

Atak na system PV może oznaczać: odcięcie monitoringu (operator nie widzi, czy instalacja pracuje), manipulację danymi rozliczeniowymi, zdalną zmianę konfiguracji falownika, wejście do sieci LAN budynku lub firmy, a w skrajnych przypadkach – zablokowanie urządzeń przez ransomware.

Falownik, logger, portal producenta, router LTE – gdzie są najsłabsze punkty

Instalacja PV z monitoringiem to de facto małe IoT z kilkoma warstwami wejścia dla intruza:

• Data logger / rejestrator danych – najczęstszy wektor ataku. Urządzenie ma stały dostęp do internetu, port Modbus/RS485 do falownika, a jednocześnie jest aktualizowane rzadko lub wcale.
• Falownik z Ethernet/Wi-Fi – nowoczesne modele mają własny interfejs webowy, często dostępny bez hasła lub z domyślnym admin/admin. Wiele firm instalacyjnych nie zmienia tych ustawień po montażu.
• Portal producenta – konto klienta na platformie chmurowej (FusionSolar, iSolarCloud, mySMA) z dostępem do danych i zdalnej rekonfiguracji. Jedno przejęte konto może oznaczać dostęp do całego portfela klientów instalatora.
• Router LTE / switch sieciowy – urządzenia dostarczone klientowi razem z instalacją, często bez zmiany domyślnych haseł.
• Konto VPN lub TeamViewer instalatora – jedna przejęta instalacja może dać dostęp do całego portfolio klientów.

7 błędów firm instalacyjnych: domyślne hasła, wspólne konta, brak segmentacji sieci

1. Domyślne hasło w falowniku – ustawienie admin/admin i pozostawienie go na stałe.
2. Jedno wspólne konto serwisowe – gdy technik odchodzi, nikt nie zmienia hasła.
3. Brak aktualizacji firmware – logger z firmware sprzed 2 lat może mieć znane, udokumentowane podatności.
4. Logger w tej samej sieci co biuro lub mieszkanie – brak segmentacji oznacza, że każde urządzenie w sieci potencjalnie widzi logger.
5. Brak monitorowania alertów bezpieczeństwa – portale producentów wysyłają alerty o anomaliach, ale nikt ich nie czyta.
6. Publiczny IP dla loggera – wystawienie urządzenia na skanery botów bez VPN.
7. Brak protokołu odejścia technika – dostępy do portali i VPN nie są odbierane przy zwolnieniu pracownika.

Minimalny standard bezpieczeństwa dla instalacji PV

Przy uruchomieniu każdej instalacji warto: zmienić domyślne hasła w falowniku, loggerze i routerze na unikalne (min. 12 znaków), zapisać hasła w menedżerze haseł (np. Bitwarden), sprawdzić i zaktualizować firmware, wyłączyć nieużywane usługi sieciowe (Telnet, FTP).

Dla dostępów serwisowych: każdy technik powinien mieć własne konto, włączone 2FA wszędzie tam, gdzie portal je oferuje, a dostępy muszą być odbierane natychmiast przy odejściu pracownika.

Czy właściciel instalacji powinien wymagać VLAN, VPN albo 2FA

Tak – szczególnie w instalacjach B2B i w obiektach z krytyczną infrastrukturą IT. Właściciel hali produkcyjnej czy centrum danych powinien zapytać instalatora: w jakiej sieci będzie pracował logger i falownik, jak wygląda zdalny dostęp serwisowy (VPN czy bezpośredni IP) i jak szybko nastąpi aktualizacja firmware przy krytycznej luce bezpieczeństwa.

Jak wpisać cyberbezpieczeństwo do standardów obsługi instalacji PV

Cyberbezpieczeństwo staje się realnym elementem jakości serwisu. W zakres dobrej obsługi warto włączyć: coroczny przegląd konfiguracji bezpieczeństwa urządzeń, aktualizacje firmware falownika i loggera, weryfikację aktywnych dostępów i haseł oraz raportowanie incydentów z logów logowania. Dla obiektów B2B standardem staje się instalacja z segmentacją VLAN i zdefiniowana procedura crisis response na wypadek wykrycia incydentu.

Podsumowanie

Cyberbezpieczeństwo w fotowoltaice to problem, który już się materializuje w innych krajach i który przyjdzie do Polski wraz z rosnącą liczbą instalacji podłączonych online. Planujesz instalację PV? Sprawdź jej opłacalność finansową w naszym kalkulatorze fotowoltaiki – a kwestie bezpieczeństwa cyfrowego omów z wybranym instalatorem jeszcze przed podpisaniem umowy.

Kiedy to może nie mieć sensu

• Bardzo niskie roczne zużycie energii (poniżej 1 500 kWh/rok) — nakłady inwestycyjne mogą być nieproporcjonalne do oszczędności.
• Budynek planowany do sprzedaży w ciągu 2–3 lat — ROI może nie zdążyć się domknąć przed transakcją.
• Dach silnie zacieniony lub o niekorzystnej orientacji (strona północna) — produkcja będzie istotnie niższa niż w modelowym scenariuszu.

Powyższe dane i szacunki mają charakter analityczny i informacyjny. Nie stanowią porady inwestycyjnej ani finansowej. Konkretne wyniki zależą od indywidualnej sytuacji energetycznej, lokalizacji, dostępnych programów dotacyjnych i warunków instalacji.