Ruim twee jaar is Uri Sadot ermee bezig: de cyberveiligheid van zonnepalen, thuisbatterijen en laadpalen. Deze apparaten duiken massaal op in het stroomnet. “Wij beheren miljoenen van die apparaten in Europa. Als een deel daarvan zou uitvallen, zou dat tot stroomstoringen kunnen leiden. En toch kwam destijds geen enkele toezichthouder met ons praten.”
Sadot leidt de cyberstrategie van SolarEdge, een van de marktleiders in zonnepanelen, batterijen, omvormers en meer. Al die apparaten, ook van andere fabrikanten, zijn permanent met het internet verbonden. Fabrikanten en installateurs beheren ze in een digitale omgeving. Zo kunnen ze storingen snel opsporen, klanten op afstand helpen en al hun apparaten tegelijk beveiligingsupdates sturen of instellingen aanpassen.
Eén foute update via zo’n portaal of een gerichte aanval kan ervoor zorgen dat alle apparaten tegelijk uitgaan of massaal energie aan het net terugleveren. Door zo’n plotselinge spanningsverandering kan in theorie de stroom uitvallen, misschien wel in heel Europa, bleek uit Nederlands onderzoek van Secura.
‘Ethische hackers’, zoals Jelle Ursem van het Nederlandse cyberveiligheidscollectief DIVD, slaagden er al meermaals in om toegang te krijgen tot de controlepanelen van fabrikanten.
Ook kwaadwillenden slaagden erin om in te breken in de controlepanelen. Het Litouwse energiebedrijf Ignitis heeft bevestigt dat er digitaal is ingebroken in de software van 20 ‘kleine zonneparken’. Een andere groep hackers slaagde erin om zonnepanelen in Japan te hacken. In beide gevallen bleef de schade beperkt.
Het meest kwetsbare onderdeel in zonne-installaties is de omvormer het ‘brein’ van ieder systeem, legt Sadot uit. Die zet gelijkstroom om in wisselstroom, ze regelen hoeveel energie er van en naar het stroomnet stroomt en zijn uitgerust met een internettoegang. Ook thuisbatterijen hebben zo’n omvormer.
Bij veel van die apparatuur was cyberveiligheid geen onderwerp, zeggen deskundigen.
Hoog tijd voor nieuwe eisen, vindt Ralph Moonen van Secura. In opdracht van de Rijksoverheid onderzocht hij met collega’s de zwakke punten bij zonnestroom. “Ik heb nog geen portaal gezien dat echt veilig is”, zegt hij. Fabrikanten en installateurs gebruiken regelmatig eenvoudige en standaard wachtwoorden en stellen vaak geen tweede code in als extra beschermingsstap. Daardoor kunnen hackers zich relatief eenvoudig toegang verschaffen. Ook omdat gestolen wachtwoorden voor een habbekrats te koop blijken op het darkweb.
De portalen van batterijen, laadpalen en warmtepompen hebben dezelfde zwakke punten als die voor zonnepanelen, zegt Moonen. “Al die apparaten zijn op afstand bestuurbaar en kunnen energie afnemen of leveren aan het net. Door de combinatie van al die systemen groeit de kans dat het een keer mis gaat.”
Volgens Sadot van SolarEdge begint het besef te komen dat het anders moet. Zijn eigen bedrijf zorgde dat slechts een beperkt aantal van de apparaten via één hack te ‘stelen’ zijn, het maximeert het aantal zonnepanelen dat vanuit één portaal en server wordt aangestuurd.
Ook overheden beginnen in actie te komen. Zo stelt het Verenigd Koninkrijk voor laadpalen een ‘wachttijd’ verplicht. Als die op afstand het commando krijgen om zichzelf uit te schakelen, moeten ze maximaal 10 minuten wachten met uitvoering van dat commando. Zo heeft het stroomnet de tijd om te reageren op de plotselinge spanningspiek, wat de kans op storingen verkleint.
In Nederland heeft de zonnestroomsector afgesproken om bij de installatie van nieuwe omvormers voortaan een uniek en sterk wachtwoord in te stellen. En de Europese Unie heeft bepaald dat vanaf 2025 voor alle draadloze apparatuur, niet alleen in het energiesysteem, cybersecurityregels gelden. In 2027 worden die regels nog eens uitgebreid, met onder meer een meldplicht voor fabrikanten die een veiligheidsprobleem ontdekken.
Alles bij de bron; Trouw
De Recall-functie, ontworpen om gebruikers te helpen door hun pc-activiteit op te nemen werd aanvankelijk in mei aangekondigd maar wordt nu naar verwachting in december gelanceerd.
Recall maakt gebruik van de schermopnamemogelijkheden van Windows om gebruikers te helpen bij het eenvoudig terugvinden van eerdere acties of bekeken inhoud. Bezorgdheid over de privacy, geuit door cyberbeveiligingsexperts, leidde er toe dat Microsoft de lancering uitstelde. In tussentijd voerde het tests uit met deelnemers aan het Windows Insider-programma.
De aankondiging volgt op recente controverse rond Recall. Het gaat daarbij om beweringen van YouTubers die menen dat de functie stiekem is geïnstalleerd en geactiveerd op Windows-computers die zijn bijgewerkt met versie 24H2.
Brandon LeBlanc, Chief Product Officer voor Windows, verduidelijkte dat Recall niet verplicht zal zijn. Gebruikers kunnen er dus voor kiezen om het te activeren of deactiveren.
Het is nog niet duidelijk of België en andere Europese landen direct toegang krijgen tot Recall wanneer deze breder wordt uitgerold.
Alles bij de bron; BusinessAM
Afgelopen weken was er veel nieuws over Teens, een tienerversie van Meta's Instagram. Experts zijn daar, terecht, kritisch op: de aanpassingen zijn een papieren tijger die vooral de privacy van kinderen schaden.
Dat er wordt gezocht naar een manier om jongeren te beschermen, is niet gek, want jongeren kampen met telefoonverslavingen en komen steeds extremere content tegen. Maar de oplossingsrichting hoort niet vanuit Meta, een commercieel bedrijf, te komen.
Als alternatief komt er vanuit bezorgde ouders en beleidsmakers de roep om strenge leeftijdsverificatie en leeftijdsbegrenzing, waarbij mensen hun leeftijd moeten aantonen door bijvoorbeeld hun paspoort te uploaden. Een slecht idee, want dat is een enorme inperking van de privacy.
Er zijn veel effectievere oplossingen. Als samenleving moeten we enerzijds blijven inzetten op opvoeding, en anderzijds op het reguleren van sociale media via wetgeving door verslavende elementen te verwijderen en mensen meer controle te geven over hun online omgeving....
...De problemen die sociale media voor jongeren creëren, zoals overmatig gebruik en polarisatie, worden niet aangepakt door strenge vormen van leeftijdsverificatie. Dat zorgt eigenlijk alleen maar voor een privacy inperking en sluit jongeren af van de positieve kanten van sociale media.
Veel effectiever is inzetten op de wortel van het probleem door de verslavende en manipulerende mechanismen van sociale media te reguleren en ouders te steunen in het digitaal opvoeden. Dus zoals Big Tech-criticus Sohsana Zuboff schrijft "laten we deuren dicht doen, maar niet de verkeerde".
Alles bij de bron; Bits-of-Freedom
De Italiaanse Post heeft van 25.000 mensen de gegevens gelekt, omdat het had nagelaten beveiligingsupdates voor bekende en actief misbruikte kwetsbaarheden in Microsoft Exchange Server te installeren.
De gestolen gegevens bestonden onder andere uit gezondheidsinformatie, identificatiegegevens, lidmaatschap van vakbonden, strafbladen en financiële gegevens.
Alles bij de bron; Security
Free, de op één na grootste internetprovider van Frankrijk, heeft de persoonlijke gegevens van klanten gelekt. Bij een aanval die vorige week plaatsvond zijn naam, e-mailadres, adresgegevens, geboortedatum, geboorteplaats, telefoonnummer, abonnementsinformatie en contractgegevens gestolen.
De aanvaller claimt de persoonsgegevens van ruim negentien miljoen klanten te bezitten. Het zou ook om 5,11 miljoen IBAN-nummers gaan, aldus de Franse krant Le Figaro.
Een Franse beveiligingsonderzoeker meldt dat de gegevens op internet te koop worden aangeboden. Het zou om meer dan 43 gigabyte aan data gaan.
Alles bij de bron; Security
De Nederlandse politie is samen met de FBI en andere internationale diensten erin geslaagd om toegang te krijgen tot servers van de Redline- en Meta-infostealers, waarbij ook allerlei gegevens van afnemers van de malware zijn veiliggesteld. Deze malware-exemplaren zijn ontwikkeld om wachtwoorden en andere inloggegevens van besmette computers te stelen. Ook stelen de infostealers gegevens met betrekking tot cryptowallets.
De politie meldt dat het toegang tot licentieservers, REST-API-servers, webpanelen en Telegram-bots. Op de servers werden gebruikersnamen, wachtwoorden, ip-adressen en andere informatie van afnemers aangetroffen.
Alles bij de bron; Security
Hackers hebben de persoonlijke gegevens van honderd miljoen mensen buitgemaakt na een ransomwareaanval op het Amerikaanse zorgbedrijf Change Healthcare. Het is het grootste datalek van medische gegevens in de geschiedenis van de VS.
Het is de eerste keer dat er een concrete hoeveelheid getroffen slachtoffers van de hack wordt genoemd. TechCrunch schrijft dat de gestolen gegevens variëren per individu.
Change Healthcare heeft eerder bevestigd het om persoonlijke informatie gaat, waaronder namen en adressen, geboortedata, telefoonnummers en e-mailadressen. Daarnaast worden nummers van identiteitsdocumenten genoemd, waaronder social security, rijbewijzen en paspoorten.
Naast de medische gegevens zoals testresultaten, diagnoses en voorgeschreven medicijnen en behandelingen, hebben de hackers mogelijk ook informatie buitgemaakt met betrekking tot de ziektekostenverzekeringen en financiën van de patiënten.
Change Healthcare verwerkt verzekeringen, facturen en declaraties voor honderdduizenden ziekenhuizen, apotheken en andere zorgorganisaties in de VS. Op 12 februari werd het bedrijf het slachtoffer van een ransomwareaanval met grote gevolgen voor de Amerikaanse gezondheidszorg.
UnitedHealth gaf toe dat het datalek mogelijk was door middel van buitgemaakte Citrix-inloggegevens en een gebrek aan tweestapsverificatie van het platform. Na de aanval werden duizenden laptops vervangen en logins aangepast.
Alles bij de bron; Tweakers