Ruim twee jaar is Uri Sadot ermee bezig: de cyberveiligheid van zonnepalen, thuisbatterijen en laadpalen. Deze apparaten duiken massaal op in het stroomnet. “Wij beheren miljoenen van die apparaten in Europa. Als een deel daarvan zou uitvallen, zou dat tot stroomstoringen kunnen leiden. En toch kwam destijds geen enkele toezichthouder met ons praten.”
Sadot leidt de cyberstrategie van SolarEdge, een van de marktleiders in zonnepanelen, batterijen, omvormers en meer. Al die apparaten, ook van andere fabrikanten, zijn permanent met het internet verbonden. Fabrikanten en installateurs beheren ze in een digitale omgeving. Zo kunnen ze storingen snel opsporen, klanten op afstand helpen en al hun apparaten tegelijk beveiligingsupdates sturen of instellingen aanpassen.
Eén foute update via zo’n portaal of een gerichte aanval kan ervoor zorgen dat alle apparaten tegelijk uitgaan of massaal energie aan het net terugleveren. Door zo’n plotselinge spanningsverandering kan in theorie de stroom uitvallen, misschien wel in heel Europa, bleek uit Nederlands onderzoek van Secura.
‘Ethische hackers’, zoals Jelle Ursem van het Nederlandse cyberveiligheidscollectief DIVD, slaagden er al meermaals in om toegang te krijgen tot de controlepanelen van fabrikanten.
Ook kwaadwillenden slaagden erin om in te breken in de controlepanelen. Het Litouwse energiebedrijf Ignitis heeft bevestigt dat er digitaal is ingebroken in de software van 20 ‘kleine zonneparken’. Een andere groep hackers slaagde erin om zonnepanelen in Japan te hacken. In beide gevallen bleef de schade beperkt.
Het meest kwetsbare onderdeel in zonne-installaties is de omvormer het ‘brein’ van ieder systeem, legt Sadot uit. Die zet gelijkstroom om in wisselstroom, ze regelen hoeveel energie er van en naar het stroomnet stroomt en zijn uitgerust met een internettoegang. Ook thuisbatterijen hebben zo’n omvormer.
Bij veel van die apparatuur was cyberveiligheid geen onderwerp, zeggen deskundigen.
Hoog tijd voor nieuwe eisen, vindt Ralph Moonen van Secura. In opdracht van de Rijksoverheid onderzocht hij met collega’s de zwakke punten bij zonnestroom. “Ik heb nog geen portaal gezien dat echt veilig is”, zegt hij. Fabrikanten en installateurs gebruiken regelmatig eenvoudige en standaard wachtwoorden en stellen vaak geen tweede code in als extra beschermingsstap. Daardoor kunnen hackers zich relatief eenvoudig toegang verschaffen. Ook omdat gestolen wachtwoorden voor een habbekrats te koop blijken op het darkweb.
De portalen van batterijen, laadpalen en warmtepompen hebben dezelfde zwakke punten als die voor zonnepanelen, zegt Moonen. “Al die apparaten zijn op afstand bestuurbaar en kunnen energie afnemen of leveren aan het net. Door de combinatie van al die systemen groeit de kans dat het een keer mis gaat.”
Volgens Sadot van SolarEdge begint het besef te komen dat het anders moet. Zijn eigen bedrijf zorgde dat slechts een beperkt aantal van de apparaten via één hack te ‘stelen’ zijn, het maximeert het aantal zonnepanelen dat vanuit één portaal en server wordt aangestuurd.
Ook overheden beginnen in actie te komen. Zo stelt het Verenigd Koninkrijk voor laadpalen een ‘wachttijd’ verplicht. Als die op afstand het commando krijgen om zichzelf uit te schakelen, moeten ze maximaal 10 minuten wachten met uitvoering van dat commando. Zo heeft het stroomnet de tijd om te reageren op de plotselinge spanningspiek, wat de kans op storingen verkleint.
In Nederland heeft de zonnestroomsector afgesproken om bij de installatie van nieuwe omvormers voortaan een uniek en sterk wachtwoord in te stellen. En de Europese Unie heeft bepaald dat vanaf 2025 voor alle draadloze apparatuur, niet alleen in het energiesysteem, cybersecurityregels gelden. In 2027 worden die regels nog eens uitgebreid, met onder meer een meldplicht voor fabrikanten die een veiligheidsprobleem ontdekken.
Alles bij de bron; Trouw