Zonnestroom wordt steeds belangrijker voor onze energievoorziening. Tegelijkertijd zijn al die installaties samen gevoelig voor cyberaanvallen. De potentiële impact hiervan kan groot zijn met zowel maatschappelijke, fysieke als economische gevolgen. Meer bewustzijn over de problematiek en betere bescherming van de systemen zijn daarom noodzakelijk.
Het onderzoek heet “Veilige zonnestroom: scenario’s en maatregelen voor cyberweerbare zonnestroom-installaties” en is uitgevoerd door cybersecurity-experts van Secura samen met de energie-experts van de Topsector Energie in opdracht van de Rijksdienst voor Ondernemend Nederland.
Soe van Dijk, digitaliseringsexpert bij de Topsector Energie: “Met het onderzoek willen we bewustzijn creëren bij partijen over waar in de keten risico’s zitten zodat zij hiermee aan de slag kunnen. Iedereen is van elkaar afhankelijk, dus wachten op elkaar is geen optie. Onze boodschap is: met de juiste mindset, maatregelen en samenwerking in de keten kunnen we het goed en veilig krijgen.”
Door heel Nederland zijn er steeds meer kleine en grote zonne-installaties op daken van woonhuizen en bedrijven. De uitval van een enkele installatie is weliswaar vervelend voor de eigenaar, maar heeft verder weinig impact voor het stroomnet. Wanneer er echter een aanval op grote schaal gebeurt, waarbij omvormers op afstand onverwacht worden aan- of uitgezet, kan de impact wel significant zijn. Omdat zonnestroom een steeds groter onderdeel van onze energievoorziening wordt, kan dit de stabiliteit van het net in gevaar brengen en zorgen voor tijdelijke lokale of regionale stroomuitval. Dat heeft maatschappelijke gevolgen, denk aan uitval van verkeersystemen, de bereikbaarheid van hulpdiensten en economische impact op bedrijven. Ook fysieke schade aan de zonne-apparatuur is mogelijk. De kans op een langdurige, landelijke black-out achten de onderzoekers klein, daarvoor moet een hack of storing op grote schaal plaatsvinden en zich bovendien richten op meer dan alleen de zonnestroominstallaties. Echter, ook kortdurende storingen kunnen een heftige impact hebben op de samenleving.
Vind jij goede en onafhankelijke informatie over een duurzame en klimaatveilige toekomst belangrijk? En helpt Duurzaamnieuws.nl je daarmee? Help ons dan met een donatie. Dank je wel.
Liever eerst een tijdje volgen? Meld je dan aan voor de gratis nieuwsbrief.
Wetgeving is laat en omvormers zijn een zwakke schakel
Uit het onderzoek blijkt dat met name internet-gekoppelde omvormers een zwakke schakel zijn. Netbeheerders en beheerders van grote zonneparken zijn zich hier (vaak) al van bewust en hebben beleid om risico’s te beperken. Maar de sector kent steeds meer middelgrote en kleinere spelers, inclusief miljoenen consumenten en bedrijven die panelen op hun dak hebben, waar cybersecurity weinig tot geen aandacht krijgt. Wetgeving is in de maak, maar moet nog geïmplementeerd worden. Waar een energiecentrale strenge wetgeving heeft, kennen de kleine zonne-installaties nog (vrijwel) geen cyberwetgeving. Tegelijkertijd hebben die kleinschalige systemen samen bij elkaar opgeteld wél hetzelfde vermogen als de energiecentrale. Actie is daarom nodig bij:
- Fabrikanten: beveilig Cloudportalen met meerstapsverificatie (MFA); stel een maximale schakelfrequentie in op omvormers; zorg voor veilige en geteste over-the-air firmware updates; maak de “meest veilige” configuratie de standaard.
- Installateurs: Beveilig installateurs-portalen met MFA; cyberveilig installeren, advies aan consument.
- Burgers/afnemers: Cyberbeveiliging moet onderdeel worden van de keuze, niet alleen maar focus op prijs. Dit vereist bewustwording bij huishouden en bedrijven, en bij projectontwikkelaars. Vergelijkbaar met het slot op je voordeur, daar kies je ook voor een veilig gecertificeerd product.
- Overheden (NL/EU): De cyberveiligheid van producten verschilt op dit moment per fabrikant en bedrijven moeten zelf het wiel uitvinden op basis van generieke IoT-beveiligingsstandaarden. De NL en EU-marktpartijen zijn gebaat bij een standaard, zeker wanneer deze wordt geaccepteerd om conformiteit aan te tonen met cyberwetgeving die in de maak is. Vanaf augustus 2025 vallen omvormers namelijk onder Europese wettelijke cybersecurityeisen voor draadloos communicerende apparaten (RED 3.3). Vanaf 2027 gaan er bredere Europese cybersecurityeisen gelden voor alle hard- en software onder de Cyber Resilience Act.
Drie hoofdscenario’s van cyberaanvallen
Het onderzoek schetst drie hoofdscenario’s met verschillende routes waarop cyberaanvallen op zonnestroominstallaties kunnen plaatsvinden. Daarbij worden verschillende actoren, van een individuele hacker tot onethische bedrijven of statelijke actoren, bekeken. Vervolgens komen (mitigerende) maatregelen aan bod om cyberincidenten te voorkomen of de impact te beperken, met nadruk op wie deze maatregelen kan nemen.
- Aanval via Cloudportaal. Daarbij ziet een cyber-criminele ransomware-bende de kans om meerdere accounts van grote installateurs over te nemen en daarmee beheerders van zonneparken af te persen.
- Een online software-update van omvormers geeft criminelen onbedoeld toegang tot de omvormers en kan ze daarmee stilleggen of beschadigen. Meest waarschijnlijke hierbij is dat tienduizenden omvormers met een standaard wachtwoord, dat bij installatie niet gewijzigd is, worden overgenomen door een botnet.
- Een gerichte supply-chain aanval door een statelijke actor. Dit zou kunnen als de geopolitieke spanningen door de verschillende oorlogen oploopt. In dit scenario gebruikt een land cyberwapens om de vitale infrastructuur aan te vallen door het overnemen van apparatuur.
Over het onderzoek
Het primaire doel van dit onderzoek is om inzicht te krijgen waar de zwakke plekken in de toeleveringsketen van zonnestroom vermoedelijk zitten, hoe cyberaanvallen zouden kunnen plaatsvinden en wie welke maatregelen kan nemen. Het secundaire doel is het verhogen van het bewustzijn op dit onderwerp en ook zo de cyberweerbaarheid te verbeteren. De onderzoekers hebben voor dit onderzoek gebruik gemaakt van beschikbare literatuur (open en gesloten) in combinatie met interviews met experts en een klankbordgroep met vertegenwoordigers uit de zonnesector. Er zijn diverse reviewrondes geweest.
Voorbeelden van schade
Een zonnestroominstallatie levert geld op, maar bij storingen kan er economische schade ontstaan omdat er geen stroom wordt opgewekt of wel wordt opgewerkt op momenten dat prijzen negatief zijn. Vooral grote zonneparken kunnen zo veel geld verliezen. Criminelen kunnen proberen geld te verdienen door te chanteren met dreigingen van stroomuitval en/ of schade aan installaties, of door systemen te blokkeren totdat er betaald wordt. Cyberaanvallen kunnen ook onderdelen van de installatie beschadigen, die dan vervangen moeten worden. Bij een aanval die impact heeft op het stroomnet zal op Europees vlak samengewerkt moeten worden om te voorkomen dat het licht uitgaat. Noodmaatregelen die dan genomen moeten worden zijn erg duur. Tenslotte heeft een stroomuitval ook impact op de samenleving. Afhankelijk van de duur en grootte kan ook dat tot allerlei vormen van schade leiden, van uitval van vriezers tot de bereikbaarheid van hulpdiensten.
Innovatiesubsidies beschikbaar
Een integrale aanpak is nodig om al deze slimme energie-apparaten veilig te krijgen en veilig met elkaar te verbinden. Dat doet de Topsector Energie door zowel de kleine als de grote spelers in de markt continue te blijven voeden met nieuwe kennis en innovaties. En door de betrokken actoren bij elkaar te brengen, zodat het wiel niet dubbel uitgevonden hoeft te worden. Tot eind oktober is er bovendien een aparte subsidieregeling geopend voor cyberweerbare energieketens.