De Rijksinspectie Digitale Infrastructuur (RDI), voorheen Agentschap Telecom, maakt zich ernstige zorgen om een groot deel van de zonnepaneelomvormers op de markt. Geen van de door de RDI onderzochte apparaten voldoet aan de cyberveiligheidseisen. Kwaadwillenden kunnen de apparatuur van afstand aan en uitzetten en zo pieken in het stroomnet veroorzaken waardoor het stroomnet kan uitvallen.
De RDI startte in 2021 een onderzoek om te kijken of de omvormers van zonnepaneelinstallaties wel voldoen aan de wettelijke eisen. Dat onderzoek richtte zich zowel op de mogelijkheid dat ze storing op andere toepassingen veroorzaken, als op de cyberveiligheid.
Er zijn negen omvormers onderzocht. Geen enkele van die onderzochte omvormers voldoet aan de cyberveiligheidsnorm. Ze zijn dus eenvoudig te hacken, van afstand uit te schakelen of in te zetten voor ddos-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen.
Cyberveiligheid
Omvormers zijn apparaten waarmee de energie die via zonnepanelen wordt opgewekt, wordt omgezet in bruikbare stroom voor in huis. Fabrikanten van producten die storing kunnen veroorzaken, zijn wettelijk verplicht om per direct passende maatregelen te nemen om te voorkomen dat zij nog storende producten verhandelen.
De eisen voor cyberveiligheid zijn echter pas vanaf 1 augustus 2024 actief, staat in een nieuwsbericht dat RDI vandaag heeft gepubliceerd.
‘De omvormers van zonnepanelen zijn zeer onveilig’, schrijft RDI in een rapport. De testresultaten van vier fabrikanten zijn volgens de rijksinspectie zelfs zeer kritiek voor de cyberveiligheid van het elektriciteitsnet, woningen en burgers.
Geen updates
De onderzoekers geven in het hoofdstuk over cyberveiligheid een overzicht aan wat er aan de omvormers mankeert. Zo hebben de apparaten zwakke standaardwachtwoorden en kunnen inloggegevens eenvoudig achterhaald worden. Het is niet bekend waar kwetsbaarheden bij de fabrikant zijn te melden. Er worden geen updates uitgegeven of updates zijn voor gebruikers niet eenvoudig te installeren. Daardoor is er een aanzienlijke kans dat verouderde en kwetsbare softwareversies actief blijven.
Ook schort er van alles aan de data-overdracht en privacy. Zo kunnen eigenaren hun persoonsgegevens en andere data niet verwijderen en blijven persoonsgegevens onterecht in het bezit van de leverancier. Veel apparaten worden één keer geconfigureerd door een installateur. Daarna worden meestal geen updates meer gedaan.
Stroomnet kan plat gaan
RDI: ‘Er zijn scenario’s denkbaar waarin omvormers op grote schaal worden uitgeschakeld. Voor individuele gebruikers wordt hierdoor zonne-energie misgelopen. Voor de gehele samenleving leidt dit ertoe dat het stroomnet wordt gemanipuleerd of er landelijk een (zonne-)energietekort is.
Ook kunnen digitaal kwetsbare omvormers worden ingezet voor een ddos-aanval waardoor websites of andere digitale toepassingen tijdelijk of langer onbruikbaar zijn of hier schade aan wordt toegebracht.’ Ze zagen ook dat sommige omvormers een continue wifi-hotspot zijn. ‘Deze zijn toegankelijk met een standaardwachtwoord. Dat standaardwachtwoord is in bepaalde gevallen eenvoudig te vinden via het internet in digitale handleidingen. Op deze manier kunnen personen die fysiek in de buurt zijn van zo’n omvormer, verbinden en de omvormer uitschakelen, manipuleren of misbruiken.’
Eerder bekend
Het beveiligingslek was binnen ethische hackerskringen al langer bekend. Vorig jaar zomer haalde Frank Breedijk van DIVD (Dutch Institute for Vulnerability Disclosure) nog het nieuws met een notificatie van een beveiligingslek in de omvormers van zonnepanelen.
RDI schrijft in zijn slotconclusie dat de mate van cyberveiligheid van omvormers, en daarmee zonnepaneelinstallaties, slecht is. ‘De wettelijke eisen hiervoor zijn weliswaar nog niet actief, maar ook nu vormen digitale kwetsbaarheden een groot risico. Met het toenemende aantal zonnepaneelinstallaties in Nederland, wordt de samenleving steeds afhankelijker van deze vorm van energievoorziening.’
Het is volgens de RDI onacceptabel dat producten die zo belangrijk zijn voor vitale processen, tal van onbeschermde digitale ingangen bevatten.
Lees ook