Is het risico tegen uitval van de Nederlandse Energievoorziening te beheersen nu ook cyberaanvallen via omvormers van zonnepanelen mogelijk zijn?

Nu details over het gevaar van de omvormers van zonnepanelen bekend zijn geworden met de publicatie door Willem Westerhof, blijkt dat er veel meer kwetsbare plekken zijn gevonden in omvormers van werkende zonnepanelen in Europa.met een totaal vermogen van 90 gigawatt. Dit probleem is niet alleen met het invoeren van een nieuw paswoord in de omvormers op te lossen. De eerste reacties op Willem Westerhofs waarschuwing aan het adres van de netbeheerders en politiek waren in eerste instantie laconiek. Met dat vangen we op en als het nodig is nemen we maatregelen, neemt de twijfel over de adequaatheid van te nemen maatregelen toe.

Het meest schokkende element in de verduidelijking door Westerhof van zijn bevindingen, is wel het gegeven dat hij in totaal 21 kwetsbare plekken vond in de omvormers van SMA. 14 daarvan hebben een vermelding gekregen in de Common Vulnerabilities and Exposures-database die Mitre bijhoudt. En van die 14 hebben er 3 betrekking op het zwakke wachtwoordmanagement dat Westerhof eerder al aan de kaak stelde. Ofwel: er zitten daarnaast nog eens 11 zwakke plekken in de omvormers die de hacker ten dienste staan. Daardoor hebben ze niet één methode om de controle over de omvormer over te nemen, maar meerdere. SMA was ook lekker snel met aanmelden. Westerhof stelde SMA eind vorig jaar op de hoogte; de lekken zijn eind juni aangemeld.

In Europa staan momenteel zonnepanelen met 90 gigawatt aan vermogen opgesteld. In Duitsland voorzien zonnepanelen op topmomenten al 35 tot 50 procent van de energiebehoefte. Er is weinig fantasie voor nodig wat er gebeurt als hackers erin slagen om een een aanzienlijk deel van die zonnepanelen gelijktijdig af te schalen en al of niet even later weer aan te schakelen. De onbalans in het energienet die dat veroorzaakt, zal tot grote stroomstoringen leiden, simpelweg omdat de tijd ontbreekt om er op te reageren, aldus Westerhof. Met behulp van een simulatietool berekent hij dat de schade op kan lopen tot 4,5 miljard euro - nog los van de schadelijke gevolgen die uitval van de elektriciteit kan hebben op mensen met kwakkelende gezondheid.

Westerhof heeft het aanvalsscenario via omvormers van zonneplanelen het Horus-scenario genoemd, naar de Egyptische godheid. De resultaten van zijn onderzoekswerk zijn te vinden op de website Horusscenario

Het is niet de eerste keer dat gewezen wordt op de onveiligheid van apparaten die het Internet of Things vormen. Het zal ook wel niet de laatste keer zijn. Maar de kwetsbaarheden waar Westerhof op wijst, zijn wel zeer ernstig. Stroomstoringen zijn een ideaal middel om maatschappelijke ontwrichting teweeg te brengen. En de Oekraïne - dat al twee keer slachtoffer werd - is er bewijs van dat er partijen actief zijn die bereid zijn om dit instrument in te zetten. In een tijd van internationaal oplopende spanningen is het dan ook niet goed te begrijpen, dat de autoriteiten zich zo laconiek tonen.

Westerhof heeft voor hen in ieder geval wel een advies. "Gebrek aan wetgeving en controle op de digitale beveiliging van dergelijke apparatuur vormen het grootste risico. Certificering en verantwoording van eigen bedrijven moeten dan ook hoog op de politieke agenda komen”, laat hij noteren in een persbericht van ITsec.

"De meeste (industriële) Internet of Things apparaten worden puur ontwikkeld en ontworpen op basis van functionaliteit. Het security aspect wordt niet meegenomen in het ontwerp. Als argument noemen fabrikanten gebrek aan kennis, middelen, geld. Geld in de portemonnee lijkt het te winnen van veiligheid in de toekomst. Het moet een keer goed misgaan wil men in actie komen."

Een uitdaging voor onze Ingenieurs, die werkzaam zijn in de branches ICT Security en de Energievoorziening om oplossingen aan te dragen voor de managers in de industrie en de politici om deze te kunnen implementeren.

De artikelen van AG Connec gaan nog uitgebreider op de kwetsbaarheid van IoT in: Zonnepanelen brengen Nederland in gevaar!