Let op! Sinds 1 juli 2018 zijn Insite Security en ITsec samen verder gegaan als Qbit Cyber Security .

De uitdaging van cybersecurity in de PV-industrie

Op 7-8 november vond in Milaan de 5e editie plaats van Solar Asset Management Europe. Een conferentie specifiek gericht op de ‘operationele fase’ van Photo Voltaic installaties (PV-installaties). Edwin van Andel (Zerocopter) en Erik Rutkens (Insite Groep) namen samen met Lior Handelsman van SolarEdge deel aan een paneldiscussie over de uitdaging van de PV-industrie op het gebied van cybersecurity. De discussie werd gefaciliteerd door Eelco Hoogduin van Solarplaza.

Solar panel security

Aanleiding voor de paneldiscussie in Milaan was het artikel ‘ICT-lek zonnepanelen mogelijk bedreigend voor Europese stroomvoorziening’. Dit artikel in de Volkskrant is gebaseerd op het onderzoek van collega Willem Westerhof van ITsec. Zijn onderzoek toont aan dat de stroomvoorziening in heel Europa gevaar loopt door een beveiligingslek in omvormers. In het ergste geval kan hierdoor op een zonnige dag in enkele seconden het equivalent van het stroomverbruik van miljoenen huishoudens wegvallen. Dat kan ertoe leiden dat het elektriciteitsnet in onbalans raakt, waardoor in grote delen van Europa de stroom kan uitvallen.

Het probleem is nog veel groter dan alleen PV-installaties. Feitelijk kunnen alle dingen die met het internet en het stroomnetwerk zijn verbonden serieuze schade veroorzaken voor individuele huishoudens, organisaties, gebieden, landen en zelfs hele continenten. Denk naast PV-installaties aan slimme meters, IP-camera’s, lampen, koffiezetapparaten, luidsprekers enzovoort. Vandaag de dag zijn er ruim 8,4 miljard dingen verbonden met het internet. Het potentiele gevaar van slecht beveiligde ‘dingen’ werd duidelijk in september vorige jaar. Het Mirai-botnet misbruikte onder meer honderdduizenden slecht beveiligde IP-camera’s om gerichte dDoS-aanvallen uit te voeren. Mirai was nog maar het begin. De komende tijd, zullen we steeds meer van soortgelijke en ergere aanvallen zien.

Belang van Security by design

Het onderzoek van Willem laat zien dat beveiliging van PV-installaties bij de meeste fabrikanten geen onderdeel is geweest van het ontwerp en de implementatie. Bekende kwetsbaarheden, zoals het niet afdwingen van het vervangen van het standaardwachtenwoord (‘0000’), geen bescherming tegen ‘brute force-aanvallen’ en het gebruik van niet actuele en/of verouderdere software zijn maar een paar voorbeelden van de gevonden kwetsbaarheden. Volgens de panelleden schuilt een van de grootste gevaren in het gebruik van geheime superwachtwoorden door de fabrikant. Als een hacker er één weet te achterhalen, heeft hij in een klap de controle over elke omvormer. Een ander probleem is dat de software die in dingen en dus ook omvormers wordt gebruikt vaak moeilijk of niet te updaten is.

Een mogelijk scenario is dat kwaadwillenden malware installeren in bedrijfs- en thuisnetwerken waar de omvormers aan hangen. Daar houdt de malware zich slapend tot het moment dat de hacker de opdracht geeft alle omvormers in een keer uit te schakelen. Zo’n malwareaanval is vergelijkbaar met het recente Petyavirus dat zich verborgen hield in een Oekraïens boekhoudpakket en dat eind juni wereldwijd computersystemen van bedrijven platlegde, onder meer in de haven van Rotterdam. Het is overigens niet zo vreemd dat dingen niet inherent veilig worden ontworpen en geïmplementeerd. De meeste dingen zijn ‘stand alone’ bedacht. De komst van minicomputers, sensoren en nieuwe netwerken zoals LoRa maakt het eenvoudig en goedkoop om dingen aan het internet te koppelen. De mogelijkheden en voordelen van dingen die met het internet zijn verbonden zijn enorm.

Hoe hackers het energienetwerk platleggen

Initiatief voor internationale veiligheidsnorm

De verschillende betrokken partijen in de PV-industrie wijzen naar elkaar of naar anderen als het gaat om de vraag wie verantwoordelijk is voor de beveiliging van omvormers. De netbeheerders houden de fabrikant verantwoordelijk voor de beveiliging, de betrokken fabrikant legt de verantwoordelijkheid neer bij de installateur of gebruiker. In Nederland houdt het ministerie van Economische Zaken in de gaten of het nodig is de beveiliging van zonnepanelen te verbeteren.

In de ogen van de pannelleden is verbetering per direct noodzakelijk voordat het black-out scenario dat Willem schetst werkelijkheid wordt. Het structureel verbeteren van de beveiliging van PV-installaties verdient (internationale) aandacht. Dit is exact de reden waarom, met in acht name van de leidraad responsible disclosure van NCSC, de onderzoeksresultaten van Willem ‘wereldkundig’ zijn gemaakt.

Er is niet één verantwoordelijke voor de beveiliging van PV-installaties. Alle betrokkenen, van fabrikant tot gebruiker, hebben hun eigen verantwoordelijkheid. Basis is een inherent veilige omvormer. ITsec heeft inmiddels het initiatief genomen om samen met SolarEdge een internationale standaard te definiëren voor de beveiliging van omvormers. Uiteindelijk moet er in onze ogen een veiligheidsnorm komen voor de omvormers van zonnepanelen.

Hoe verbeter je de beveiliging van omvormers?

De panelleden sluiten de discussie af met een aantal concrete maatregelen waarmee particulieren, bedrijven, installateurs, projectontwikkelaars, netbeheerders en/of fabrikanten de beveiliging van omvormers nu al kunnen verbeteren:

  • Verbind omvormer bij voorkeur niet met het internet.
  • Wanneer de omvormer wel is verbonden met het internet, plaats het apparaat in een afgeschermd netwerksegment en beperkt de communicatiemogelijkheden van het apparaat met een firewall.
  • Bewaak de beveiliging van de omvormer door te kijken naar bijvoorbeeld verdacht netwerkverkeer.
  • Gebruik ‘veilige instellingen’. Schakel onder meer functionaliteit van de omvormer die niet noodzakelijk is uit en vervang alle standaardwachtwoorden voor sterke wachtwoorden.
  • Zet hackers in om de beveiliging van de PV-installatie regelmatig te testen.

Meer weten over cybersecurity en het voorkomen van kwetsbaarheden? Neem vrijblijvend contact op met een van onze adviseurs/hackers.

SolarEdge
SolarEdge is een toonaangevende fabrikant van zogenaamde omvormers. Vooral in de particuliere markt is het bedrijf, naast bijvoorbeeld SMA, een van de marktleiders.

Solarplaza
Solarplaza, is een bedrijf, dat als doel nastreeft de wereldwijde PV-industrie te inspireren, te verbinden en te activeren. Hiertoe organiseert Solarplaza bijvoorbeeld conferenties en handelsreizen. Het basis kanaal van het bedrijf is solarplaza.com, een onafhankelijk platform voor kennis, nieuws en netwerken.

Contactformulier

Meer artikelen

Bekijk al het nieuws