De Rijksinspectie Digitale Infrastructuur (RDI), voorheen Agentschap Telecom, maakt zich ernstige zorgen om een groot deel van de zonnepaneelomvormers op de markt. Geen van de door de RDI onderzochte apparaten voldoet aan de cyberveiligheidseisen. Kwaadwillenden kunnen de apparatuur van afstand aan en uitzetten en zo pieken in het stroomnet veroorzaken waardoor het stroomnet kan uitvallen.
De RDI startte in 2021 een onderzoek om te kijken of de omvormers van zonnepaneelinstallaties wel voldoen aan de wettelijke eisen. Dat onderzoek richtte zich zowel op de mogelijkheid dat ze storing op andere toepassingen veroorzaken, als op de cyberveiligheid.
Er zijn negen omvormers onderzocht. Geen enkele van die onderzochte omvormers voldoet aan de cyberveiligheidsnorm. Ze zijn dus eenvoudig te hacken, van afstand uit te schakelen of in te zetten voor ddos-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen.
Cyberveiligheid
Omvormers zijn apparaten waarmee de energie die via zonnepanelen wordt opgewekt, wordt omgezet in bruikbare stroom voor in huis. Fabrikanten van producten die storing kunnen veroorzaken, zijn wettelijk verplicht om per direct passende maatregelen te nemen om te voorkomen dat zij nog storende producten verhandelen.
De eisen voor cyberveiligheid zijn echter pas vanaf 1 augustus 2024 actief, staat in een nieuwsbericht dat RDI vandaag heeft gepubliceerd.
‘De omvormers van zonnepanelen zijn zeer onveilig’, schrijft RDI in een rapport. De testresultaten van vier fabrikanten zijn volgens de rijksinspectie zelfs zeer kritiek voor de cyberveiligheid van het elektriciteitsnet, woningen en burgers.
Geen updates
De onderzoekers geven in het hoofdstuk over cyberveiligheid een overzicht aan wat er aan de omvormers mankeert. Zo hebben de apparaten zwakke standaardwachtwoorden en kunnen inloggegevens eenvoudig achterhaald worden. Het is niet bekend waar kwetsbaarheden bij de fabrikant zijn te melden. Er worden geen updates uitgegeven of updates zijn voor gebruikers niet eenvoudig te installeren. Daardoor is er een aanzienlijke kans dat verouderde en kwetsbare softwareversies actief blijven.
Ook schort er van alles aan de data-overdracht en privacy. Zo kunnen eigenaren hun persoonsgegevens en andere data niet verwijderen en blijven persoonsgegevens onterecht in het bezit van de leverancier. Veel apparaten worden één keer geconfigureerd door een installateur. Daarna worden meestal geen updates meer gedaan.
Stroomnet kan plat gaan
RDI: ‘Er zijn scenario’s denkbaar waarin omvormers op grote schaal worden uitgeschakeld. Voor individuele gebruikers wordt hierdoor zonne-energie misgelopen. Voor de gehele samenleving leidt dit ertoe dat het stroomnet wordt gemanipuleerd of er landelijk een (zonne-)energietekort is.
Ook kunnen digitaal kwetsbare omvormers worden ingezet voor een ddos-aanval waardoor websites of andere digitale toepassingen tijdelijk of langer onbruikbaar zijn of hier schade aan wordt toegebracht.’ Ze zagen ook dat sommige omvormers een continue wifi-hotspot zijn. ‘Deze zijn toegankelijk met een standaardwachtwoord. Dat standaardwachtwoord is in bepaalde gevallen eenvoudig te vinden via het internet in digitale handleidingen. Op deze manier kunnen personen die fysiek in de buurt zijn van zo’n omvormer, verbinden en de omvormer uitschakelen, manipuleren of misbruiken.’
Eerder bekend
Het beveiligingslek was binnen ethische hackerskringen al langer bekend. Vorig jaar zomer haalde Frank Breedijk van DIVD (Dutch Institute for Vulnerability Disclosure) nog het nieuws met een notificatie van een beveiligingslek in de omvormers van zonnepanelen.
RDI schrijft in zijn slotconclusie dat de mate van cyberveiligheid van omvormers, en daarmee zonnepaneelinstallaties, slecht is. ‘De wettelijke eisen hiervoor zijn weliswaar nog niet actief, maar ook nu vormen digitale kwetsbaarheden een groot risico. Met het toenemende aantal zonnepaneelinstallaties in Nederland, wordt de samenleving steeds afhankelijker van deze vorm van energievoorziening.’
Het is volgens de RDI onacceptabel dat producten die zo belangrijk zijn voor vitale processen, tal van onbeschermde digitale ingangen bevatten.
Er is dus apparatuur in omloop met een vervalste CE markering. Ik kan me voorstellen dat eigenaren van zonnepanelen nu even naar hun omvormers gaan kijken om na te gaan of dit het geval is voor hun specifieke omvormer, aangezien een CE markering ook wat eisen stelt aan bijvoorbeeld brandveiligheid of isolatie. Ik zou me als verzekeraar er ook van willen vergewissen dat geïnstalleerde apparatuur voldoet aan de eisen. Maak vervolgens installatiebedrijven bewust van de CE markering, maak ze aansprakelijk voor het installeren van ondeugdelijke apparatuur en er is in ieder geval een deel van het probleem opgelost.
Beginnersfouten. Wachtwoorden zijn niet handig. Iedereen. doet standaard.
Black. Box maken waar niemand in kan alleen output naar beveiligde omgeving maken maar dat kost wat.
Wordt niet gedaan om die reden.
Overheid loopt achter de feiten aan.
Dit probleem doet zich voor met enkel omvormers met een wifi module?…of ook zonder dat er een wifi stick in zit?…Dit is niet duidelijk in dit artikel
Je zonnepanelenproductie in de gaten houden kan bij sommige omvormers via hun schermpje: geen Wifi of ethernetaansluiting nodig. Andere omvormers hebben helaas geen schermpje, maar door af en toe naar hun controlelampje en in je eigen meterkast te kijken kun je zien of panelen en omvormer normaal produceren. Uit mijn omvormer-met-schermpje heb ik het Wifi kaartje met antenne verwijderd: via mijn computer was daarvóór evenveel relevante informatie zichtbaar als op het schermpje van de omvormer zelf. Mijn andere, zonder schermpje, heeft geen Wifi en daarvan heb ik de Ethernetpoort ongebruikt gelaten. Naar mijn mening heeft het nauwelijks toegevoegde waarde om allerlei gewone huis-/tuin- en keukeninformatie via de internetomweg te bekijken. Mijns inziens behoort de mogelijkheid van rechtstreekse informatie via betreffende apparaat altijd mogelijk te zijn: mijn 2e omvormer schiet hierin tekort. Maar dit werkt voldoende en ze zijn beide niet te hacken.
Typisch een probleem dat je bij IoT tegenkomt; lage tot afwezige beveiligingsnormen. De CE markering is niet meer dan een zelf opgesteld conformiteitsverklaring, geen certificaat van een gelicenseerde instantie (die tegenwoordig uit economische noodzaak ook wel een oogje moet toeknijpen). Een CE-markering onterecht kan door de fabrikant onterecht aangebracht worden. Als leverancier en koper goed kijken naar welke wettelijke normen wordt verwezen (Besluit radioapparaten 2016 en het Besluit elektromagnetische compatibiliteit 2016 gebaseerd op Europese Radioapparatenrichtlijn 2014/53/EU en EMC-richtlijn 2014/30/EU). Je moet hopen dat leveranciers, importeurs hun verantwoordelijkheid nemen en zelf testen. Omvormers die nu storingen kunnen veroorzaken, moeten in Nederland of aangepast of vervangen worden.
Te hopen is dat fabrikanten de nieuwe Radioapparatenrichtlijn 2014/53/EU a.s.a.p. hanteren, want deze gaat pas op 1 augustus 2024 in.
De zwakke schakel is in principe de klant met beperkte kennis, die gestimuleerd wordt om de elektriciteitsopbrengst via een app te bekijken. Het gaat om het beveiligingsbewustzijn van de installateur. Die kan er voor zorgen dat de installatie wordt geïnstalleerd met de laatste updates, een nieuw uniek sterk wachtwoord in plaats van een standaard wachtwoord van sommige fabrikanten (0000, 1111, 12345678). De klant moet een goede instructie krijgen om te zelf te kunnen zorgen voor sterke wachtwoorden (voor Wi-Fi omvormer en WLAN) en voor het updaten. En als wifi (evt via een accessoire) niet veilig te gebruiken is, dan dan deze beter niet installeren. Zie ook https://solarmagazine.nl/nieuws-zonne-energie/i27698/onderzoekers-hacken-42-000-nederlandse-installaties-met-zonnepanelen.
CE sticker is een license to sell binnen de Europese Unie welke inderdaad net zo nikszeggend is als allerlei zelfbedachte keurmerken welke als commercieel logo uitgebuit worden omdat de slager zijn eigen vlees keurt. Maar zoals ze zeggen over een markt, als er vraag naar is dan komt het aanbod vanzelf want het is vooral de overregulering die ervoor zorgt dat de consument door de bomen het bos niet meer ziet.
Vertrouwen is goed, controle is beter lijkt het me dus niet meer dan logisch dat consumenten een oogje op de opwekking willen houden want de energiemarkt is uiteindelijk een nogal opportunistische markt. Rendement op de investering blijkt niet uit real-time schermpje doordat deze geen trend aangeeft welke je makkelijker uit kunt lezen met een grafiek dan een tabel. En dat de IoT van een dashboard in de cloud nadelen heeft zoals een slechte beveiliging is net als met SNMP enigszins afhankelijk van de dataflow.
https://www.rtlnieuws.nl/tech/artikel/5322854/hacker-kon-tienduizenden-zonnepanelen-saboteren-door-rondslingerend-wachtwoord
Hele verhaal wordt natuurlijk anders als je – via een serviceaccount – de software aan kunt passen, bijvoorbeeld omdat je moet patchen want de gemiddelde consument is geen actieve beheerder. En dezelfde consument zal dus ook niet snel standaard wachtwoorden veranderen waardoor hackers alleen maar de handleiding hoeven te lezen om toegang te verkrijgen als het om de rondslingerende wachtwoorden gaat want van de wachtwoorden zijn we nog lang niet af.
De CE sticker is sowieso een tricky dingetje … Veel mensen kijken er weliswaar naar, maar weten het Conformité Européenne logo niet te onderscheiden van het China Export logo ….