Het zit goed mis met de bescherming van zonnestroominstallaties tegen cyberaanvallen. Met name de internet-gekoppelde omvormers zijn een zwakke schakel. De meeste omvormers, inclusief sub-componenten en hardware modules, zijn van Chinese makelij. En dat is een extra gevaar.
Netbeheerders en beheerders van grote zonneparken zijn zich hier (vaak) al van bewust en hebben beleid om risico’s te beperken. Maar de sector kent steeds meer middelgrote en kleinere spelers, inclusief miljoenen consumenten en bedrijven die panelen op hun dak hebben, waar cybersecurity weinig tot geen aandacht krijgt.
Dit blijkt uit een onderzoek naar de veiligheid van zonnestroom dat cyberbeveiliger Secura samen met de Topsector Energie in opdracht van de Rijksdienst voor Ondernemend Nederland (RVO) heeft uitgevoerd.
Chinese stroom
De meeste omvormers hebben ook een directe verbinding met cloud-portalen die beheerd worden door dezelfde fabrikanten. Bekend is dat producenten zoals Huawei nauwe banden hebben met de Chinese overheid die veelvuldig gebruik maakt van staatshackers. Hoewel het rapport niet expliciet wijst op dit gevaar, wordt wel een duidelijke hint gegeven. De waarschuwing klinkt dat een steeds groter deel van de Nederlandse energievoorziening afhankelijk wordt van buitenlandse componenten en invloeden. ‘In die zin gaan we over van Russisch gas naar ‘Chinese’ stroom,’ aldus het rapport.
De onderzoekers noemen meer aandacht voor de bescherming van zonne-installaties tegen cyberaanvallen noodzakelijk. Wetgeving is in de maak, maar moet nog geïmplementeerd worden. Waar een energiecentrale strenge wetgeving heeft, kennen de kleine zonne-installaties nog (vrijwel) geen cyberwetgeving. Tegelijkertijd hebben die kleinschalige systemen samen bij elkaar opgeteld wél hetzelfde vermogen als zo’n energiecentrale.
Scenario’s
Aan de hand van verschillende scenario’s laat het onderzoek zien dat de potentiële impact van cyberaanvallen groot kan zijn met zowel maatschappelijke, fysieke als economische gevolgen. Wanneer een aanval op grote schaal gebeurt, waarbij omvormers op afstand onverwacht worden aan- of uitgezet, kunnen de gevolgen significant zijn.
Omdat zonnestroom een steeds groter onderdeel van onze energievoorziening wordt, kan dit de stabiliteit van het net in gevaar brengen en zorgen voor tijdelijke lokale of regionale stroomuitval. Kortdurende storingen kunnen een heftige impact hebben op de samenleving.
China en VS
Van de top elf (string)omvormer-fabrikanten komen alleen SMA en Power Electronics niet uit China. De huidige schattingen gaan ervan uit dat er in Nederland voor 75 procent gebruik gemaakt wordt van string-omvormers en 25 procent micro-omvormers. De grootste speler in Nederland voor micro-omvormers is Enphase die overigens niet uit China komt maar uit de VS.
Twee onderzoekers van het Dutch Institute of Vulnerability Disclosure (DIVD) ontdekten onlangs zes nieuwe zero-day kwetsbaarheden in Enphase IQ Gateway apparaten. Wietse Boonstra en Hidde Smit hebben deze in samenwerking met de leverancier openbaar gemaakt. Een patch is inmiddels beschikbaar.
Door de eerste drie kwetsbaarheden te combineren, kunnen cybercriminelen de volledige controle over de Enphase IQ Gateway en de aangesloten apparaten overnemen. Een gateway is alleen kwetsbaar als de Enphase-apparatuur is gekoppeld aan een niet-vertrouwd netwerk, zoals het openbare internet of een gastennetwerk thuis. Volgens de fabrikant zijn er zo’n vier miljoen systemen geïnstalleerd in meer dan honderdvijftig landen.
Verschillende routes
Het RVO-onderzoek schetst drie hoofdscenario’s met verschillende routes waarop cyberaanvallen op zonnestroominstallaties kunnen plaatsvinden. Bij een aanval via een cloudportaal kan een ransomware-bende meerdere accounts van grote installateurs overnemen en daarmee beheerders van zonneparken afpersen.
Een online software-update van omvormers geeft criminelen onbedoeld toegang tot de omvormers en kan ze daarmee stilleggen of beschadigen. Meest waarschijnlijk hierbij is dat tienduizenden omvormers met een standaard wachtwoord, dat bij installatie niet gewijzigd is, worden overgenomen door een botnet.
Een gerichte supply-chain-aanval door een statelijke actor is mogelijk als de geopolitieke spanningen door de verschillende oorlogen oplopen. In dit scenario gebruikt een land cyberwapens om de vitale infrastructuur aan te vallen door het overnemen van apparatuur.
Vorig jaar berichtte Computable ook al over dit vraagstuk naar aanleiding van Nederlands onderzoek.
NB Van het onderzoek is alleen een algemene versie openbaar. Voor dit artikel is ook gebruik gemaakt van een achtergronddocument voor experts met 27 verfijnde scenario’s die alleen op aanvraag beschikbaar is en niet vrij verspreid mag worden.