November/December 2024
Cybersecurity: cruciaal voor installateurs pv-systemen
De afgelopen jaren is het aantal zonnestroominstallaties enorm gegroeid. Dat bracht – en brengt – voor installateurs niet alleen kansen, maar ook uitdagingen. Vooral op het gebied van cybersecurity. John van Vugt van Techniek Nederland benadrukt dat de bewustwording rondom cybersecurity in de operationele techniek nog onvoldoende aanwezig. Hij is dan ook blij met het onlangs verschenen rapport ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties’.
Zonnestroominstallaties, oftewel pv-installaties, vormen tegenwoordig een integraal onderdeel van onze energie-infrastructuur. Zoals uit het rapport ‘Scenario’s en Maatregelen voor Cyberweerbare Zonnestroominstallaties’ blijkt, is het zogeheten ‘cyberaanvalsoppervlak’ van deze systemen aanzienlijk. Met andere woorden, cybercriminelen zien talloze kansen om in dit soort installaties in te breken.
Dit komt vooral door de toenemende complexiteit en connectiviteit van pv-systemen. De systemen zijn immers vaak verbonden met andere systemen en apparaten in een woning of bedrijfspand, waardoor een enkele kwetsbaarheid in bijvoorbeeld de toegang-op-afstand tot de omvormer kan leiden tot toegang tot andere kritieke systemen. Denk hierbij aan slimme meters of thuisbatterijen. In een kantoorgebouw is het zelfs niet uit te sluiten dat een cybercrimineel via de pv-installatie toegang weet te krijgen tot bijvoorbeeld de financiële administratie van de eigenaar of een huurder. Alles is tegenwoordig immers met alles verbonden.
Het rapport onderstreept dat Nederland voor een stabiele energievoorziening steeds meer afhankelijk is van de nu meer dan drie miljoen pv-installaties. Dit maakt de impact van een grootse cyberaanval mogelijk desastreus. Een succesvolle aanval kan niet alleen leiden tot economische schade, maar ook tot fysieke schade aan de installaties zelf of andere apparaten die op dezelfde netwerken zijn aangesloten. Bovendien zou de verstoring van pv-installaties op grote schaal gevolgen kunnen hebben voor de stabiliteit van het Nederlandse stroomnet.
De dreiging van georganiseerde misdaad en zogeheten ‘statelijke actoren’ neemt alleen maar toe.
‘Hackable’ pv-installaties
John van Vugt van Techniek Nederland vergelijkt de energievoorziening van steeds meer woningen en gebouwen graag met een rotonde van energieaanbod en -afname. Er zijn talloze verbindingen naar buiten, maar diezelfde verbindingen kunnen ook van buitenaf gebruikt worden om binnen te dringen. Dit maakt pv-installaties – maar dit geldt uiteraard voor alle digitale systemen die een plek op deze rotonde hebben gekregen – kwetsbaar voor hackers.
De rol van installateurs wordt hierbij steeds groter. Zij installeren tegenwoordig immers niet alleen de panelen en de bijbehorende omvormers en andere componenten, maar zorgen steeds vaker ook voor beheer-op-afstand. Hierbij wordt het voor installateurs dus cruciaal dat ook hun eigen ICT-omgeving veilig is. En dat is zeker nog niet altijd het geval. Uit de eerste cyber-IT scans die Techniek Nederland heeft laten uitvoeren, is gebleken dat veel installateurs weliswaar aandacht besteden aan het sluiten van kwetsbare poorten in hun internetverbindingen, maar ook dat er nog de nodige verbeterpunten zijn.
Niet-afgesloten poorten maken het voor cybercriminelen heel makkelijk om via die weg toegang te krijgen tot onder andere pv-installaties waar installateurs op afstand op kunnen ‘inbellen’. Hierdoor kan een gevaarlijke situatie ontstaan, zo staat in het genoemde rapport. In een scenario waarin bijvoorbeeld meerdere woningen een eigen thuisbatterij hebben of zijn aangesloten op een gedeelde wijkbatterij, kan een enkele cyberaanval in één woning een domino-effect veroorzaken. Dit zou in het ergste geval zelfs een hele wijk kunnen platleggen wat betreft energievoorziening.
‘Hoewel thuis- en wijkbatterijen nog niet wijdverspreid zijn, is het belangrijk hier nu al over na te denken en preventieve maatregelen te nemen,’ stelt Van Vugt. Hij benadrukt dat de maatschappelijke impact van een dergelijke aanval groot kan zijn. Vergeet ook niet dat hackers die op grote schaal inbreken op pv-installaties, deze bijvoorbeeld kunnen in- en uitschakelen, wat zelfs tot brand zou kunnen leiden.
Talloze verbindingen maken pv-systemen kwetsbaar voor hackers
Maatregelen
Techniek Nederland heeft niet voor niets het programma ‘Cyberweerbaarheid operationele techniek’ opgezet, met als doel installateurs te ondersteunen bij het verhogen van hun kennis en vaardigheden op het gebied van cybersecurity. Dit programma bevat tevens een toolkit met onder andere een opleidingsmodule en checklists voor gesprekken met klanten. De toolkit zal eind van dit jaar beschikbaar zijn. De checklists bevatten essentiële vragen die installateurs moeten stellen, zoals hoe wachtwoorden op een veilige manier worden beheerd, hoe veilig wordt gecommuniceerd met klanten en welke cybersecuritymaatregelen onderdeel van de offerte moeten zijn.
De toolkit biedt naast technische tips en richtlijnen ook praktische adviezen om cybersecurity te integreren in het dagelijkse werk van installateurs. Bijvoorbeeld: bij offerteaanvragen zou cybersecurity standaard een onderwerp van gesprek moeten zijn. Dit is niet langer een extraatje, maar een noodzakelijke overweging, aangezien de meeste pv-installaties verbonden zijn met het internet. Het rapport beveelt aan dat installateurs vanaf het begin van een project moeten nadenken over hoe een veilige verbinding kan worden opgezet tussen de klant en de installateur, vooral wanneer er op afstand moet worden ingelogd om de installatie te beheren.
Een onbeveiligde verbinding met een omvormer kan tot grote problemen leiden.
Conclusies en tips
De belangrijkste conclusie uit het rapport ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties’ is dat de risico’s van cyberaanvallen op zonnestroominstallaties reëel en potentieel zeer ernstig zijn. De dreiging van georganiseerde misdaad en zogeheten ‘statelijke actoren’ (denk aan cybercriminelen die in opdracht van een land als Rusland maatschappelijke onrust proberen te veroorzaken), maar ook individuele hackers neemt toe, mede doordat de pv-industrie steeds afhankelijker wordt van ‘connected’ systemen. De potentiële schade omvat niet alleen economische verliezen, maar ook fysieke schade aan apparatuur en verstoringen in het elektriciteitsnet.
Cyberaanvallen op pv-installaties reëel en potentieel zeer ernstig
Het rapport biedt ook concrete tips voor installateurs:
• Beveilig verbindingen: Zorg ervoor dat alle verbindingen met de pv-installatie goed beveiligd zijn, vooral wanneer er op afstand toegang tot de installatie nodig is.
• Gebruik sterke wachtwoorden: Adviseer klanten altijd om standaard wachtwoorden te wijzigen en gebruik waar mogelijk multifactorauthenticatie waarbij naast inlognaam en wachtwoord bijvoorbeeld ook een sms met een code nodig is om toegang te verkrijgen tot een installatie.
• Integreer cybersecurity in offertes: Maak cybersecurity tot een standaard onderdeel van de offerte en bespreek het belang ervan met de klant vanaf het eerste contact.
• Zorg ervoor dat software up-to-date is: Zorg ervoor dat alle firmware regelmatig wordt geüpdate en dat er geen verouderde, kwetsbare systemen actief blijven. Zorg er ook voor dat de andere software die het bedrijf toepast altijd up-to-date is. Cybercriminelen kunnen immers ook via bijvoorbeeld ‘lekke’ mailprogramma’s of spreadsheetsoftware inbreken.
• Vergroot de bewustwording: Creëer bewustzijn bij klanten over de risico’s van slecht beveiligde systemen en de gevolgen daarvan voor zowel de individuele woning als de bredere infrastructuur.
Toekomstige uitdagingen
Hoewel wijkbatterijen en geavanceerdere smart grid-technologieën nog in de kinderschoenen staan, zullen ze de komende jaren naar verwachting een steeds grotere rol gaan spelen in de energievoorziening. Dit vereist een gezamenlijke inspanning van fabrikanten, consumenten, de overheid én installateurs om cyberweerbaarheid op te bouwen. Zoals het rapport stelt: ‘Iedereen heeft een rol in de totale cyberweerbaarheid van het stroomnet.’
John van Vugt: ‘Techniek Nederland onderkent als geen ander het belang van cybersecurity en wil daarom een voortrekkersrol spelen in het vergroten van deze bewustwording. Het is uiteindelijk echter aan de individuele installateur om deze kennis in de praktijk te brengen. De komende jaren zullen bepalend zijn voor de vraag hoe goed de sector kan omgaan met de groeiende dreigingen.’
Aansprakelijkheid en voorlichting
Een belangrijk punt van aandacht bij pv-installaties en cybersecurity is de aansprakelijkheid van installateurs wanneer er iets misgaat. John van Vugt van Techniek Nederland geeft aan dat dit ook onderdeel is van het programma ‘Cyberweerbaarheid operationele techniek’. Installateurs dienen proactief klanten te informeren over de risico’s en te adviseren over het belang van een goede beveiliging van de pv-installatie.
Tegelijkertijd is het van belang dat installateurs zelf goed op de hoogte zijn van de beveiligingsopties die door fabrikanten worden aangeboden, zodat zij klanten optimaal kunnen ondersteunen.
Zoals het onlangs gepubliceerde rapport ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties’ aangeeft, ligt de verantwoordelijkheid voor de beveiliging van pv-installaties bij meerdere partijen. De overheid heeft zich tot nu toe vooral gericht op vitale infrastructuren, maar de dreiging voor consumenten mag niet worden onderschat. Een enkel huis kan een toegangspoort vormen naar grotere delen van het energienetwerk, wat een risico vormt voor zowel die ene bewoner als de bredere samenleving.
Tekst: Robbert Hoeffnagel
Fotografie: iStock
Lees meer artikelen in het dossier Beveiliging