Het Internet of Things klinkt lekker abstract en ver van je bed, maar het wordt een stuk minder abstract als het om je eigen huis gaat. Je warme douche, je internetverbinding, je stroomvoorziening. Dan is het internet of things ineens geen ding, maar de toegangspoort tot primaire levensbehoeften. Laat je die poort openstaan of gaat er een slot op? En wie zet dat slot erop?

Vorig jaar kon een ethisch hacker zonder problemen duizenden omvormers van zonnepanelen hacken. Tienduizenden zonnepaneelinstallaties in Nederland en een miljoen wereldwijd waren kwetsbaar voor sabotage. Een Chinees bedrijf dat monitoringssoftware voor omvormers levert, liet een wachtwoord voor een online-controlepaneel rondslingeren op het internet. Kwaadwillenden hadden de apparaten kunnen uitschakelen of de software kunnen aanpassen, waardoor brandgevaar zou kunnen ontstaan.

Digitale dreiging
De energietransitie en de digitale transitie zijn onlosmakelijk met elkaar verbonden. Digitalisering levert namelijk een onmisbare bijdrage aan het versnellen van de energietransitie, maar het brengt ook een verhoogd risico met zich mee. Om ongestoord te kunnen functioneren, moeten we onze samenleving zo goed mogelijk beschermen tegen digitale dreiging.

Dit vraagt om een robuuste infrastructuur die goed beveiligd moet zijn tegen digitale criminaliteit. Want de slimme apparatuur die bij de energietransitie gebruikt wordt, zoals laadpalen, warmtepompen en omvormers, moet digitaal veilig zijn.

Er zijn steeds meer data beschikbaar
Steeds meer mensen hebben een slimme meter, een zelfdenkende thermostaat of een elektrische auto. Netbeheerders beschikken over weersvoorspellingen, historische verbruiksdata en gegevens over waar veel mensen wonen die elektrische auto’s of zonnepanelen hebben. Dit soort data kunnen gebruikt worden om consumenten energiebesparingsadvies te geven, om nauwkeuriger voorspellingen te doen over aanbod en verbruik of om real time bij te sturen.

Maar het is dankzij intelligente energienetten ook mogelijk minder of later te investeren in dure extra kabels. Intelligente energienetten maken het namelijk mogelijk om decentrale opwekking, opslag van energie en elektrisch vervoer efficiënter in te passen en de vraag naar stroom bij gebruikers te sturen.

Elektriciteitscentrale op afstand uitzetten
Bij bijna alles maken we tegenwoordig gebruik van de digitale snelweg. Maar wat als deze digitale snelweg wordt gebombardeerd door cybercriminelen? Als de elektriciteitsvoorziening in een wijk via de software van omvormers wordt platgelegd, of erger nog, die van een ziekenhuis.

Wat als een elektriciteitscentrale op afstand wordt uitgezet? Dat dit onderdeel kan worden van oorlogsvoering bleek toen in 2015 vlak voor kerst honderdduizenden Oekraïners in het donker werden gezet. Hackers zetten via het gebruik van malware de stroom uit. Naar verluidt was dit het werk van de Russische inlichtingendienst, die vanwege het conflict tussen beide landen Oekraïne als test case zagen om hun cybervaardigheden te demonstreren.

Industriële processen, gebouwbeheer - en smart home systemen
Ook Techniek Nederland merkt dat er vanuit installateurs regelmatig vragen komen over cybersecurity in relatie tot operationele technologie (OT). Door de snelle ontwikkelingen ontbreekt actuele kennis over de veranderende wet- en regelgeving rondom cybersecurity voor de OT en eventuele keteneffecten.

Tot voor kort was de cybersecurity aanpak met name gericht op IT-systemen en niet op OT- systemen. Maar er zijn steeds meer systemen die worden gebruikt voor de aansturing van industriële processen, gebouwbeheersystemen en smart home of smart building systemen die ook beschermd moeten worden.

Cloud-infrastructuur vaak afkomstig van buiten Europa
Door de sterke groei van al deze slimme apparaten die allen gekoppeld zijn aan het internet neemt het risico op cyberincidenten zoals DDOS-aanvallen en hacking toe. Veel van deze applicaties draaien in de cloud en deze cloud-infrastructuur is niet altijd afkomstig uit Europa. En dit kan een risico vormen bij kritieke infrastructuren zoals energienetwerken. 

Vorig jaar presenteerde de Europese Commissie een EU-actieplan voor de digitalisering van ons energiesysteem met daarin een grote rol voor cyberbeveiliging van energienetten. Die wil men  verhogen door nieuwe wetgeving, waaronder een netcode voor de cyberbeveiliging van grensoverschrijdende elektriciteitsstromen.

Standaard fabriekswachtwoorden verboden
De RDI (Rijksinspectie Digitale Infrastructuur, voorheen het Agentschap Telecom) speelt hier een grote rol in voor ons land. Zij voert de wet- en regelgeving uit op dit gebied. En ze houden er toezicht op dat iedereen zich aan de regels, eisen en voorwaarden houdt. RDI heeft als enige in Nederland een federaal IoT (Internet of Things)-testlab waar de digitale veiligheid van slimme apparatuur wordt onderzocht.

Zo stellen zij dat, om consumenten beter te beschermen tegen cyberaanvallen, standaard fabriekswachtwoorden verboden moeten worden. Ook zou het installeren van updates geautomatiseerd moeten verlopen en moeten fabrikanten beveiligde verbindingen gebruiken en geen onnodige verbindingen toestaan.