‘Er moet meer bewustzijn komen voor cyberaanvallen in de energiesector’

27.09.2024 Sjoerd Rispens

‘Er moet meer bewustzijn komen voor cyberaanvallen in de energiesector’

Niet iedereen is zich ervan bewust, maar slimme sturingssystemen van bijvoorbeeld warmtepompen, zijn heel gevoelig voor cyberaanvallen. Een hacker met kwaad in de zin kan op die manier tientallen mensen in de kou zetten. En daar zou volgens Soe van Dijk, programmacoördinator Digitalisering bij Topsector Energie, meer aandacht voor moeten zijn. Nieuwe veiligheidsmaatregelen die de komende jaren in gaan zijn nog niet genoeg, schrijft ze in een proposition paper.

“Ik denk dat bedrijven hier weinig aandacht voor hebben omdat de meesten vooral bezig zijn om producten op de markt te zetten”, zegt Van Dijk. “Dat geldt vooral voor de kleinere bedrijven. Grotere energieproducenten moeten aan veiligheidsregels voldoen en hebben vaak een aparte afdeling voor cybersecurity. Ik hoop meer bewustzijn te creëren met mijn proposition paper en het gesprek hierover op gang te brengen.”

Hoe kwetsbaar zijn deze apparaten dan precies? Van Dijk: “Secura heeft recent onderzoek gedaan naar de kwetsbaarheden van omvormers en eerder is door anderen onderzoek gedaan naar warmtepompen. Dat je bijvoorbeeld het wachtwoord voor je warmtepomp of omvormer niet kan aanpassen is een zwakte. Ook kunnen er fouten zitten in de software of firmware van een apparaat, maar laten beveiligingsupdates die zoiets oplossen soms lang op zich wachten. Verder vormen de Cloudportalen waar deze apparaten mee verbonden zijn een zwakke plek en zie je ook dat de communicatie tussen het apparaat en de Cloud-omgeving vaak onbeveiligd is, iets waar een kwaadwillende hacker gemakkelijk misbruik van kan maken. De vraag of een warmtepomp wel een internetverbinding moet hebben is eentje waar discussie over mag zijn.”

“Een belangrijke kanttekening in dit verhaal is bovendien dat de nieuwe veiligheidseisen niet voor de warmtepompen gelden die nu in de schappen liggen”, waarschuwt Van Dijk. “Dat zijn zogeheten legacy-systemen. Die blijven een risico vormen, aangezien mensen niet elk jaar een nieuwe warmtepomp kopen.”

Cyberaanvallen
Maar hoe zorgelijk is dit nou? Het is niet zo dat hackers dagelijks op grote schaal apparaten uitschakelen. “Het onderzoek van Secura liet zien dat de energiesector op dit moment nog geen specifiek doel is van hackers”, erkent Van Dijk. “Maar hoe belangrijker deze sector wordt voor het energiesysteem, hoe groter de kans op cyberaanvallen. En er zijn wel degelijk kleinschalige aanvallen geweest, zo hebben inwoners van twee flatgebouwen in Finland al eens in de kou gezeten, toen een facilitair bedrijf getroffen werd door een cyberaanval. Momenteel wordt een op de vijf Nederlandse bedrijven getroffen door een cyberaanval.”

“Je hebt ook activistische hackers die bedrijven aanvallen. Dat gebeurde laatst bij een Israëlische leverancier. De hackgroep stuurde een pro-Palestina boodschap mee”, zegt de coördinator. “Het energienet van Oekraïne wordt ook constant aangevallen, zo is de stad Lviv al eens grootschalig getroffen waarbij honderden mensen zonder verwarming zaten. Ik wil zeker geen paniekboodschap uitdragen, maar mensen moeten er rekening mee houden dat cyberaanvallen invloed hebben op de energievoorziening.”

In 2021 activeerde de Europese Commissie drie nieuwe eisen op het gebied van cybersecurity die vanaf 2025 in dce hele EU zullen gaan gelden. Dat gebeurde via een aanpassing in artikel 3.3 van de Richtlijn Radioapparatuur (‘RED 3.3’). Als bedrijven een apparaat op de markt willen brengen na 1 augustus 2025, moeten ze laten zien dat ze aan de eisen veiligheidseisen voldoen.

De eisen moeten ervoor zorgen dat netwerken beter worden beveiligd en dat slimme apparaten geen onderdeel meer kunnen worden van een botnet. Als een apparaat op een botnet komt, is er malware op de software geplaatst en wordt het onderdeel van een veel groter netwerk.

Van Dijk is blij dat de regeling er komt, maar deze is in haar ogen nog niet genoeg. “DE RED kijkt naar een apparaat en stelt bijvoorbeeld de eisen aan wachtwoorden het updatebeleid. Maar backofficeomgeving wordt niet meegenomen. Daar komen wel eisen voor, maar pas als de Cyber Resiliance Act in 2027 in gaat.”

Wet en regelgeving
De Cyber Resiliance Act stelt veiligheidseisen aan alle producten met digitale elementen. “Dat vind ik een hele goede zaak”, aldus Van Dijk. “Het is bij de Cyber Resiliance Act nog niet helemaal duidelijk hoe die eruit komt te zien. Anderzijds, je moet ergens beginnen. Bedrijven kunnen niet van 0 naar 100.”

Kunnen deze veiligheidseisen sneller worden ingevoerd? “Het is best een flink proces voordat je tot wet- en regelgeving komt”, zegt Van Dijk. “Bovendien is een goede en duidelijke norm op dit gebied echt onmisbaar, hoe lang het proces ook duurt.”

“Ik zou graag meer aandacht en veiligheidseisen willen voor home energy systemen”, zegt Van Dijk desgevraagd. “Wat er nu voornamelijk gebeurt is dat je kwetsbare systemen met elkaar gaat verbinden. Dat is een groot risico. Ik wil daar graag meer onderzoek naar doen. Op 10 oktober, tijdens de Smart Energy Day in Arnhem, ga ik tijdens de ochtendsessie meer vertellen over cyberveiligheid.”

De coördinator is positief gestemd wat betreft de toekomst. “Ik merk dat er veel gebeurt. In het nieuws is er meer aandacht voor cyberbedreigingen, ook door geopolitieke ontwikkelingen.”