Recent zijn er in de Verenigde Staten communicatieapparaten aangetroffen in Chinese omvormers die mogelijk een veiligheidsrisico vormen. Dat meldde persbureau Reuters op basis van bronnen binnen de Amerikaanse energiesector. De ontdekking leidde in Nederland tot Kamervragen en zorgen over de cyberveiligheid van het eigen energiesysteem. Solar365 onderzocht de risico’s van hacks op zonne-installaties in Nederland en de mogelijke impact daarvan.

Volgens Reuters hebben Amerikaanse experts, die apparatuur op het stroomnet demonteren om op beveiligingsproblemen te controleren, communicatieapparaten aangetroffen in Chinese omvormers. Deze componenten stonden niet vermeld in de officiële productdocumentatie, wat vragen oproept over hun functie en herkomst.

Omvormers kunnen doorgaans van buitenaf worden aangestuurd via speciaal ontwikkelde protocollen die veilige in- en uitschakeling van zonnepanelen mogelijk maken. In de praktijk installeren Amerikaanse bedrijven firewalls om te voorkomen dat onbevoegden toegang krijgen tot deze systemen. De zorg is nu echter dat de niet-gedocumenteerde communicatieapparatuur mogelijk in staat is buiten deze firewalls om te communiceren. Daardoor zouden omvormers, en dus zonne-installaties, op afstand kunnen worden uitgeschakeld.

Effect op Nederland
De ontdekking in de VS leidde tot bezorgdheid in de Nederlandse politiek. Kamerleden Henri Bontenbal en Derk Boswijk (CDA) uitten zorgen over de afhankelijkheid van Chinese omvormers binnen Europa. Zij stellen dat dit grote risico’s kan opleveren voor de energie-infrastructuur en vroegen de regering of de AIVD aanleiding ziet om in te grijpen.

Daarnaast willen zij weten hoeveel Chinese omvormers er momenteel in Nederland zijn geïnstalleerd en in hoeverre Europese richtlijnen voor cybersecurity inmiddels zijn geïmplementeerd in nationale wetgeving.

Reactie vanuit de sector
Ook brancheorganisaties uit de solarsector trokken aan de bel. Holland Solar, NedZero, Energie Nederland en ESNL riepen de Tweede Kamer op om aanvullende maatregelen te nemen ter bescherming van het energiesysteem tegen cyberdreigingen.

De organisaties pleiten voor een vertaling van de Europese NIS2-richtlijn naar sectorspecifieke Nederlandse wetgeving. Zij stellen dat de huidige Cyberveiligheidswet, waarin NIS2 reeds is verwerkt, onvoldoende is toegespitst op de energiesector. Ook dringen zij aan op EU-brede eisen voor onafhankelijke keuring van omvormers op naleving van de Cyber Resilience Act (CRA).

De sector werkt daarnaast aan de oprichting van een ISAC (Information Sharing and Analysis Center) voor hernieuwbare energie. Binnen dit platform kan vertrouwelijke informatie over dreigingen en incidenten gedeeld worden.

Waar liggen de gevaren?
In augustus 2024 publiceerden cybersecurity-experts van Secura, in opdracht van de Rijksdienst voor Ondernemend Nederland en in samenwerking met Topsector Energie, een rapport waarin al werd gewaarschuwd voor kwetsbaarheden in zonne-installaties. Volgens Secura zijn er drie hoofdscenario’s voor cyberaanvallen op zonne-energie:

1. Toegang via cloudportalen
De meeste residentiële installaties zijn verbonden met een cloudportaal waarmee gebruikers hun opwek kunnen monitoren. Eindgebruikers kunnen hun installatie meestal niet op afstand uitschakelen, maar installateursaccounts bieden die mogelijkheid vaak wel. Als kwaadwillenden toegang weten te krijgen tot deze accounts, kunnen zij mogelijk duizenden installaties op afstand uitschakelen. Dit kan leiden tot verstoring van de energiemarkt.

Secura adviseert eindgebruikers hun wachtwoorden regelmatig te wijzigen en waar mogelijk gebruik te maken van tweestapsverificatie. Fabrikanten van omvormers dragen hierin ook verantwoordelijkheid: zij moeten zorgen voor een veilig cloudportaal met onder meer multifactorauthenticatie.

2. Kwetsbaarheid tijdens software-updates
Een tweede scenario betreft fouten tijdens software-updates. Hierbij kan het nodig zijn tijdelijk een netwerkpoort te openen, wat hackers een mogelijkheid kan bieden om toegang te verkrijgen. Dit type kwetsbaarheid is meestal tijdelijk, maar de impact hangt af van hoe snel de fabrikant de fout ontdekt en herstelt.

3. Statelijke actoren en supply-chain aanvallen
Het derde scenario betreft sabotage door statelijke actoren, bijvoorbeeld bij geopolitieke spanningen. Het rapport stelt dat: “Een van deze statelijke actoren besluit zich op de zonnesector te richten en voert een supply-chain aanval uit door het firmware-update mechanisme te compromitteren. Vervolgens wordt er een achterdeur in de nieuwe firmware van een sub-component geplaatst. Dit type sub-component wordt veel in grootschalige zonneparken gebruikt. Door deze achterdeur kan op een willekeurig moment op een later tijdstip volledige controle over de zonneparken en grote aantallen omvormers worden verkregen.”

Dit scenario lijkt op de situatie in de VS, waarbij de dreiging tijdig werd ontdekt. De potentiële impact is echter groot, vooral omdat het hier om grootschalige zonneparken gaat. Secura stelt dat: “De verstoringen kunnen zo groot zijn dat de regionale en zelfs landelijke stroomvoorziening (tijdelijk) onderuitgaat. Zowel de eigenaren van zonnestroominstallaties als andere burgers in de regio die getroffen is zullen zonder stroom zitten.”

Hoewel een grootschalige hack op zonne-energie in Nederland (vooralsnog) hypothetisch is, zijn de risico’s reëel. Experts en brancheverenigingen pleiten dan ook voor sectorspecifieke wetgeving, versnelde invoering van Europese richtlijnen en betere samenwerking op het gebied van cybersecurity. Voor fabrikanten, installateurs én eindgebruikers is er werk aan de winkel om hun installaties digitaal weerbaar te maken.