Slechte beveiliging van omvormers

Uit onderzoek van de RDI blijkt dat omvormers van zonnepanelen vaak slecht beveiligd zijn en daardoor zeer vatbaar voor hacks en storingen. Geen van de onderzochte omvormers voldeed op dat moment, aan de geldende veiligheidsnormen die per 1 augustus 2024 van kracht zijn. In het geval van een hack kunnen deze systemen eenvoudig op afstand worden in- en uitgeschakeld, waardoor in theorie heel Nederland zonder stroom zou kunnen komen te zitten. RDI onderzocht de 8 meest verkochte merken omvormers.

Wereldwijde toegang tot zonnepanelen

Ethische hackers hebben ook aangetoond dat het mogelijk is om toegang te krijgen tot zonnepanelen wereldwijd. Het grootste gevaar schuilt erin dat als duizenden huizen tegelijk worden uitgeschakeld, het energienet ontregeld kan raken. Dit kan leiden tot overbelasting van transformatorstations, die mogelijk doorbranden. Bij een grote aanval zouden hierdoor zelfs grote gebieden zonder stroom kunnen komen te zitten, met verstrekkende gevolgen voor miljoenen computersystemen en bedrijven. Bovendien is het herstellen van een dergelijk incident complex, omdat het besturingssysteem van de omvormers aangepast kan worden tijdens een hack.

Aansporing tot actie

De waarschuwing van de Rijksinspectie Digitale Infrastructuur (RDI) fungeert als een dringende oproep aan brancheverenigingen, fabrikanten en andere betrokkenen in de zonne-energie sector om onmiddellijk actie te ondernemen. Er wordt sterk benadrukt dat er meer aandacht moet worden besteed aan de beveiliging van zonnepanelen en de bijbehorende omvormers. Dit vraagt om een gezamenlijke inspanning van de industrie om kwetsbaarheden in de software en hardware op te sporen en op te lossen. Producenten moeten prioriteit geven aan het implementeren van strengere veiligheidsprotocollen en geavanceerde encryptie in hun producten, zodat ze bestand zijn tegen mogelijke aanvallen van kwaadwillende hackers.

Geen reden tot paniek

Hoewel dit scenario verontrustend klinkt, is er geen reden tot paniek. Ethische hackers schatten de kans op een grootschalige aanval klein in, vooral vanwege de complexiteit van zo'n operatie. Elke woning heeft namelijk een andere omvormer, wat het hackproces bemoeilijkt. Bovendien zijn er sinds augustus strengere regels ingevoerd omtrent de cyberveiligheid van zonnepanelen, wat de beveiliging verder versterkt. Het onderzoek is uitgevoerd voor deze datum en inmiddels hebben fabrikanten hun leven al gebeterd.

Wat kun je zelf doen?

De fabrikanten en installateurs hebben de meeste invloed op het beveiligen van de omvormers en opgeslagen data. Deze wordt namelijk door hen uitgelezen, gemonitord en bewaard. Zorg er samen met de installateur voor dat de volgende aspecten op orde zijn:

Gebruik extra sterke, unieke wachtwoorden
Voer tijdig software updates uit
Gebruik een versleutelde verbinding
Controleer en rapporteer kwetsbaarheden
Sluit onnodige "ingangen" tot data
Maak verwijderen gebruiksgegevens mogelijk
Maak wijzigen gegevensbescherming mogelijk
Beveilig je thuisnetwerk (firewall)

RDI: Rapport Digitale Infra (2023)
Secura: Rapport Cyberweerbare zonnestroom (2024)

Bron: RDI, RVO, Secura

  • Jouw feedback
  • 15   1

8 reacties op “Hacken van zonnepanelen blijkt eenvoudig”

  1. Arnold

    Beste lezers,
    Het artikel is geüpdatet met een aantal dingen die je samen met de installateurs/leverancier kunt controleren. De merken van de omvormers zijn door het RDI niet kenbaar gemaakt in het rapport. Het gaat echter om de 8 meest verkochte merken. Grote merken zijn bijvoorbeeld: SMA, Solar Edge, Enphase, GoodWe Growatt en Huawei. Bedankt voor jullie feedback!

  2. Edwinb

    Het artikel is nuttig als waarschuwing, maar zou beter zijn als er ook bij vermeld wordt welke merken niet of onvoldoende beveiligd zijn en wat je er zelf aan zou kunnen doen om het te verbeteren.
    Dit is echt te algemeen en veroorzaakt misschien onnodige onrust.

  3. G. Molema

    Ik heb mijn omvormers in een apart segment op de router gezet. Dus helemaal los van mijn privérouter-omgeving. Mocht de hacker toch binnenkomen dan heeft hij minder rechten dan ikzelf heb. En ik kan dat gedeelte vrij eenvoudig uitschakelen. Daarnaast is de leverancier natuurlijk ook medeverantwoordelijk. Dus in mijn geval zal ik SolarEdge moeten vragen wat zij doen om de omvormers veilig te houden. Zijn er updates, zo ja, wat betekent dit voor mij en moeten deze geïnstalleerd worden? Wellicht op afstand of met ondersteuning van. En als wij dit met elkaar doen, en de verantwoordelijkheid ligt volgens NIS2 bij de leverancier, moet de leverancier wel iets doen. Zo niet, dan krijgt ie na de invoering geen klanten meer.

  4. Kees

    Waarom omvormer aan Internet hangen? Ding werkt ook zonder Internet.

  5. Christiaan Boer

    Goed “bewust zijn”-alert is dit artikel, maar waar blijven de tips en trucs van de ethical hackers of op z’n minst een soort van checklist met zelf uit te voeren acties om ‘überhaupt’ de cybersecurity thuis op orde te hebben?
    Nu heb ik het onrust gevoel dat ik ergens iets tekortschiet, terwijl ik niet de kennis/ervaring heb om mij tegen “het grote boze gevaar” te wapenen (of ten minste een poging doen).

  6. Bert

    Het gaat mij niet eens zozeer om de kans op een grootschalige aanval, maar hoe los je dit thuis op?

  7. TCG Jeukens

    Jammer dat in de ‘aansporing tot actie’ het initiatief wordt gelegd bij ‘anderen’ … terwijl wij ‘zelf’ energie produceren. Wat kan ik zelf doen?

  8. L. van Andel

    en hoe kan ik ‘m nu beveiligen? Interessant artikel maar dit zet niet aan tot het doen van “iets”.

Geef een reactie