Agentschap Telecom onderzoekt cybersecurity omvormers zonnepanelen
Het Agentschap Telecom is een onderzoek gestart naar de cybersecurity van omvormers van zonnepanelen. Aanleiding is recent gepubliceerd onderzoek van het Dutch Institute for Vulnerability Disclosure (DIVD) dat zo'n één miljoen omvormers van zonnepanelen door een gelekt super-adminwachtwoord kwetsbaar voor sabotage waren. In een GitHub-repository vond een DIVD-onderzoeker een gebruikersnaam en wachtwoord om als superadmin op het beheerpaneel van Solarman in te loggen. Zo was het mogelijk om gegevens van duizenden Nederlandse gebruikers te zien, zoals namen en adressen.
Volgens minister Jetten voor Klimaat en Energie laat deze zaak zien dat dit soort IoT-apparatuur aan hogere veiligheidsnormen moet voldoen met het oog op de nationale veiligheid. "Internet of Things-apparaten, zoals de omvormers van zonnepanelen die beschreven zijn, kunnen een risico vormen voor het elektriciteitsnet als deze slecht beveiligd en grootschalig aan te sturen zijn", aldus Jette in een antwoord op Kamervragen van de VVD.
Om risico’s van deze apparaten te voorkomen en beperken wordt er volgens de minister ingezet op preventie, awareness en aanvullend wetgeving die producten softwarematig maar ook hardwarematig weerbaarder maakt tegen digitale aanvallen en mogelijk misbruik. Zo wordt gewerkt aan Europese wet- en regelgevingen om veiligheidsrisico’s te mitigeren.
Onder de Radio Equipement Directive (RED) zijn cybersecurityeisen als markttoegangseisen voor draadloos verbonden apparaten aangenomen. Omvormers vallen hier ook onder en zullen vanaf 1 augustus 2024 aan deze cybersecurityeisen moeten voldoen. Apparaten die niet aan de eisen voldoen kunnen vanaf dat moment door het Agentschap Telecom van de markt worden geweerd en gehaald.
In voorbereiding op het van kracht worden van de cybersecurityeisen onder de RED is het Agentschap Telecom naar aanleiding van de kwetsbaarheid bij Solarman een onderzoek ingesteld naar omvormers. De toezichthouder zal met de desbetreffende fabrikanten in gesprek gaan hoe verbeteringen van de cybersecurity gerealiseerd kunnen worden, aldus Jette.
Reacties (24)
Ik heb kort geleden - bij toeval - een aanval ontdekt op mijn omvormer die ik niet hier graag deel.
Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Dus Agentschap Telecom, ik vrees dat er meer werk op jullie zal afkomen.
Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Dus Agentschap Telecom, ik vrees dat er meer werk op jullie zal afkomen.
Raar bericht. Er zijn 1.5 miljoen zonnepaneelsystemen in Nederland. En daarvan zouden er 1 miljhoen van een-en-dezelfde leverancier komen?
Maak een wet dat alle omvormers veilig zijn, en zet vijftien jaar strafkamp op het ontkennen hiervan. Probleem opgelost, andere landen doen dit ook.
Ga zeker geen reverse engineering doen van de software en dat soort onzin. Strenge regelgeving is het enige wat werkt tegen de bedrijven die onveilige IOT produceren.
Ga zeker geen reverse engineering doen van de software en dat soort onzin. Strenge regelgeving is het enige wat werkt tegen de bedrijven die onveilige IOT produceren.
Jup, maar ook de configuratie door installateurs mag beter.
Na wat onderzoek zag ik een installateurs-handleiding van een bepaald installatiebedrijf, waarbij het wachtwoord uniek per omvormer werd ingesteld. Ik was positief verrast, behalve toen ik zag dat ze dit dus zélf deden (bewust, plus waarschuwing dat het wachtwoord voor de AP van de omvormer en web interface onveilig was als deze direct vanuit de fabrikant kwam).
Na het bekijken van de mobiele app, zag ik dat het apparaat ook nog verbonden was met een AP voor internet-connectiviteit. Handig, want het wachtwoord hiervoor werd plaintext weergegeven in de app.
Heb mijn buren dus geholpen want die hadden geen idee.
Na wat onderzoek zag ik een installateurs-handleiding van een bepaald installatiebedrijf, waarbij het wachtwoord uniek per omvormer werd ingesteld. Ik was positief verrast, behalve toen ik zag dat ze dit dus zélf deden (bewust, plus waarschuwing dat het wachtwoord voor de AP van de omvormer en web interface onveilig was als deze direct vanuit de fabrikant kwam).
Na het bekijken van de mobiele app, zag ik dat het apparaat ook nog verbonden was met een AP voor internet-connectiviteit. Handig, want het wachtwoord hiervoor werd plaintext weergegeven in de app.
Heb mijn buren dus geholpen want die hadden geen idee.
Door Anoniem: Raar bericht. Er zijn 1.5 miljoen zonnepaneelsystemen in Nederland. En daarvan zouden er 1 miljhoen van een-en-dezelfde leverancier komen?
"Een miljoen" in het artikel is een hyperlink. Klik daar even op en lees hoe het zit.Agossie. De overheid komt erachter dat de meuk uit China een risico is. Wat schattig.
Wake up: iedereen die er een beetje zicht op heeft, weet dit al 10+ jaar. Maar ondertussen wel doorgaan met digi-drammen hoor! Want het is zo veilig!
Wake up: iedereen die er een beetje zicht op heeft, weet dit al 10+ jaar. Maar ondertussen wel doorgaan met digi-drammen hoor! Want het is zo veilig!
Door Anoniem: Maak een wet dat alle omvormers veilig zijn, en zet vijftien jaar strafkamp op het ontkennen hiervan. Probleem opgelost, andere landen doen dit ook.
Ga zeker geen reverse engineering doen van de software en dat soort onzin. Strenge regelgeving is het enige wat werkt tegen de bedrijven die onveilige IOT produceren.
Dan ook meteen een wet, die complotdenkers meteen levenslang opsluiten. Probleem voor de rest van de bevolking opgelost!Ga zeker geen reverse engineering doen van de software en dat soort onzin. Strenge regelgeving is het enige wat werkt tegen de bedrijven die onveilige IOT produceren.
Door Anoniem: Maak een wet dat alle omvormers veilig zijn, en zet vijftien jaar strafkamp op het ontkennen hiervan. Probleem opgelost, andere landen doen dit ook.
Ga zeker geen reverse engineering doen van de software en dat soort onzin. Strenge regelgeving is het enige wat werkt tegen de bedrijven die onveilige IOT produceren.
Ga zeker geen reverse engineering doen van de software en dat soort onzin. Strenge regelgeving is het enige wat werkt tegen de bedrijven die onveilige IOT produceren.
Definieer veilig? Brandgevaar? dat baby's er zich niet in verslikken? do-not-microwave? of wil je voorkomen dat de komende 1000 jaar iemand zo'n ding hacked en dan?
En wil je dat die wet in heel de wereld geld? Als je dat voor elkaar krijgt, zet er dan ook meteen bij dat mensen een beetje aardig voor elkaar moeten zijn en de planeet een beetje heel laten?
Als de consument kiest voor goedkope troep, dan maakt de producent goedkope troep.
En als onderzoekers ongeveer evenveel tijd krijgen voor het vinden van gate nals hackers de tijd nemen, dan weten we achteraf allemaal dat product X troep is en vervangen moet worden.
Maar wat nu, als we consumenten van het internet gooien zodra een van hun apparaten zich gedraagt alsof die compromised is? Ik gok dat het dan druk wordt bij de electronicazaak.
Het probleem bij de bron aanpakken betekent niet dat je wetgeving bakt tegen een producent. ;-)
Door Anoniem: Raar bericht. Er zijn 1.5 miljoen zonnepaneelsystemen in Nederland. En daarvan zouden er 1 miljhoen van een-en-dezelfde leverancier komen?
Zo werkt dat nou eenmaal... als jij een zonnepaneel merk wilt lanceren, ga je dan zelf alles ontwikkelen, ook op gebiedenwaar je geen ervaring mee hebt en waar de eisen en wensen voor varieren over de wereld, of zoek je een OEM waarvan
je de spullen met eigen merk kunt relabelen?
Om risico’s van deze apparaten te voorkomen en beperken wordt er volgens de minister ingezet op preventie, awareness en aanvullend wetgeving die producten softwarematig maar ook hardwarematig weerbaarder maakt tegen digitale aanvallen en mogelijk misbruik.
Dat is het probleem. Er wordt ingezet op voorwaarden en certificaties NADAT er een probleem gebleken is, en er wordt sterk geaarzeld om keiharde maatregelen te nemen die de markt verstoren.Zo hebben we al de affaire gehad met zonnepaneel systemen die radiostoring geven, en waar Agentschap Telecom jaren lang een beetje achteraan gehobbeld heeft en die nooit uit de magazijnen en van de daken getrokken zijn. Zo gaat het met deze problemen natuurlijk ook afgewikkeld worden: beste leveranciers, voortaan moeten jullie een document overleggen waarin jullie zeggen dat het allemaal goed is. En dan gaan wij steekproeven nemen. En blijkt het dan niet goed te zijn dan roepen we "foei!". Dat gaat jaren duren voor het verschil maakt.
Die ministers doen wel goed werk. Zo zie je bijvoorbeeld nergens meer een touwtje uit de brievenbus hangen. Dus dat is een stuk veiliger. Waar die ministers dan weer totaal falen is om ons eraan te herinneren dat destijds niemand aan dat touwtje trok die daar niet woonde. Niet dat alles toen beter was, in tegendeel. Toen het touwtje niet meer kon, was er meer ruimte in de brievenbus. Voor onverschilligheid. Daarom hebben we nu ook zulke ministers. Maar die zijn ook vaak nog te jong om alles meegemaakt te hebben. Komt Vastgoed BV.
03-09-2022, 22:15 door
Open source gebruiker
Het is onbegrijpelijk dat ze nu een risico ontdekken, dat in augustus 2024 pas opgelost hoeft te zijn.
Het zou toch meer dan verstandig zijn om vanaf nu alle omvormers te controleren, indien van toepassing meteen het probleem op te lossen.
Het zou toch meer dan verstandig zijn om vanaf nu alle omvormers te controleren, indien van toepassing meteen het probleem op te lossen.
Door Open source gebruiker: Het is onbegrijpelijk dat ze nu een risico ontdekken, dat in augustus 2024 pas opgelost hoeft te zijn.
Het zou toch meer dan verstandig zijn om vanaf nu alle omvormers te controleren, indien van toepassing meteen het probleem op te lossen.
Ja dat zei ik al, zo rolt Agentschap Telecom. Ze nemen geen maatregelen die de markt verstoren. Ze hopen dat het vanzelf voorbij gaat. Net als met die radiostoring: eerst kwamen de zendamateurs met 'die spullen storen', toen zei men 'jullie moeten storing accepteren, het is geen storing het is hinder'. Toen kwamen de luchtvaart en politie met 'wij hebben storing', toen gingen ze eerst een paar jaar onderzoek doen en kwamen ook bij die panelen uit, en gingen vriendelijk aan de fabrikant vragen om er wat aan te doen. Niet de spullen verbieden ofzo. En de fabrikant zei 'dat kost ons veel geld, dat gaan we niet doen'. En ging zelfs een proces aanspannen wegens schade.Het zou toch meer dan verstandig zijn om vanaf nu alle omvormers te controleren, indien van toepassing meteen het probleem op te lossen.
Zo zal het met deze kwetsbaarheden ook wel gaan: de fabrikant procedeert jaren tegen Agentschap Telecom wegens het onrecht wat hen aangedaan is door hun apparatuur verdacht te maken. En ondertussen gaat de verkoop en montage gewoon door.
En daarom hangen de paneeltjes in een apart vlan zonder internettoegang. Ik zal niet zeggen dat ik dit allang wist, maar ik vond het onnodig om die dingen internettoegang te geven. Blijkt nu dus maar weer een vooruitziende blik te zijn geweest.
Door Anoniem: Ik heb kort geleden - bij toeval - een aanval ontdekt op mijn omvormer die ik niet hier graag deel. Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Zet u wel u thermostaat netjes op maximaal 17 graden de komende winter. Doen hoor in verband met de energietransitie en zo.
05-09-2022, 10:34 door
Reinder
Door Anoniem: Raar bericht. Er zijn 1.5 miljoen zonnepaneelsystemen in Nederland. En daarvan zouden er 1 miljhoen van een-en-dezelfde leverancier komen?
Het gaat alleen om een enkel component, in dit geval de omvormer. Zo raar is het niet; er zijn tientallen merken laptops en ze gebruiken allemaal een-en-dezelfde CPU. Er zijn tientallen merken auto's, en ze gebruiken allemaal een-en-dezelfde merk accu etc etc.
Door Anoniem:
Maar wat nu, als we consumenten van het internet gooien zodra een van hun apparaten zich gedraagt alsof die compromised is? Ik gok dat het dan druk wordt bij de electronicazaak.
Maar wat nu, als we consumenten van het internet gooien zodra een van hun apparaten zich gedraagt alsof die compromised is? Ik gok dat het dan druk wordt bij de electronicazaak.
Meerdere providers deden dit in het verleden. Hun klanten afsluiten en elk HTTP request doorsturen naar een landingspagina waarin de reden stond. Maar hierdoor gingen mensen overstappen naar andere providers en was het snel afgelopen.
Door Anoniem:
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Alsof iemand daar ook nieuwsgierig zou zijn. Ben je nu werkelijk zooooo belangrijk?Door Anoniem: Ik heb kort geleden - bij toeval - een aanval ontdekt op mijn omvormer die ik niet hier graag deel. Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Door Anoniem: Raar bericht. Er zijn 1.5 miljoen zonnepaneelsystemen in Nederland. En daarvan zouden er 1 miljhoen van een-en-dezelfde leverancier komen?
Goed lezen, hiervan bevinden zich ruim 40.000 in Nederland...
05-09-2022, 15:32 door
_Martin_
Door Anoniem:
Criminelen zijn overal te vinden. We vertellen iedereen om je vakantiefoto's vooral niet direct op social media te zetten, maar met alle "slimme systemen" is meteen op afstand te zien of iemand al dan niet thuis is. Je hoeft niet belangrijk te zijn, maar ik kan me voorstellen dat je als dief liever een huis binnengaat waarbij de kans groot is dat de bewoners afwezig zijn.Door Anoniem:
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Alsof iemand daar ook nieuwsgierig zou zijn. Ben je nu werkelijk zooooo belangrijk?Door Anoniem: Ik heb kort geleden - bij toeval - een aanval ontdekt op mijn omvormer die ik niet hier graag deel. Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Door _Martin_:
Jouw reactie slaat helemaal niet aan op mijn reactie. Ik reageerde op dat douchen!Door Anoniem:
Criminelen zijn overal te vinden. We vertellen iedereen om je vakantiefoto's vooral niet direct op social media te zetten, maar met alle "slimme systemen" is meteen op afstand te zien of iemand al dan niet thuis is. Je hoeft niet belangrijk te zijn, maar ik kan me voorstellen dat je als dief liever een huis binnengaat waarbij de kans groot is dat de bewoners afwezig zijn.Door Anoniem:
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Alsof iemand daar ook nieuwsgierig zou zijn. Ben je nu werkelijk zooooo belangrijk?Door Anoniem: Ik heb kort geleden - bij toeval - een aanval ontdekt op mijn omvormer die ik niet hier graag deel. Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
09-09-2022, 17:09 door
_Martin_
Door Anoniem:
Daar sluit ik naar mijn idee ook op aan :-)Door _Martin_:
Jouw reactie slaat helemaal niet aan op mijn reactie. Ik reageerde op dat douchen!Door Anoniem:
Criminelen zijn overal te vinden. We vertellen iedereen om je vakantiefoto's vooral niet direct op social media te zetten, maar met alle "slimme systemen" is meteen op afstand te zien of iemand al dan niet thuis is. Je hoeft niet belangrijk te zijn, maar ik kan me voorstellen dat je als dief liever een huis binnengaat waarbij de kans groot is dat de bewoners afwezig zijn.Door Anoniem:
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Alsof iemand daar ook nieuwsgierig zou zijn. Ben je nu werkelijk zooooo belangrijk?Door Anoniem: Ik heb kort geleden - bij toeval - een aanval ontdekt op mijn omvormer die ik niet hier graag deel. Hint: ook de apps zouden aan meer security-kwaliteit moeten voldoen.
Toen we hier kwamen wonen, hadden we al een slimme meter. Later kwam de woningbouw met een zuinige slimme waterboiler en zonnepanelen aanzetten. Het enige waar het nog aan ontbreekt, is een slimme watermeter, zodat ook Google en de gemeente op afstand kunnen detecteren wanneer we samen onder de douche staan.
Het douchen was een reactie op "slimme watermeter" die net zoals "slimme energiemeter" een indicator kan zijn of er bewoning plaatsvindt. Bij mij thuis is het energieverbruik constant als ik niet thuis ben. Zo'n (op dit moment ontbrekende) "slimme watermeter" kan ook een indicator zijn of bewoning plaatsvindt. Als ik thuis ben, douche ik 's ochtends. Als ik niet thuis ben, zal er in de ochtend geen extra waterverbruik zijn.
Een "slim systeem" kan dus een indicator zijn of iemand aanwezig is in het huis. Die gegevens zijn in ieder geval in te zien door medewerkers van het bedrijf die de gegevens ontvangt. Als bij dat bedrijf iemand bij zit die die gegevens doorsluist, lijkt me dat mooie info voor inbrekers.
Ik hoop dat dit eerst meer verduidelijking biedt ;-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
