Onderzoek: zonnestroomsystemen kwetsbaar voor cyberaanvallen
Zonnestroomsystemen zijn kwetsbaar voor allerlei soorten cyberaanvallen en om dit te voorkomen moeten partijen die deel uitmaken van de zonnesector actie ondernemen. Dat stellen onderzoekers van securitybedrijf Secura, die samen met Topsector Energie in opdracht van de Rijksdienst voor Ondernemend Nederland onderzoek naar cyberweerbare zonnestroominstallaties uitvoerden.
Het primaire doel van het onderzoek was om inzicht te krijgen waar de zwakke plekken in de toeleveringsketen van zonnestroom vermoedelijk zitten, hoe cyberaanvallen zouden kunnen plaatsvinden en wie welke maatregelen kan nemen. Daarnaast moet het onderzoek het bewustzijn over dit onderwerp vergroten en ook zo de cyberweerbaarheid verbeteren. Voor het onderzoek is gebruikgemaakt van beschikbare literatuur in combinatie met interviews met experts en een klankbordgroep met vertegenwoordigers uit de zonnesector.
Het onderzoek heeft geleid tot 27 scenario’s die kunnen leiden tot grootschalige verstoring van de zonnestroomsector. Daarnaast constateerden de onderzoekers dat dergelijke verstoringen ook effect zullen hebben op de gehele energiesector en dat sommige scenario’s ook effecten zullen hebben buiten de zonnestroomsector. Drie hoofdscenario’s staan in het onderzoek centraal.
Het gaat om een ransomware-aanval op een cloudportaal, het verspreiden van malware via een malafide update voor de omvormers van zonnepanelen en een gerichte supplychain-aanval door een statelijke actor. "Hoewel over de kans van een succesvolle aanval gediscussieerd kan worden, is de potentiële impact van deze scenario’s desastreus te noemen. Er is veelal sprake van grote economische schade, fysieke schade en zelfs maatschappelijke schade. Zeker wanneer de secundaire gevolgen van de cyberaanval ook meegenomen worden", aldus de onderzoekers.
De onderzoekers benadrukken dat alle partijen in de zonnestroomsector actie moeten ondernemen om cyberaanvallen te voorkomen, maar dat deze gedeelde verantwoordelijkheid niet eenvoudig is te realiseren. In het rapport beschrijven de onderzoekers verschillende maatregelen die fabrikanten, installateurs, toezichthouders, overheid, brancheorganisaties en eindgebruikers zouden kunnen nemen.
Iedereen wil toegang tot alles in jouw huis en alle data die daar geproduceerd wordt. Dat is nu eenmaal het moderne verdienmodel. Zelfs de wasmachine heeft een appje die het alleen doet als je die machine aan wifi hangt, maar ja, dan kan de fabrikant geld gaan verdienen als jouw machine meer dan x wasjes heeft gedraaid, of y jaar oud is. Ook is jouw thuis-netwerk dan benaderbaar vanuit die wasmachine........
Leuk zo'n onderzoek, maar we weten allemaal al lang dat dit een probleem is. Als één grote producent van buiten Europa met een "foute update" alle zonnepanelen in Europa uitzet, hebben we een probleem, maar hetzelfde geldt voor auto's, telefoons, computers etc. Als een continent als China of de VS alles wat in hun land geproduceerd is en zich in Europa bevindt uitzet, dan ligt Europa plat. Of dat nou alle wegen, de communicatie of de energie is maakt niet zoveel verschil.
In plaatst van weer een onderzoek zou het beter zijn daar iets structureels aan te doen, hoe lastig dat ook is.
Who's next?
Echter via de Cloud kunnen ze er nog steeds bij.
Mijn omvormer kan verbonden worden, maar de inlog wordt door mijn woningbouw niet toegelaten. Die geeft gewoon geen toestemming hiervoor. Het wordt een ander verhaal als je als particulier een eigen woning bezit en er zonnepanelen op het dak hebt bij een dynamisch energiecontract. De gegevens worden uitgelezen en zichtbaar gemaakt in een speciale App, zoals in het geval van energieprovider Tibber.
Is het niet echt noodzakelijk, hang je omvormer dan niet aan het internet.
Hiermee voorkom je aanvallen vanuit het internet.
TenneT wil regels zien voor apps voor zonnepanelen en waarschuwt voor black-outs
https://www.bnr.nl/nieuws/tech-innovatie/10554962/apps-voor-beheer-van-zonnepanelen-zo-lek-als-een-mandje-al-drie-keer-gehackt
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
