Zonne-installaties steeds vaker doelwit van cyberaanvallen

De groei van het aantal zonne-energie-installaties op woningen en bedrijven biedt niet alleen voordelen voor het milieu, maar brengt ook nieuwe risico’s op het gebied van cyberveiligheid met zich mee. Volgens een recent onderzoek, uitgevoerd door cybersecurity-experts van Secura en energie-experts van de Topsector Energie in opdracht van de Rijksdienst voor Ondernemend Nederland, zijn deze installaties kwetsbaar voor cyberaanvallen met mogelijk verstrekkende gevolgen voor maatschappelijke, fysieke en economische stabiliteit.

Scenario’s voor Cyberaanvallen

Het rapport, ‘Veilige zonnestroom: scenario’s en maatregelen voor cyberweerbare zonnestroom-installaties’, belicht verschillende mogelijke aanvalsscenario’s. Eén scenario beschrijft hoe cybercriminelen via cloudportalen toegang kunnen krijgen tot omvormers, deze op afstand manipuleren en beheerders van zonneparken kunnen chanteren. In een ander scenario wordt geschetst hoe een onveilige online software-update de controle over een hele keten van omvormers kan overnemen en deze kan stilleggen. Een derde scenario richt zich op de geopolitieke risico’s waarbij statelijke actoren met cyberwapens vitale infrastructuur aanvallen.

Maatschappelijke Gevolgen

De bevindingen van het onderzoek wijzen op het risico van lokale en regionale stroomuitval als gevolg van grootschalige cyberaanvallen op zonnestroominstallaties. Een dergelijke uitval kan de stabiliteit van het elektriciteitsnet ernstig verstoren en heeft directe gevolgen voor de maatschappij, zoals het uitvallen van verkeerssystemen en hulpdiensten. Daarnaast kan er economische schade ontstaan door het verlies van opgewekte energie en door afpersing door criminelen die dreigen met stroomuitval of fysieke schade aan installaties.

Hoewel de kans op een langdurige landelijke black-out klein wordt geacht, benadrukken de onderzoekers dat zelfs kortdurende storingen aanzienlijke gevolgen kunnen hebben voor het dagelijks leven en de economie. Bovendien brengen noodmaatregelen bij grootschalige uitval hoge kosten met zich mee, zowel voor bedrijven als overheden.

Internet-gekoppelde Omvormers als Zwakke Schakel

Het onderzoek wijst erop dat met name internet-gekoppelde omvormers een kwetsbaar punt vormen. Terwijl netbeheerders en beheerders van grote zonneparken vaak al maatregelen hebben genomen om deze risico’s te beperken, blijft cybersecurity een onderbelicht thema bij de vele middelgrote en kleinere spelers in de sector. Dit geldt ook voor miljoenen consumenten en bedrijven die zonnepanelen op hun dak hebben. Hoewel er wetgeving in de maak is, moet deze nog worden geïmplementeerd.

Europese Wetgeving

De cyberveiligheid van zonnestroominstallaties varieert momenteel sterk tussen fabrikanten en installaties. Nederlandse en Europese overheden werken aan wetgeving die strengere eisen stelt aan de cyberveiligheid van deze systemen. Vanaf augustus 2025 zullen omvormers moeten voldoen aan Europese cybersecurityvereisten voor draadloos communicerende apparaten (RED 3.3). Tegen 2027 moeten alle hardware en software voldoen aan de bredere eisen van de Cyber Resilience Act.

Belang van Uniforme Standaarden

Ondanks de vooruitgang in wetgeving benadrukken de onderzoekers dat de overheid een cruciale rol blijft spelen in de effectieve implementatie en handhaving van deze regels. Het vaststellen van uniforme standaarden is essentieel om de verschillen in cyberveiligheid tussen producten te verkleinen. Dit moet ervoor zorgen dat zowel grote energiecentrales als kleinere zonne-installaties voldoende beschermd zijn tegen cyberdreigingen.