Als de zonnepanelen op het dak van een woonhuis of een bedrijfsgebouw uitvallen, is dat vooral vervelend voor de eigenaar. Maar wat als dit op grote schaal gebeurt, door een cyberaanval? Dan komt de stabiliteit van het elektriciteitsnet in gevaar en kan de stroom zelfs uitvallen.

Stoplichten op zwart, onbereikbare hulpdiensten – de gevolgen kunnen aanzienlijk zijn. Bedrijven kunnen economische schade oplopen, zoals door de uitval van vriezers. Ook is fysieke schade aan de zonneapparatuur mogelijk, zeggen cyberexperts van het bedrijf Secura.

In een nieuw onderzoek hebben zij de zwakke plekken in de toeleveringsketen van zonnestroom in kaart gebracht om te begrijpen hoe cyberaanvallen kunnen plaatsvinden en wie welke maatregelen kan nemen. Opdrachtgever was de Rijksdienst voor Ondernemend Nederland en ook is samengewerkt met innovatieorgananisatie Topsector Energie.

Landelijke black-out

De kans op een langdurige, landelijke black-out achten de onderzoekers klein. Daarvoor moet een hack op grote schaal plaatsvinden, en die moet zich bovendien richten op meer dan alleen de zonnestroominstallaties. Toch zijn de mogelijke gevolgen van een hack niet te onderschatten.

De opwek van zonne-energie is kwetsbaar voor hackers omdat de omvormers op het internet zijn aangesloten. Dit zijn de apparaten die gelijkstroom van zonnepanelen omzetten in wisselstroom. Als hackers accounts overnemen, van particulieren of van grote installateurs, kunnen ze ook de controle krijgen over de techniek. Ransomwarebendes zouden beheerders van zonneparken kunnen afpersen door te dreigen met stroomuitval totdat er wordt betaald.

Netbeheerders en beheerders van grote zonneparken zijn zich vaak bewust van de risico’s, zegt technisch directeur Ralph Moonen van Secura. „Maar de sector kent steeds meer middelgrote en kleinere spelers, inclusief miljoenen consumenten en bedrijven die panelen op hun dak hebben, waar cybersecurity weinig tot geen aandacht krijgt." Opgeteld hebben zulke kleinschalige systemen hetzelfde vermogen als een energiecentrale.

Lees ook

Als een inbreker via de koelkast binnenkomt

Wat kunnen consumenten doen? Als de zonnepanelen eenmaal op het dak liggen en hun prestaties via de website of de app te volgen zijn, is het verstandig om het fabriekswachtwoord te vervangen door een ingewikkelder en dus veiliger variant, zegt Moonen.

„Op het darkweb, het afgesloten deel van het internet, zagen we duizenden gebruikersnamen en wachtwoorden voorbijkomen, waaronder heel eenvoudige zoals 123456", vertelt hij. „Ook worden daar gestolen accounts van installateurs aangeboden, die weer toegang hebben tot de zonnepanelen van hun klanten."

Code

Verder is het raadzaam om tweestapsverificatie aan te zetten, waarbij je als extra beveiliging een code moet invoeren, zegt Moonen. „Dat is de verantwoordelijkheid van de consument. En als het apparaat meldt dat er een software-update is voor de beveiliging, moet je die vooral installeren.”

Kijk bij de aanschaf van zonnepanelen niet alleen naar de prijs, maar ook naar de cyberbeveiliging, is een ander advies. „Dat is niet zo gemakkelijk", zegt Moonen. „Veiligheid is nog geen verkoopargument en op de verpakking staat nog geen veiligheidsscore. Als klant kun je gaan googelen en technologiesite Tweakers of de Consumentenbond raadplegen om bij de betere producten uit te komen.”

De cyberveiligheid van producten verschilt per fabrikant en bedrijven moeten zelf het wiel uitvinden, signaleren de onderzoekers. Er komen wel strengere regels aan vanuit Brussel.

„Op het darkweb zagen we duizenden gebruikersnamen en wachtwoorden voorbijkomen” - Ralph Moonen, cyberbeveiligingsbedrijf Secura

Dat veel technologie van zonnepanelen uit China komt is relevant, omdat de Chinese overheid mogelijk van de leveranciers kan eisen dat er op afstand toegang is tot het apparaat. Dit heet ook wel een achterdeurtje. Maar ook hackers die niet uit China komen, kunnen gebruikmaken van kwetsbaarheden.

Is het niet zinnig om omvormers offline te halen? Om het draadje met het internet door te knippen? „Technisch zou dat kunnen, de panelen blijven dan gewoon hun werk doen. Maar het is wel onpraktisch als je wilt bijhouden hoe de panelen presteren. Dankzij de verbinding met het internet kan een installateur zien dat een paneel niet werkt. Daar kom je anders niet achter.”

Is zo’n grootschaliger aanval op zonnesystemen al eens voorgekomen? „Uit publieke bronnen is ons dit niet gebleken", zegt Moonen. „Maar dat wil niet zeggen dat het niet is gebeurd. Netbeheerders hangen zoiets niet aan de grote klok, maar delen dit met het Nationaal Cyber Security Centrum en bij buitenlandse inmenging zal ook de AIVD meekijken. Dat krijgen wij niet te horen. Maar wat je wel moet beseffen: het kan, dus het zal een keer gebeuren."