Ruim twee jaar is Uri Sadot ermee bezig: de cyberveiligheid van zonnepalen, thuisbatterijen en laadpalen. Deze apparaten duiken massaal op in het stroomnet. „Wij beheren miljoenen van die apparaten in Europa. Als een deel daarvan zou uitvallen, zou dat tot stroomstoringen kunnen leiden. En toch kwam er nooit een enkele toezichthouder met ons praten.”

Sadot leidt de cyberstrategie van SolarEdge, een van de marktleiders in zonnepanelen, batterijen, omvormers en meer. Al die apparaten, ook van andere fabrikanten, zijn permanent met het internet verbonden. Fabrikanten en installateurs beheren ze in een digitale omgeving. Zo kunnen ze storingen snel opsporen, klanten op afstand helpen en al hun apparaten tegelijk beveiligingsupdates sturen of instellingen aanpassen.

Eén foute update via zo’n portaal of een gerichte aanval van criminele hackers of vijandige overheden kan ervoor zorgen dat alle apparaten tegelijk uitgaan of massaal energie aan het net terugleveren. Door zo’n plotselinge spanningsverandering kunnen elektrische apparaten beschadigd raken, ontstaat het risico op brand en kan in theorie de stroom uitvallen, misschien wel in heel Europa, bleek uit Nederlands onderzoek van Secura.

Dit is geen denkbeeldig scenario meer. ”Ethische hackers”, zoals Jelle Ursem van het Nederlandse cyberveiligheidscollectief DIVD, slaagden er al meermaals in om toegang te krijgen tot de controlepanelen van fabrikanten. Deze hackers werken samen met de softwareleveranciers in de hoop dat die de achterdeurtjes te sluiten.

Kwaadwillenden

Ook kwaadwillenden slaagden erin om in te breken in de controlepanelen. Het Litouwse energiebedrijf Ignitis heeft aan Trouw bevestigd dat er digitaal is ingebroken in de software van 20 ‘’kleine zonneparken”. Volgens een cyberveiligheidsbedrijf waren Russische hackers daar verantwoordelijk voor. Een andere groep hackers slaagde erin om zonnepanelen in Japan te hacken. Vermoedelijk Chinese hackers. In beide gevallen bleef de schade beperkt.

Sowieso hebben hackers het steeds vaker op de energie-infrastructuur voorzien. Sinds de oorlog in Oekraïne begon, verdubbelde het aantal cyberaanvallen op energiecentrales, stelde onderzoeksbureau IEA in 2023 al vast.

Het kwetsbaarste onderdeel in zonne-installaties is de omvormer, legt Sadot uit. Die zet gelijkstroom om in wisselstroom en zorgt er zo voor dat zonnepanelen stroom kunnen terugleveren aan het net.

„Het meest kwetsbare onderdeel in zonne-installaties is de omvormer” - Uri Sadot, cyberstrateeg

Sadot noemt die omvormers het ”brein” van ieder systeem. Ze regelen hoeveel energie er van en naar het stroomnet stroomt en zijn uitgerust met een internettoegang. Ook thuisbatterijen hebben zo’n omvormer.

Geen onderwerp

Veel van de apparatuur komt uit China, maar ook bij westerse fabrikanten was cyberveiligheid geen onderwerp, zeggen deskundigen. Overheden drongen daar ook niet op aan. Bedrijven wilden hun producten zo snel mogelijk op de markt brengen, hun kosten zo laag mogelijk houden en hebben, onbedoeld misschien, beknibbeld op cyberveiligheid.

Lang leek de gedachte dat het met de risico’s van al die zonnepanelen en thuisbatterijen wel meeviel. Voor de manier waarop de apparaten moeten worden aangesloten op het stroomnet waren wel regels, maar cyberveiligheidsregels waren er niet.

„Dat komt doordat die apparaten werden gezien als losse en kleine installaties”, zegt Bert Hubert, die energiebedrijven en overheid adviseert over digitale veiligheid. Omdat ze per fabrikant gelijktijdig vanuit één digitale omgeving worden beheerd, vindt hij dat we ze moeten zien als één grote generator.

Er liggen zo veel zonnepanelen op Nederlandse daken dat ze op zonnige dagen twintig keer zoveel stroom kunnen leveren als de kerncentrale in Borssele, of ruim zes keer zoveel als de Eemshavencentrale, de grootste elektriciteitscentrale van Nederland. Ook het aantal (thuis)batterijen en laadpalen groeit snel.

Het Europese stroomnet kan uitval van 3 gigawatt opvangen, zei Jan Vorrink van netbeheerder Tennet eind augustus op radiozender BNR. Enkele aanbieders van zonnepanelen zullen in de buurt komen van die buffercapaciteit.

Nieuwe eisen

Hoog tijd voor nieuwe eisen, vindt Ralph Moonen van Secura. In opdracht van de Rijksoverheid onderzocht hij met collega’s de zwakke punten bij zonnestroom. „Ik heb nog geen portaal gezien dat echt veilig is”, zegt hij. Fabrikanten en installateurs gebruiken regelmatig eenvoudige en standaardwachtwoorden en stellen vaak geen tweede code in als extra beschermingsstap. Daardoor kunnen hackers zich relatief eenvoudig toegang verschaffen. Ook doordat gestolen wachtwoorden voor een habbekrats te koop blijken op het darkweb.

De portalen van batterijen, laadpalen en warmtepompen hebben dezelfde zwakke punten als die voor zonnepanelen, zegt Moonen. „Al die apparaten zijn op afstand bestuurbaar en kunnen energie afnemen of leveren aan het net. Door de combinatie van al die systemen groeit de kans dat het een keer mis gaat.”

Volgens Sadot van SolarEdge begint het besef te komen dat het anders moet. Met collega’s van de Europese branchevereniging schreef hij een verbeterplan. Zijn eigen bedrijf zorgde dat slechts een beperkt aantal van de apparaten via één hack te ‘stelen’ is; het maximeert het aantal zonnepanelen dat vanuit één portaal en server wordt aangestuurd.

„Door de combinatie van allerlei systemen groeit de kans dat het een keer mis gaat” - Ralph Moonen, onderzoeker van Secura

Ook overheden beginnen in actie te komen. Zo stelt het Verenigd Koninkrijk voor laadpalen een ”wachttijd” verplicht. Als die op afstand het commando krijgen om zichzelf uit te schakelen, moeten ze maximaal 10 minuten wachten met uitvoering van dat commando. Zo heeft het stroomnet de tijd om te reageren op de plotselinge spanningspiek, wat de kans op storingen verkleint.

In Nederland heeft de zonnestroomsector afgesproken om bij de installatie van nieuwe omvormers voortaan een uniek en sterk wachtwoord in te stellen. En de Europese Unie heeft bepaald dat vanaf 2025 voor alle draadloze apparatuur, niet alleen in het energiesysteem, cybersecurityregels gelden. In 2027 worden die regels uitgebreid, met onder meer een meldplicht voor fabrikanten die een veiligheidsprobleem ontdekken.

In de tussentijd kunnen consumenten en ondernemers helpen om het risico te minimaliseren, schreef minister Sophie Hermans van Klimaat en Groene Groei onlangs aan de Tweede Kamer,  door wachtwoorden van hun zonnepanelen en batterijen te veranderen en updates op tijd uit te voeren.