Een dorp, stad of zelfs grote delen van Nederland compleet zonder elektriciteit. Dat zou volgens de Rijksinspectie Digitale Infrastructuur (RDI) een denkbaar scenario kunnen zijn als hackers op grote schaal omvormers van zonnepaneelsystemen platleggen in een DDos-aanval. De RDI houdt toezicht op veilige digitale communicatie en deed onderzoek naar de cyberveiligheid van zonnepaneelomvormers. Conclusie van het onderzoek is dat omvormers vaak door slechte beveiliging kwetsbaar zijn voor hacks en storingen.
Gebruikmaken van zonne-energie is goed voor het klimaat. Het aantal zonnepaneelinstallaties in Nederland neemt dan ook snel toe. De RDI startte in 2021 een onderzoek om te kijken of de omvormers van zonnepaneelinstallaties wel voldoen aan de wettelijke eisen. Dat onderzoek richtte zich zowel op de mogelijkheid dat ze storing op andere toepassingen veroorzaken, als op de cyberveiligheid.
Het onderzoek laat zien dat geen enkele onderzochte omvormer aan alle eisen voldoet. Vijf van de negen onderzochte omvormers blijken storing te kunnen veroorzaken. Alledaagse toepassingen, zoals radio of draadloze tags om deuren te openen, kunnen er last van hebben en mogelijk minder goed of niet functioneren. Zelfs de lucht- en scheepvaart kan er hinder van ondervinden.
Van afstand uit te schakelen
De resultaten op gebied van cyberveiligheid lieten een nog teleurstellender beeld zien: geen enkele van de negen onderzochte omvormers voldoet aan de norm. Ze zijn daardoor eenvoudig te hacken, van afstand uit te schakelen of in te zetten voor DDoS-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen.
Van de onderzochte omvormers voldoet geen enkele aan de administratieve eisen. Die schrijven onder andere voor dat er een handleiding bij zit, zodat consumenten het product correct kunnen gebruiken. Ook moet de fabrikant zijn adresgegevens beschikbaar stellen, zodat de consument bij vragen of problemen contact op kan nemen.
Per direct passende maatregelen
Fabrikanten van producten die storing kunnen veroorzaken zijn wettelijk verplicht om per direct passende maatregelen te nemen om te voorkomen dat zij nog storende producten verhandelen. De RDI adviseert fabrikanten van producten met ondermaatse cyberveiligheid hun producten aan te passen. De eisen voor cyberveiligheid zijn pas vanaf 1 augustus 2024 actief. Deze onderzoeksresultaten helpen hen hun producten te verbeteren, zodat ze vanaf die datum wel aan de eisen voldoen.
De RDI adviseert consumenten een omvormer aan te schaffen waar een CE-markering op staat. Een omvormer zonder CE-markering voldoet niet aan de wettelijke eisen. Het is zaak hier goed op te letten bij aanschaf. Uit het onderzoek van de RDI blijkt dat in sommige gevallen de CE-markering onterecht op een product is aangebracht. De aanwezigheid van de CE-markering is echter eenvoudig vast te stellen. Ook voor het formaat van de markering en de afstand tussen de letters gelden namelijk eisen. De figuur hieronder laat twee markeringen zien: een veelvoorkomende markering die lijkt op de CE-markering, maar dit niet is én de juiste CE-markering (rechts).
De RDI adviseert verder alert te zijn op storing en deze te melden bij de leverancier. Om de cyberveiligheid te vergroten is het raadzaam om omvormers te beveiligen met sterke wachtwoorden en regelmatig updates uit te voeren.
Lees het complete onderzoek hier.
