Nieuw onderzoek: omvormers zonnepanelen simpel te hacken en oorzaak storing

De Rijksinspectie Digitale Infrastructuur (RDI), voorheen Agentschap Telecom, stelt zich na het onderzoeken van een reeks omvormers ernstig zorgen te maken om een groot deel van de zonnepaneelomvormers die in Nederland te koop zijn. 

Eisen
De RDI startte in 2021 een onderzoek om te kijken of omvormers voldoen aan de – toekomstige – wettelijke eisen van de Telecommunicatiewet. Dit onderzoek bestond uit 2 delen: de RDI richtte zich op de stoorkans en op de cyberveiligheid. De wettelijke eisen voor cyberveiligheid zijn nog niet actief. Hiervoor werden 9 omvormers onderzocht van 8 verschillende fabrikanten. Sommige omvormers maken zelf geen verbinding met het internet, maar via een accessoire. Daarom werden ook 5 accessoires onderzocht. Voor het onderzoek dat de RDI deed, werden alleen omvormers met een vermogen tot 3,6 kilowatt geselecteerd. Uit internetonderzoek en de administratie van storingsmeldingen van de rijksinspectie, bleek volgens de organisatie dat een aantal van de meest- verkochte merken omvormers binnen de selectie viel.

Uit de resultaten blijkt dat 5 van de 9 omvormers – eventueel in combinatie met een accessoire – storing veroorzaken. Onder andere lucht- en scheepvaart en alledaagse toepassingen zoals radio-omroep, elektrische verkeerspaaltjes en draadloze tags kunnen worden verstoord.

Radiated en conducted emissie
Vastgesteld werd dat 3 omvormers de limieten overschrijden voor radiated emissie; de emissie die betrekking op de storing heeft die een apparaat creëert vanuit de behuizing. Wat betreft uitstraling door middel van de kabels – conducted emissie – bleek dat 2 omvormers storen via de poort voor wisselstroom; de AC-aansluiting. Via de poort voor gelijkstroom – DC-poort – storen alle 5 non-conforme omvormers. Tot slot bleken 2 omvormers storing te kunnen veroorzaken via de netwerkkabel in combinatie met monitoraccessoire. De metingen aan deze poorten laten volgens de onderzoekers zien dat de opgewekte EMC-storingen het niveau overschrijden, waarboven andere apparaten niet meer kunnen functioneren zoals waarvoor deze bedoeld zijn.

Onderzoek naar de frequenties waarop overschrijdingen werden gemeten en de hoogte van die overschrijdingen, wijst uit dat de omvormers vooral via poorten en bekabeling ernstig storen. Hierdoor kunnen toepassingen volledig platgelegd worden en is communicatie via die frequenties niet mogelijk. Dit kan tot kritieke situaties leiden. De ernst van de storing via de behuizing is lager.

21 meldingen
Omvormers zetten door zonnepanelen opgewekte gelijkstroom om in wisselstroom. De onderzoekers van de RDI benadrukken dat dit omzetten altijd ‘ongewenste radiofrequenties’ oplevert in de omvormers. Deze moeten door juiste filtering ‘in’ de omvormer worden gehouden. Als dit niet gebeurt, kunnen deze ongewenste frequenties door de kabels en behuizing van de installatie worden uitgestraald. De kabels gedragen zich dan als antennes. Het zijn deze signalen die storen bij gebruikers van het radiospectrum.

In de afgelopen jaren zag de RDI het aantal meldingen van storing door zonnepaneelinstallaties toenemen. Zo ontving de rijksinspectie in de periode 2014-2016 in totaal 21 meldingen. In de periode 2017-2019 waren dit er fors meer: 82 meldingen. Het aantal meldingen liep in de periode 2020-2022 op tot 113. Deze toename hangt volgens de onderzoekers vermoedelijk samen met het stijgende aantal zonnepaneelinstallaties. De storingen bleken voort te komen uit onjuiste installatie, storende omvormers of storende randapparatuur. Meldingen worden met name gedaan over storingen op frequenties die omroep, defensie, radiozendamateurs, DAB+ en het communicatiesysteem voor hulpdiensten C2000 gebruiken. Naar verwachting zijn de storingen die bij de Rijksinspectie bekend zijn, volgens de organisatie slechts een klein deel van het werkelijke aantal storingen.

Cyberveiligheid
De testen op cyberveiligheid wezen uit dat geen van de 9 onderzochte omvormers van de 8 fabrikanten voldeed aan de gebruikte norm. De testresultaten van 4 fabrikanten zijn volgens de Rijksinspectie zelfs zeer kritiek voor de cyberveiligheid van het elektriciteitsnet, woningen en burgers. Volgens de RDI zijn zonnepaneelinstallaties hierdoor bijvoorbeeld eenvoudig te hacken en kunnen deze daarna worden uitgeschakeld of worden deze ingezet voor DDoS-aanvallen of kunnen persoons- en gebruiksgegevens worden onderschept.

‘Het feit dat veel fabrikanten hun wachtwoordbeleid of updatebeleid niet op orde hebben, kan zeer onwenselijke situaties tot gevolg hebben. Veel apparaten worden 1 keer geconfigureerd – door een installateur’, aldus de onderzoekers. ‘Daarna worden soms geen updates meer gedaan. Of het updaten van apparatuur is moeilijk voor gebruikers. Hierdoor draait er na een bepaalde periode verouderde software. Terwijl digitale techniek dagelijks doorontwikkelt, waardoor nieuwe kwetsbaarheden ontstaan. Een met het internet verbonden omvormer met zwakke of standaardwachtwoorden, of verouderde software, is kwetsbaar voor kwaadaardige software of personen. Er zijn scenario’s denkbaar dat omvormers (op grote schaal) worden uitgeschakeld. Voor individuele gebruikers wordt hierdoor zonne-energie misgelopen. Voor de gehele samenleving leidt dit ertoe dat het stroomnet wordt gemanipuleerd of dat er landelijk een (zonne-)energietekort is.’

Waarschuwing
Alle betrokken omvormerfabrikanten hebben van de RDI een waarschuwing ontvangen. De wet verplicht de fabrikanten om per direct passende maatregelen te nemen. Zo wordt voorkomen dat nog meer producten die niet aan de eisen voldoen, op de markt komen. De Rijksinspectie stelt namelijk te verwachten van de fabrikanten dat in ieder geval de handel wordt gestaakt van de apparaten die EMC-technisch niet voldoen. Daarnaast wordt verwacht dat fabrikanten actief storingen oplossen als hiervan melding bij hen of de RDI wordt gedaan.

De eisen voor cyberveiligheid zijn pas vanaf 1 augustus 2024 actief. Fabrikanten van producten die storing kunnen veroorzaken, zijn wettelijk verplicht om per direct passende maatregelen te nemen om te voorkomen dat zij nog storende producten aanbieden. De RDI adviseert fabrikanten van producten met ondermaatse cybersecurity hun producten aan te passen.

Geen boetes
Naar aanleiding van het onderzoek zijn geen boetes opgelegd of andere maatregelen genomen vanuit de RDI. De fabrikanten waren volgens de organisatie voldoende bereid om te handelen volgens hun verplichtingen en passende maatregelen te nemen. De fabrikanten hebben wel een waarschuwing ontvangen voor het overtreden van de wettelijke eisen.

Over een redelijke termijn doet de Rijksinspectie hercontroles bij de betreffende fabrikanten. Als opnieuw blijkt dat fabrikanten hun wettelijke verplichtingen niet nakomen, worden daarvan inspectierapporten opgemaakt. Die rapporten kunnen leiden tot een boete of andere sanctie, zoals een verkoopverbod of terugroepactie. Dit gebeurt bijvoorbeeld als een fabrikant nog steeds apparaten op de markt brengt die niet voldoen aan de wettelijke eisen. Maar ook wordt tijdens de hercontrole onderzocht of naar aanleiding van dit eerste onderzoek de juiste maatregelen zijn genomen.

CE-markering
De RDI adviseert consumenten om altijd te controleren of een omvormer CE-gemarkeerd is. Tegelijkertijd blijkt uit onderzoek dat in sommige gevallen de CE-markering onterecht op het product is aangebracht. ‘De aanwezigheid van de CE-markering is echter eenvoudig vast te stellen. En als deze niet is aangebracht, dan voldoet het product zeker niet aan de Europese eisen.’

Om de cyberveiligheid te vergroten, adviseert de RDI onder andere om omvormers te beveiligen met sterke wachtwoorden en regelmatig updates uit te voeren.