Uri Sadot: ‘Cyberveiligheid zonnepanelen aanpakken cruciaal voor waarborgen energiezekerheid’

Wat doe jij als programmadirecteur cyberbeveiliging bij SolarEdge?
‘Ik werk samen met onze technische teams die zorgen voor de cyberveiligheid van producten die door onze klanten worden gebruikt, en teams die verantwoordelijk zijn voor de cyberveiligheid van SolarEdge als bedrijf. Daarnaast ben ik betrokken bij brancheorganisaties zoals SolarPower Europe waar ik de cybersecurity taskforce leid. Ons doel is om de standaard van cyberbeveiliging voor zonne-energie wereldwijd te verhogen.’

Want we worden steeds afhankelijker van de zon voor onze energievoorziening…
‘Neem Nederland. Hier is het jaarlijkse aandeel van zon in de elektriciteitsmix al meer dan 17 procent. Op zonnige dagen zorgen zonnepanelen voor een groot deel van de elektriciteitsproductie. Het aandeel zon groeit wereldwijd elk jaar, sommige landen zoals Australië of de staat Hawaï zitten al dicht bij de 100 procent. Als kwaadwillenden daar controle over krijgen – dan hebben we het feitelijk over de pv-omvormers en er zijn aanwijzingen dat ze dat doen – dan kan er een groot probleem ontstaan.’

Zijn beleidsmakers zich daarvan bewust?
‘Er zijn eigenlijk nog geen officiële normen voor cyberveiligheid van huishoudelijke en commerciële pv-omvormers in Europa. Als ik dit aankaart op conferenties in de Europese Unie (EU) of Amerika, is de reactie vaak: ‘We hebben het over kleine systemen. Wat is het echte gevaar als een systeem van 10 kilowatt wordt gegijzeld door een hacker?’

Is dat naïef?
‘Absoluut. Solar inverter-bedrijven zoals SolarEdge hebben honderdduizenden “kleine systemen” in landen zoals Nederland. Die zijn samen goed voor een maximale capaciteit die groter is dan die van sommige kerncentrales. Er zijn echter geen regels voor de digitale veiligheid van die installaties, noch in de Verenigde Staten, noch in de EU. Dat is op zijn zachtst gezegd vreemd. Toch bouwen wij nu al aan die noodzakelijke beveiliging.’

Maar er wordt aan regulering gewerkt.
‘Australië en het Verenigd Koninkrijk lopen voorop, daar is al wetgeving geïmplementeerd. Dat heeft ook gevolgen. Eigenaren moeten nu misschien een tweede keer installatiekosten maken omdat ze onveilige producten hebben gekocht. De EU werkt aan regels, waarop onze groep van SolarPower Europe zeer actief commentaar levert. De Europese molens draaien echter langzaam. In de VS houden ze niet van regelgeving. Daar wordt meer ingezet op marktmechanismen zoals vrijwillige cyberbeveiligingsnormen. Maar over 5 tot 10 jaar hopen we overal wetgeving te zien met betrekking tot de cyberveiligheid van pv-omvormers. Wij vertellen onze klanten dat ze daar rekening mee moeten houden. Het plaatsen van zonnepanelen is tenslotte een investering voor 25 jaar of langer.’

Hoe beoordeel jij de digitale veiligheid van de pv-omvormers op de markt?
‘Om ons te verdedigen tegen de zeer geavanceerde en geautomatiseerde cyberaanvallen van vandaag de dag, moeten huiseigenaren, bedrijven, netbeheerders en overheden zich er allereerst van bewust worden dat de cyberveiligheid van zonneproducten per fabrikant enorm verschilt. Vanwege het risico dat dit oplevert voor de energiezekerheid, moet er in de hele energiewaardeketen een mentaliteitsverandering plaatsvinden naar een aanpak van “voorkomen is beter dan genezen” – niet anders dan de robuuste cyberbeveiligingsmaatregelen die standaard in telefoons of auto’s zijn ingebouwd.’

Dit begint bij de fabrikanten zelf.
‘Exact. Die bepalen op dit moment meestal zelf de beveiligingsniveaus van hun producten zonder enige regelgeving, wat resulteert in verschillende normen. Dit is vergelijkbaar met autofabrikanten die individueel hun veiligheidsnormen zouden bepalen. De technologische mogelijkheden om cyberveiligheid te verbeteren tijdens productontwikkeling bestaan. Daarom is het noodzakelijk dat fabrikanten investeringen in deze technologieën prioriteit geven boven kostenbesparingen en hogere marges. Het zou niet onderhandelbaar moeten zijn, net als brandveiligheid of elektrische veiligheid.’

Hoe gaat SolarEdge hiermee om?
‘Wij waren een van de eerste fabrikanten van omvormers voor zonne-energie die zichzelf hoge veiligheidsnormen oplegde voor producten. Na verloop van tijd werden deze normen het minimum voor veel industriële regelgevingen. We geven nu veel prioriteit aan de cyberveiligheid omdat we geloven dat dit in de toekomst ook een minimumeis zal zijn voor overheden.’

Wat is jouw advies aan mensen en bedrijven die nu zonnepanelen willen installeren?
‘Vraag je installateur welk merk omvormer hij installeert en wat het cyberbeveiligingsniveau is. Je kunt bijvoorbeeld vragen waar de gegevens worden opgeslagen en hoe goed deze worden beschermd. Wie heeft er op afstand toegang tot het apparaat en wat kunnen ze ermee doen? Aan welke cyberbeveiligingscertificaten voldoet dit product? De markt wordt overspoeld met “goedkope” en “naamloze” producten die een ernstig cyberprobleem vormen. Het is hetzelfde als het aanschaffen van een veiligheidsstoeltje voor een kind. Je kunt een veilig product kopen van een gerenommeerd bedrijf, dat morgen niet zal verdwijnen. Of je kunt een goedkoper product gebruiken van een bedrijf dat weinig tot niet heeft geïnvesteerd in cyberbescherming.’

De installateur moet dan ook op de hoogte zijn van de digitale veiligheid van de producten.
‘Die heeft een soortgelijke verantwoordelijkheid. Bouw dus kennis op over het cyberbeveiligingsniveau van producten, zodat je de klant goed kunt informeren om zo de kans op gijzeling van je systeem, gegevensmisbruik of digitaal vandalisme te verkleinen. Weet bovendien dat er regelgeving op komst is op het gebied van digitale beveiliging. Adviseer je klanten in dat kader een toekomstbestendig product, zodat ze later niet voor nog meer potentiële kosten komen te staan.

En overheden moeten in actie komen?
‘Hoewel regeringen zich bewust worden van het belang van het aanpakken van cyberveiligheid in hernieuwbare energie, zal dat waarschijnlijk niet werken zonder internationale samenwerking – vooral niet in Europa waar de handel in elektriciteit tussen landen veel voorkomt. Wetgeving van bovenaf moet halverwege worden ontmoet door druk van onderop door huiseigenaren en bedrijven die bij investeren in zonne-energie hoge cyberbeveiligingsnormen als voorwaarde stellen.’