Cyberweerbare zonnestroominstallaties: ‘Alle betrokkenen moeten in actie komen’

Ralph Moonen van Secura: ‘Vooralsnog lijkt onze zonne-energiesector nog geen specifieke target. Daar moeten we ons echter wel op voorbereiden. De gevolgen van digitale aanvallen – de economische, fysieke en maatschappelijke schade – zijn immers potentieel rampzalig. Er zijn echter oplossingen en die moeten door alle betrokkenen worden omarmd. Dit is een verantwoordelijkheid van iedereen.’

Aanvalsoppervlak
TNO startte eind 2022 in opdracht van de Topsector Energie en de Rijksdienst voor Ondernemend Nederland (RVO) met het inventariseren van kennis- en samenwerkingsbehoeften op het gebied van cybersecurity in de zonne-energiesector. Doel was onder andere het bijeenbrengen van verschillende partijen en samen richting geven aan het verbeteren van de digitale veiligheid van pv-installaties.

‘Dat werk werd in het voorjaar van 2023 afgerond’, aldus Soe van Dijk, coördinator Programma Digitalisering bij Topsector Energie. ‘Het goede nieuws was dat het draagvlak om gezamenlijk werk te maken van digitale veiligheid in de zonne-energiebranche groot is. Maar hoe doe je dat dan exact, wie kan wat doen? Er komen heel snel heel veel zonnepanelen bij; het aanvalsoppervlak wordt dus groter. We gaan van een centraal naar een meer decentraal energiesysteem met vele actoren, wat kwetsbaarder maakt voor cyberaanvallen, temeer omdat systemen in toenemende mate verbonden zijn met het internet. We hebben het kortom over een forse uitdaging.’

Risico minimaliseren
Een grootschalige verstoring van de stroomvoorziening door cyberaanvallen op zonne-energiesystemen is niet alleen een mogelijk, maar tevens een zeer wel denkbaar toekomstscenario. Maatregelen om dit risico te minimaliseren zijn dan ook nodig. In dat kader gaven de RVO en de Topsector Energie opdracht voor een vervolgonderzoek aangaande cybersecurity in de zonnestroomsector. Dat werd uitgevoerd door Secura. 12 augustus jongstleden werden de resultaten gepubliceerd in het rapport Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties.

Mogelijke dreigingen
Secura dook de details in, onder meer door gebruik te maken van publieke en gesloten bronnen en interviews met cybersecurity-experts. Daarnaast werd samengewerkt met een klankbordgroep die onder meer bestond uit ontwikkelaars, installateurs, fabrikanten, netbeheerders en branchevereniging Holland Solar. Er werden cruciale vragen onder de loep genomen en beantwoord. Wat zijn de mogelijke dreigingen, hun vermoedelijke gevolgen mochten deze bewaarheid worden, hoe kun je deze mitigeren – voorkomen of de impact beperken – en wie moet daarvoor welke maatregelen nemen? Om te beginnen bij de eerste: uit welke hoek komen de gevaren en hoe zien die eruit?

Opportunistisch
De dreigingen komen van verschillende kanten, stelt Moonen, technisch directeur bij Secura. Denk aan de georganiseerde misdaad, statelijke actoren, onethische bedrijven, activistische hackers… Belangrijke en bekende kwaadwillenden zijn criminelen die systemen kapen met ransomware, bewijzen dat ze controle hebben en vervolgens een smak aan bitcoins eisen om die weer vrij te geven. Zij opereren doorgaans opportunistisch en richten zich nog niet specifiek op de zonne-energiesector. Secura acht het echter wel een realistisch scenario voor de toekomst en denkt dat dit waarschijnlijk in toenemende mate gaat gebeuren. Daarnaast wijst Moonen met name op de dreiging vanuit statelijke actoren, ofwel buitenlandse inlichtingen- en veiligheidsdiensten. In het rapport, waar hij aan meeschreef, worden daarbij geen concrete namen genoemd. Het mag echter duidelijk zijn dat het hierbij over China, Rusland, Iran en Noord-Korea gaat.

Vingeroefeningen
‘Dat laatste land lijkt zich voorlopig te concentreren op de financiële sector, de eerste 3 richten zich echter al wel op de energie-infrastructuur van Nederland’, aldus Moonen. ‘Ze zoeken kwetsbaarheden en kijken hoe ze deze kunnen misbruiken. Van daadwerkelijke pogingen is nog geen sprake. Desalniettemin hebben we het over een serieuze dreiging, zeker gezien de verslechterende geopolitieke verhoudingen. Vooralsnog zien we nog weinig motivatie voor het specifiek targeten van onze zonne-energiesector. Waar pv echter een steeds groter onderdeel is van onze vitale infrastructuur zal die steeds meer in het vizier komen.’

Lees het volledige artikel hieronder in de september 2024-editie van Solar Magazine.