Een grootschalige verstoring van de stroomvoorziening door cyberaanvallen op zonne-energiesystemen is geen ondenkbaar toekomstscenario. Dit risico moet worden geminimaliseerd. RVO en de Topsector Energie gaven Secura opdracht dieper in deze opgave te duiken. Dat leidde augustus dit jaar tot de publicatie van ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties.’
3 artikelen
In dit rapport worden onder andere dreigingen en hun eventuele gevolgen geadresseerd. Daarnaast komt aan de orde wat mogelijke maatregelen zijn en wie wat kan doen. Cybersecurity vergt tevens een integrale aanpak. Topsector Energie mobiliseert daarom samen met Holland Solar de zonnestroomsector en allerhande partijen om werk te maken van digitale veiligheid.
In een serie van 3 artikelen focust Solar Magazine op cybersecurity vanuit het perspectief van fabrikanten en leveranciers van hardware en software, projectontwikkelaars en o&m-partijen. Wat doen die laatste al aan beveiliging en wat kunnen ze nog beter oppakken? Die vraag staat centraal in dit verhaal van dit drieluik.
Waar staat Everday op dit moment?
’Everday is een snelgroeiende o&m- en Asset Management-organisatie. We hebben nu zo’n 441 megawattpiek aan zon in onze monitoring, en meer in beheer. Dat maakt ons tot een van de grote spelers in o&m in de Benelux.’
In hoeverre speelt cybersecurity een rol in jullie werk?
‘Tot een jaar geleden in de basis nog weinig. Dat veranderde pakweg een jaar geleden met het oprichten van de werkgroep Cybersecurity van Holland Solar. Ik sloot me daar direct bij aan. Belangrijk daarbij is te vermelden dat Everday onderdeel is van Greenchoice. Dat liet een assessment doen van alle assets, zon en wind. Daarbij kwamen een aantal constateringen naar boven aangaande de OT oftewel Operationele Technologie.’
Die betroffen?
‘Als de IT niet goed in elkaar zit, heeft dat natuurlijk consequenties voor de cybersecurity van de OT. Zo maken wij gebruik van een VPN-netwerk om op afstand met systemen te connecteren. Als een kwaadwillende hacker door het kraken van 1 wifi router alle assets kan bereiken en die bijvoorbeeld op en af kan schakelen, dan is dat een heel groot risico. Tegelijkertijd is dat snel in te perken door segmentatie van het VPN-netwerk. Dit hebben we dan ook snel geïmplementeerd.’
Het is een quick fix?
‘Exact. Daarnaast denken we verder. De digitale veiligheid van een VPN-netwerk is uiteraard ook afhankelijk van de personen die er gebruik van maken. Wij werken in dat kader met routers van het Litouwens bedrijf Teltonika. Dat heeft een managementsysteem met tweestapsverificatie. Hierin kunnen gebruikersprofielen met rechten aangemaakt worden en deze faciliteert VPN-connectiviteit. De tunnels blijven maar een half uur open waardoor het risico dat alles met elkaar verbonden is niet meer bestaat. Daardoor wordt de digitale veiligheid direct een stuk beter en is er meer controle en faciliteit om het te managen.’
En naast die connectiviteit?
‘Er staat ook allerhande apparatuur in het veld, bijvoorbeeld dataloggers en power plant controllers. Die zijn beschermd door wachtwoorden. De fabrikanten, vaak ook de producenten van de omvormers, leveren die mee. Ze geven daarbij de boodschap af dat het verstandig is om die aan te passen. In die zin nemen ze dus verantwoordelijkheid voor digitale veiligheid, maar ze forceren het niet. Ze zouden het technologisch kunnen afdwingen.’
Everday past alle wachtwoorden aan?
‘De eenvoudige standaardwachtwoorden zijn aangepast in complexe wachtwoorden met 24 karakters, wat tevens een gemakkelijke maatregel is. Daarbij gaat het dan uiteraard wel om honderden wachtwoorden, wat de noodzaak van een wachtwoordbeheersysteem betekent, inclusief persoonlijke profielen en registratie. Maar deze actie is van groot belang. Ik denk dat toegang van vaak buitenlandse leveranciers of gelieerde partijen en overheden het grootste veiligheidsrisico is.’
Everday beheert meer dan 300 assets en heeft een eigen team met Field Service Engineers…
‘We hebben dan ook een zero trust policy. Dat betekent bijvoorbeeld dat deze engineers gebruik- maken van een gereedschaps-laptop, bedoeld voor specifiek gebruik en het maken van connecties met onze IT en OT. Maar digitale veiligheid creëren vergt natuurlijk meer dan dit soort maatregelen, dit moet vooral organisatorisch worden geborgd en gedragen.’
Wat doen jullie op dit vlak?
‘We gaan verschillende normen hanteren. Denk daarbij aan de ISO 27001, een standaard voor informatiebeveiliging, en de IEC 62443 - een set aan industriële cyber security-normen gericht op de Operationele Technologie (OT). Daarnaast willen we uiteraard ook voldoen aan de Europese Network and Information Systems 2 (NIS2), wetgeving waarin nog veel meer eisen worden gesteld aangaande digitale veiligheid. Die zijn van toepassing op vele bedrijven, ook in de zonne-energieketen, bijvoorbeeld serviceproviders en anderen die connectie willen maken met assets. Wat dat betreft zie ik mogelijke problemen in de toekomst. Verschillende partijen kunnen straks verschillende veiligheidseisen hanteren. Dat kan leiden tot conflicten en dat we met elkaar in gesprek moeten. De wetgeving gaat immers over ketenintegratie. Het lijkt me goed dat projectontwikkelaars hieromtrent standaardeisen in het bestek van eisen meenemen.’
Jullie nemen cyber security zeer serieus, geldt dat ook voor andere partijen in jullie werkveld?
‘Dat weet ik niet, ik denk dat het begint te komen. Een van de uitdagingen daarbij betreft de kosten. Het implementeren van de noodzakelijke maatregelen vergt geld en tijd, temeer omdat er ook een probleemeigenaar binnen een o&m-organisatie moet worden aangesteld. Er zal een extra functie moeten worden gecreëerd. Die rol ga ik op me nemen binnen de Greenchoice groep. Iemand zal die kosten op zich moeten nemen. Hoe dit juridisch vastligt in bestaande contracten moet nog bekeken worden. De eigenaren moeten de urgentie dus ook inzien, en dat doen ze niet altijd. Bovendien hebben ze doorgaans weinig verstand van deze materie.’
Jouw advies aan collega o&m-bedrijven is?
‘Zet vol in op cyber security. Die quick wins zijn relatief gemakkelijk te realiseren. Structurele actie is wettelijk verplicht en ook los daarvan noodzakelijk. Betrek daar ook je ketenpartners bij. Digitale veiligheid van ons energiesysteem is een zaak van alle betrokkenen.’