Wapent de Belgische zonne-energie- en batterijsector zich voldoende tegen digitale dreigingen?

Wat doe jij bij Toreon?
‘Ik heb 2 petten op bij ons bedrijf. Als consultant energie en industrie hou ik me onder meer bezig met de implementatie van het Network and Information Security Directive 2 (NIS2) van de EU bij klanten. Als business developer richt ik me tevens op waar de markt naartoe gaat wat betreft allerhande aspecten van digitale veiligheid, bijvoorbeeld, regelgeving, governance, dreigingen en oplossingen. Ik adresseer tevens het belang daarvan waar nodig, voor de energiemarkt bijvoorbeeld bij Flux50, de energiespeerpuntcluster van de Vlaamse Overheid.’

Jij bent tevens voorzitter van de Operational Technology (OT) Focus Groep bij de Belgian Cyber Security Coalition (BCSC)…
‘Daar richt ik me dus op allerhande hardware en software die direct verbonden is met de fysieke wereld; bijvoorbeeld data verzamelt, communiceert en apparaten en processen aanstuurt. Ook wat dit betreft is cybersecurity een uitdaging, zeker waar delen van machines al tientallen jaren leven, zoals in gas- en waterkrachtcentrales uit de jaren ‘70.’

Hoe groot is de digitale dreiging voor de hernieuwbare energiesector?
‘Centrale productie-installaties zijn een primair doelwit, zoals we nu in Oekraïne zien. Vreemd is dat niet. Leg je deze plat, dan treft je direct een groot deel van de energievoorziening van een land. Bij nucleaire installaties is er uiteraard altijd veel aandacht voor veiligheid geweest, ook met het oog op een IT-aanval. Bij gedistribueerde energiesystemen zoals pv-installaties was dat minder het geval. Nochtans kunnen die tevens een target zijn. Maar worden ze getroffen, dan is de impact veel minder groot door het grote aantal sites dat zou moeten worden aangevallen en herstel gemakkelijker. Er wordt in dergelijke situaties dus gekozen voor de weg van de minste weerstand en maximaal resultaat.’

Je hebt het over een oorlogssituatie en cyberaanvallen vanuit buitenlandse overheden…
‘Digitale aanvallen op onze decentrale energieproductie zijn absoluut geen onrealistisch scenario, hoewel we daar nog geen bevestiging van hebben. Kwaadwillende nation states, de usual suspects, zijn absoluut geïnteresseerd in de kwetsbaarheid van onze energievoorziening. Ze verzamelen proactief informatie, zonder dat daar al concrete plannen aan ten grondslag liggen, bijvoorbeeld aangaande de netstabiliteit. Dat kan onder meer via data-capture bij pv-installaties of middels het hacken van een netbeheerder. Eenmaal ontdekt, wordt zo’n lek echter natuurlijk snel weggewerkt.’

Ook criminele organisaties voeren digitale aanvallen uit…
‘Die opereren veelal als bedrijfsmatige organisaties, met mensen in dienst die gewoon betaald moeten worden. Een snelle return on investment staat centraal. Ze willen rap geld zien bij een digitale gijzeling of datadiefstal. Ook zij zoeken de gemakkelijkste weg naar binnen. Die loopt doorgaans via kwetsbaarheden in apparaten zoals printers en koffiezetapparaten, typisch slecht beveiligde Internet of Things (IoT)-devices. En ook zonnepaneelinstallaties en batterijen zijn steeds vaker connected…’

Hoe goed zijn deze beveiligd tegen digitale aanvallen?
‘Vaak niet afdoende, zoals iedereen kan zien op Shodan, een zoekmachine voor apparaten die met het internet verbonden zijn. Je kunt er onder meer technische details vinden zoals softwareversies, de status van gateways en configuraties. Selecteer je bijvoorbeeld op Industrial Control Systems, dan vind je heel veel IoT-devices van duurzame energiesystemen zoals Programmable Logic Controllers (PLC’s) en omvormers die openstaan in hun communicatie met het internet. Vaak zijn de standaardwachtwoorden niet aangepast. Je kunt er dus zo in.’

De sector is zich bewust van dit alles, ziet cybersecurity als een belangrijk issue?
‘Het bewustzijn groeit, maar het probleem is dat betrokken partijen nogal eens naar elkaar wijzen als het over verantwoordelijkheden gaat. De installateur kijkt naar de fabrikant, de fabrikant naar de eigenaar – die zou ten minste moeten zorgen voor een veilig wachtwoord. De eigenaren van zonnepanelen, opslagsystemen en slimme laadpalen denken dat de installateur en fabrikant het allemaal wel goed geregeld zullen hebben. Er is dus over en weer sprake van valse verwachtingen.’

Hoe breng je daar verandering in?
‘De belangrijkste driver van digitale veiligheid in de sector is nieuwe regelgeving vanuit Europa vanuit een shared responsibility-model. Met NIS2 verplicht de EU middelgrote en grote organisaties in kritieke sectoren, zoals de hernieuwbare energiebranche, hun cybersecurity op orde te hebben, inclusief risicobeheer, meldplicht bij incidenten, strengere toezicht- en sanctieregels en melding van ernstige incidenten. De Cyber Resilience Act (CRA) richt zich op fabrikanten en leveranciers van digitale producten en stelt eisen aan veilig ontwerp, productie en updates om kwetsbaarheden te verminderen.’

Deze regelgeving gaat een groot verschil maken?
‘NIS2 legt geen concrete invulling van maatregelen op, maar verplicht wel tot nadenken over een aantal cruciale zaken, zoals risicomanagement, de beveiliging van operationele technologie, het gebruik van betrouwbare leveranciers en governance. De CRA is technologisch iets dwingender. Maar waar het om gaat: deze nieuwe wetgeving gaat het gesprek op gang brengen; niet alleen zorgen dat er cruciale vragen worden gesteld, maar ook dat die worden beantwoord.’

Alle betrokkenen zullen daarin meekunnen?
‘Grotere partijen moeten wel, ook omdat hun klanten, bedrijven bijvoorbeeld, van hen gaan vragen om aan te tonen dat ze voldoende digitale veiligheid bieden. Voor kleinere installateurs ligt het anders uiteraard. Werk je met een paar mensen, met name in de residentiële markt, dan is je capaciteit beperkt en denk je eerder aan de volgende klus dan aan een heel framework aangaande cybersecurity opzetten. Maar brancheorganisaties zoals PV Vlaanderen en ODE, die steeds meer met dit thema bezig zijn en bijvoorbeeld informatiesessies organiseren, kunnen hen dit wel aanreiken. En daarnaast is er uiteraard het Centrum voor Cybersecurity België (CBB), dat onder meer fungeert als centrale meld- en coördinatiepunt voor cybersecurityincidenten in België en organisaties helpt bij preventie, reactie en compliance.’

Is dit allemaal genoeg om cybersecurity in de Belgische pv- en energieopslagsector te garanderen?
‘Perfect zal het nooit zijn, temeer omdat het energiesysteem sterk in beweging is. Zo zien we nu vele partijen opkomen die actief op flexibiliteit van energiesystemen sturen, bijvoorbeeld aggregators die pv en batterijen ten behoeve van balans op het stroomnet, en energiemanagementsystemen op de markt brengen voor optimalisatie achter de meter. Dat is niet per definitie slecht, maar het betekent wel dat het risicoprofiel aangaande digitale veiligheid verandert. Bovendien voldoen niet allen aan de strengste eisen aangaande cybersecurity. Nog zo’n speciale doelgroep zijn o&m-partijen, die vaak vele megawatts aan zonnepaneelsystemen en batterijen onder beheer hebben, wat ze tot een interessant doelwit kan maken.’

Jouw boodschap aan spelers in de hernieuwbare energiesector is?
‘Neem digitale veiligheid serieus, maar maak er geen struikelblok van voor jezelf. Stel vragen, informeer jezelf, praat met gelijkgezinden en experts. Wat wordt van je verwacht, vanuit regelgeving en vanuit de klant, wat kun de doen? Cybersecurity is een continu proces; het vraagt voortdurende aandacht, samenwerking en een proactieve houding van alle betrokken partijen. Wie nu de juiste stappen zet, realiseert niet alleen veiligere installaties, maar versterkt ook het vertrouwen van klanten en de stabiliteit van het energiesysteem.’