Omvormers, apparaten om zonne-energie om te zetten in elektriciteit, Zijn niet bestand tegen hackers die kwaad in hun zin hebben. Als ze met internet zijn verbonden, zijn ze eenvoudig te hacken, van afstand uit te schakelen of in te zetten voor DDoS-aanvallen. Tevens kunnen cybercriminelen via Omvormers persoons- en gebruiksgegevens bemachtigen.
Daarvoor waarschuwt de Rijksinspectie Digitale Infrastructuur (RDI), voorheen bekend als het Agentschap Telecom. De inspectie startte in 2021 een onderzoek om te kijken of de omvormers van zonnepaneelinstallaties voldoen aan de wettelijke eisen. Het gaat om negen verschillende modellen.
Het is slecht gesteld met de beveiliging van omvormers
Uit het onderzoek blijkt dat Geen Enkele Omvormer aan alle voldoet. Vijf van de negen omvormers blijkt een storing te kunnen veroorzaken. Dat heeft mogelijk gevolgen voor alledaagse toepassingen, zoals luisteren naar de radio of het gebruiken van draadloze tags. Door storingen in de omvormers functioneert consumentenelektronica minder goed of niet. Zelfs de lucht- en scheepvaart kan er last van ondervinden, zo waarschuwt de RDI.
Op het gebied van cybersecurity is het nog ernstiger gesteld. Geen enkele van de onderzochte omvormers voldoet aan de veiligheidsnorm. Dat betekent dat ze eenvoudig zijn te hacken of van afstand zijn over te nemen. Het is in theorie zelfs mogelijk om ze in te zetten voor een DDoS-aanval. Tot slot kunnen hackers via de omvormers persoons- en gebruiksgegevens stelen van consumenten.
Onderzochte omvormers voldoen niet aan veiligheidsnormen
De RDI keek naar acht verschillende aspecten om te oordelen over de veiligheid van omvormers. Denk aan de standaardwachtwoorden, beveiliging van persoonlijke gegevens, het uitbrengen van software-updates en het rapporteren van kwetsbaarheden.
Geen enkele omvormer voldeed aan alle veiligheidsnormen. Zo gebruiken fabrikanten universele en zwakke standaardwachtwoorden die eenvoudig op internet zijn te vinden. Ook blijkt vrijwel geen enkele omvormer updates te ontvangen. En als die wel worden uitgerold, dan is het voor consumenten lastig om deze te installeren. Als hackers toegang hebben tot een omvormer, hebben ze tevens toegang tot het thuisnetwerk van gebruikers.
Tot slot waarschuwen onderzoekers dat de privacy van gebruikers in gevaar is. Persoonsgegevens en data over stroomverbruik en -opbrengst kunnen eenvoudig worden onderschept of gestolen.
Kwetsbaarheid van digitale infrastructuur
“De naleving van de eisen die Nederland storingsvrij moeten houden, is ondermaats en niet zoals het moet zijn. Daarnaast is het slecht gesteld met de cyberveiligheid. Dit maakt onze analoge en digitale infrastructuur kwetsbaar, zeker nu het aantal zonnepaneelinstallaties in ons land met de dag groeit”, concludeert de RDI.
Dat brengt volgens de onderzoekers grote risico’s met zich mee voor onze samenleving, waaronder grootschalig hacks van zonnepaneelinstallaties. Of in het meest ernstige scenario een gedeeltelijke black out als de omvormers van afstand worden overgenomen. Als de omvormers worden gebruikt voor DDoS-aanvallen, dan kan dat schade aanrichten aan de vitale infrastructuur.
Dit kun je doen om risico’s te vermijden
Om beveiligings- en privacyrisico’s tegen te gaan, adviseert de RDI om het standaardwachtwoord te wijzigen naar een sterk wachtwoord. Dat kan via de website of de app van de fabrikant. Een tweede tip is om tweefactorauthenticatie in te schakelen, als dit mogelijk is. Een gebruikersnaam en wachtwoord zijn dan onvoldoende om toegang te krijgen tot een omvormer. Controleren of er updates beschikbaar zijn is de derde tip die de onderzoekers meegeven.
Verder raadt de inspectie om aan naar de CE-markering te kijken. Als deze afwezig is of lijkt op het China Export logo, voldoet de betreffende omvormer niet aan de Europese eisen. Daarnaast adviseert de RDI om kritisch na te denken of het nodig is om bepaalde persoonsgegevens te verstrekken. Is dat niet geval, doe dat dan niet.
De eenvoudigste manier om je omvormer te beschermen tegen hackers, is door hem niet met het internet te verbinden. De omvormers zijn onveilig zodra ze verbonden worden met het internet. Door ze offline te houden, mijd je onnodige risico’s.
Tienduizenden zonnepanelen Solarman kwetsbaar
Het is niet de eerste keer dat men wijst op de mogelijke gevaren van zonnepanelen. In juli 2022 schreef Follow The Money dat tienduizenden zonnepanelen van Solarman kwetsbaar zijn doordat wachtwoorden op het internet rondslingeren. Een ethische hacker vond op ontwikkelaarsplatform GitHub de gebruikersnaam en het wachtwoord van een admin-account. Daarmee kon hij inloggen op het dashboard van de beheerder.
Eenmaal ingelogd was het mogelijk om persoonsgegevens van klanten in te zien en instellingen aan te passen. Verder bleek dat de ethische hacker nieuwe firmware voor omvormers kon uploaden. Daarmee is het in theorie mogelijk om het stroomnet te beïnvloeden en black outs te veroorzaken. De ontdekker probeerde Solarman te waarschuwen voor het lek, maar zonder succes. Uiteindelijk moest de Nederlandse ambassade in China eraan te pas komen.
