Skip to main content

Er komen steeds meer ‘slimme’ energiesystemen en apparaten die digitaal worden aangestuurd. Zo kunnen pv-installaties, elektrische auto’s en thuisaccu’s op afstand worden geregeld, en moeten slimme warmtepompen in de toekomst kunnen worden aangestuurd om het net te ontlasten. Agentschap Telecom gaat onderzoek doen naar de cyberveiligheid ervan.

Verschillende onderzoeken van onder andere de AIVD, de militaire inlichtingendienst MIVD en de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) tonen aan dat de digitale infrastructuur in Nederland wordt bedreigd, terwijl de beveiliging achterblijft. Agentschap Telecom waarschuwt voor de gevolgen: “Onze samenleving is in hoge mate afhankelijk van de digitale infrastructuur. Daardoor kunnen cyberaanvallen leiden tot zeer ernstige crises.” Het agentschap denkt daarbij niet alleen aan aanvallen op energiecentrales of telecomnetwerken, maar ook aan digitale inbraken op bijvoorbeeld pv-systemen en warmtepompen.

Onderzoek in eigen IoT-lab

Om de kwetsbaarheid van die laatste categorie in kaart te brengen, gaat het agentschap onderzoek doen in een eigen IoT-lab. Daarbij staat volgens de organisatie vooral apparatuur in de belangstelling die “voorwaardelijk is voor het realiseren van de energietransitie”, zoals laadpalen, warmtepompen, pv-systemen en thuis-accu’s. Brendan de Graaf, directeur van Lyv Energy Management Solutions juicht toe dat het onderwerp hoger op de agenda komt. “En dat staat nog los van de huidige actualiteit. Ik zeg al jarenlang dat cybersecurity bij energiesystemen onderbelicht blijft, met name als het om pv-installaties gaat. In de markt is hier geen aandacht voor.”

Risico bij warmtepompen ‘zeer klein’

De Graaf wijst expliciet op pv-installaties, want het risico op een digitale inbraak bij warmtepompen is volgens hem zeer klein: “Veel warmtepompfabrikanten noemen hun producten ‘smart’, maar dat is een inhoudsloze marketingterm. Er is nog steeds geen standaard ontwikkeld voor communicatie tussen warmtepompen en het energienet. Daardoor is de kans dat de aansturing van een warmtepomp ongevraagd wordt overgenomen door een externe partij op dit moment beperkt.”

Op afstand aanstuurbare omvormers

Volgens De Graaf spelen mogelijke cybersecurity-risico’s echter wel degelijk bij pv-installaties, en dan met name bij de omvormers die van afstand kunnen worden aangestuurd. “In theorie zou een externe overheid of kwaadwillende organisatie daar misbruik van kunnen maken. Dat is zeker niet eenvoudig – er is geavanceerde software voor nodig en er moeten beveiligingssystemen worden omzeild – maar het is niet onmogelijk. In Nederland zijn ontelbaar veel omvormers operationeel; er is geen zicht op de aantallen en de mate waarin systemen zijn beveiligd. Terwijl het grote gevolgen voor het energienet kan hebben als een groot aantal omvormers wordt uitgeschakeld, ook al is het maar voor heel korte tijd.”

Voorbeelden van incidenten

De Graaf illustreert het met een paar voorbeelden uit het recente verleden: “In Roemenië werden een paar jaar geleden door een technisch ongeval een groot aantal omvormers ineens afgeschakeld, met een gedeeltelijke black-out op het stroomnet als gevolg. En ook in Engeland heeft een dergelijk incident plaatsgevonden. Daarbij ging het eveneens om een technische storing, maar het is niet ondenkbaar dat kwaadwillenden er ooit doelbewust op inzetten.” De Graaf noemt de voorbeelden niet om ‘paniek te zaaien’, stelt hij. “Het is niet gezegd dat we er snel mee krijgen te maken. Maar het is goed dat er veel meer aandacht voor komt, om toekomstige risico’s te beperken.”