Omvormers van zonnepanelen blijken kwetsbaar voor hackers en storingen

Het kan zomaar gebeuren dat heel Nederland geen elektriciteit meer heeft als gevolg van grote cyberaanvallen op onze zonnepanelensystemen, zo heeft de Rijksinspectie Digitale Infrastructuur (RDI) gewaarschuwd. 

Uit onderzoek blijkt dat de omvormers van de zonnepanelen, die de opgewekte stroom verwerken, kwetsbaar zijn voor hackers en storingen vanwege slechte beveiliging. Geen van de onderzochte omvormers voldeed aan de veiligheidsnormen. Hierdoor kunnen de omvormers relatief gemakkelijk gehackt worden en op afstand uitgeschakeld of gebruikt worden voor DDoS-aanvallen. 

Maar hoe waarschijnlijk is zo’n aanval? Hackers met slechte bedoelingen kunnen aanzienlijke schade veroorzaken, zegt John Derksen, directeur Apparatuur van het RDI. ‘Als je een georganiseerde actie uitvoert waarbij alle omvormers tegelijkertijd worden uitgeschakeld en vervolgens weer ingeschakeld worden, ontstaan er pieken in het elektriciteitsnet. Dit kan het netwerk overbelasten en Nederland zonder elektriciteit laten zitten.’

Mogelijke hack bedreigt zonne-energiesystemen

Frank Breedijk is een ethische hacker die de zwakte herkent. Hij is lid van het Dutch Institute for Vulnerability Disclosure (DIVD), een organisatie die de digitale wereld veiliger wil maken. Als vrijwilliger kreeg hij toegang tot een online beheersysteem voor zonnepanelen. Hierdoor kon hij in miljoenen zonnepanelen over de hele wereld kijken, waaronder ongeveer 40.000 in Nederland. 

Ook Holland Solar, de belangenbehartiger van de zonne-energiesector, ziet het gevaar van een grote hack. Directeur Wijnand van Hooff zegt dat als tienduizenden huizen tegelijkertijd hun omvormers uitschakelen, dit invloed kan hebben op het energiesysteem.

Het gevaar schuilt in de enorme daling van de elektriciteit in het netwerk, waardoor bijvoorbeeld een transformatorhuisje kan doorbranden. ‘Dit kan leiden tot een wijk zonder stroom, of bij een grote aanval zelfs een stad of heel Nederland’, zegt Van Hooff.

De kwetsbaarheid van zonnepanelensystemen is zorgwekkend, zegt ook Theo Scholten van Netbeheer Nederland, de branchevereniging van energienetbeheerders. Scholten noemt het een belangrijk signaal van de RDI. Netbeheerders pleiten daar al jaren voor: we moeten meer aandacht besteden aan de beveiliging, volgens Scholten.

In elk huishouden dient de omvormer gehackt te worden

Scholten heeft echter wel twijfels. Er is gevaar aanwezig, maar volgens Netbeheer Nederland is de kans op een landelijke storing door een hack erg klein, gelukkig maar. 

Ethisch hacker Breedijk is het daarmee eens. ‘Als je dit als hacker wilt doen, moet je serieus moeite doen.’ Je moet elke omvormer in elk huishouden afzonderlijk uitschakelen. Het zou een georganiseerde aanval moeten zijn. ‘Maar als je eenmaal weet hoe het moet, is het makkelijker,’ aldus Breedijk. 

Vanaf augustus 2024 gelden er strengere eisen voor de cyberveiligheid van zonnepanelen. Netbeheer Nederland en Holland Solar zijn daar blij mee. Omdat een grootschalige aanval onwaarschijnlijk is, is er geen reden tot paniek, zeggen ze. Maar het wordt wel aanbevolen om een sterk wachtwoord te kiezen om een mogelijke hack te voorkomen.