Management

Security
Zonnepaneel

Zonnepanelen brengen Nederland in gevaar

O nee, het zijn de omvormers, of beter de producent ervan, en de lakse houding van de autoriteiten

4 augustus 2017

O nee, het zijn de omvormers, of beter de producent ervan, en de lakse houding van de autoriteiten

Het akelige spook van de slecht beveiligde IoT-apparatuur steekt de kop weer op, deze keer via opwekking van zonne-energie thuis. Maar de autoriteiten reageren op Colijn-achtige wijze: u hoeft zich niet druk te maken.

Voor wie het niet meer weet, of nooit geweten heeft: Colijn was de minister president die het Nederlandse volk geruststellend toesprak nadat Duitsland tegen de verdragen in het Rijnland militair herbezette; uit het gebrek aan reactie in de buurlanden putte het Duitse regime moed voor verdergaande militaire manoeuvres die uiteindelijk uitmondden in de Tweede Wereldoorlog.

Zo gespannen als toen is de internationale situatie op dit moment niet, of nog niet. Maar in vergelijking met die tijd hebben we onze samenleving wel veel kwetsbaarder gemaakt. Het jongste voorbeeld is de energieopwekking thuis. Omvormers van producent SMA - die de energie van zonnepanelen geschikt maken voor het stroomnet - blijken uitermate kwetsbaar voor hacks, constateert ethisch hacker Willem Westerhof van het Haarlemse ITsec.

Dat ligt aan de standaard fouten bij de beveiliging van dit soort apparatuur. Het begint al weer met het niet-afdwingen van een veilig wachtwoord. Je kunt het apparaat koppelen en zo aan de slag, zonder het standaard wachtwoord van 5 nullen te veranderen. De omvormers van SAM hebben ook geen mechanisme om aanvallen met brute kracht te smoren. Je kunt ongelimiteerd wachtwoorden blijven proberen tot je de juiste hebt gevonden. De fabrikant heeft ook nog een superwachtwoord ingebouwd; als een hacker daar de hand op legt, zijn de rapen helemaal gaar. En er is ook nog sprake van andere lekken. Westerhof geeft daar meer details van op het hackersfestival SHA2017, maandag, in Zeewolde.

Risico op grote stroomstoringen

Is dat erg? Je zou zeggen van wel. Als je bij de omvormer kan, kun je de stroomproductie stilleggen. En door zonne-energie opgewekte elektriciteit is voldoende ingeburgerd om langs die weg problemen te veroorzaken. Westerhof schat dat voldoende apparaten van SMA benaderbaar zijn om op een zonnige dag in één klap 15 gigawatt af te schakelen. Dat kan eventueel ook met eerder in bedrijfs- en thuisnetwerken binnengesmokkelde malware die op het uur U in actie komt.

Als je in korte tijd zoveel opwekcapaciteit weet af te schakelen, ontstaat er onbalans in het netwerk die tot grote problemen kan leiden. In 2006 kregen we daar een voorbeeld van. Een hoogspanningskabel werd toen onbedoeld afgekoppeld in Duitsland, waardoor in het Europese energienet een tekort ontstond van 5 gigawatt. Onder andere Parijs, Madrid en delen van Noord-Brabant kwamen toen uren zonder stroom te zitten.

Autoriteiten reageren laconiek

Westerhof heeft zijn bevindingen eind vorig jaar gedeeld met netwerkbeheerder Tennet, het Nationaal Cyber Security Center en fabrikant SMA. Die lijken niet onder de indruk. Acht maanden later reageren ze in ieder geval nogal laconiek tegenover de Volkskrant, waar Westerhof zijn verhaal aan deed. Er zullen maatregelen genomen worden als blijkt dat dit noodzakelijk is, zegt een woordvoerder van Economische Zaken desgevraagd. En Tennet is vol vertrouwen dat het ook op extreme situaties is voorbereid. SMA wijst nog eens op de eigen verantwoordelijkheid van de koper van zijn producten, en ontkent dat zijn producten onveilig zijn; tegenover de Common Vulnerabilities and Exposure Authorities heeft het echter nu wel erkend dat er 'zero days' in zijn producten zitten.

Het is niet de eerste keer dat gewezen wordt op de onveiligheid van apparaten die het Internet of Things vormen. Het zal ook wel niet de laatste keer zijn. Maar de kwetsbaarheden waar Westerhof op wijst, zijn wel zeer ernstig. Stroomstoringen zijn een ideaal middel om maatschappelijke ontwrichting teweeg te brengen. En de Oekraïne - dat al twee keer slachtoffer werd - is er bewijs van dat er partijen actief zijn die bereid zijn om dit instrument in te zetten. In een tijd van internationaal oplopende spanningen is het dan ook niet goed te begrijpen, dat de autoriteiten zich zo laconiek tonen.

Wetgeving en controle gevraagd!

Westerhof heeft voor hen in ieder geval wel een advies. "Gebrek aan wetgeving en controle op de digitale beveiliging van dergelijke apparatuur vormen het grootste risico. Certificering en verantwoording van eigen bedrijven moeten dan ook hoog op de politieke agenda komen”, laat hij noteren in een persbericht van ITsec. "De meeste (industriële) Internet of Things apparaten worden puur ontwikkeld en ontworpen op basis van functionaliteit. Het security aspect wordt niet meegenomen in het ontwerp. Als argument noemen fabrikanten gebrek aan kennis, middelen, geld. Geld in de portemonnee lijkt het te winnen van veiligheid in de toekomst. Het moet een keer goed misgaan wil men in actie komen.”

 

Lees meer over
Lees meer over Management OP AG Intelligence
5
Reacties
Wouter 07 augustus 2017 11:03

Er bestaat wetgeving om te verhinderen dat high-tech naar ongewenste landen wordt ge-exporteerd (om veiligheidsredenen). Soortgelijke wetgeving bestaat voor import van ongewenste producten, bedreigde dieren, etc.
Waarom deze lijsten niet "even" uitbreiden met onveilige netwerkapparatuur?

Louis 05 augustus 2017 15:47

Het komt vooral dat in het algemeen politici van IT weinig snappen.Met alle recente hacks en de gevolgen daar van is het misschien verstandig een ministerie van technologie te krijgen. De snelle technologische ontwikkelingen en de daarmee samenhangende veiligheidsvraagstukken, vragen om een goed uitgedacht strategisch, tactisch en operationeel beleid. Dit soort supper knullig beveiligde apparatuur mag gewoon niet op de markt komen. Triest om te zien dat er bovendien niet adequaat wordt gereageerd. Ook zonder wetgeving had het ministerie druk kunnen uitoefenen.

Gerard 05 augustus 2017 10:25

Beste Jelle: Wie lokte de WO II uit?

Pieter 04 augustus 2017 14:12

Ah, de omgekeerde Y2K aanpak. Ipv super voorbereid te zijn en "haha zie je wel dat het niks was" gaan we gewoon "ha ha, paniek om niks" roepen tot alles stil valt. En reageren als het nodig is... Dit is gewoon schuldig verzuim. Tijd om de betrokken partijen voor een ultimatum te stellen: oplossen voor 30 augustus anders start er een rechtszaak. Het zinnetje "het security aspect wordt niet meegenomen in het ontwerp..." is al reden genoeg om wat koppen te laten rollen.

Reactie toevoegen