• 17u • 7 minuten leestijd
Hoe goed zijn
zonne-omvormers beschermd tegen cyberaanvallen? We stelden de vraag anderhalf jaar geleden al, na een uitgebreid onderzoek van
onze redactie. Toen al hadden er zich meerdere incidenten voorgedaan waarbij
onder meer een ethische hacker aan de besturing van een miljoen omvormers
raakte.
Die hacking gaat meestal via de software,
waarbij hackers lekken ontdekken in de geprogrammeerde verdedigingslinie van de
omvormers (de zogenaamde firewall) en zo proberen de toestellen onder
controle te krijgen. Maar het kan blijkbaar ook anders, zo stelden Amerikaanse
onderzoekers nu vast.
Lekken in de software, maar ook in de hardware
De Amerikaanse veiligheidsdiensten maken zich al langer zorgen
over de groeiende dominantie van Chinese omvormers in de sector van de
zonne-energie. Wereldwijd komt zowat 80 procent van de slimme omvormers uit
China. Ze domineren ook de Amerikaanse markt en dat heeft de overheden wakker
geschud. Amerikanen vrezen dat China via zijn miljoenen omvormers wel eens het
stroomnetwerk zou kunnen verstoren, wat kan leiden tot black-outs, massale
stroompannes.
Dus verscherpte de
Amerikaanse overheid de controles. Onlangs haalden veiligheidsspecialisten
meerdere Chinese omvormers uit elkaar en ontdekten dat er verdachte componenten
in zaten. Die wekten argwaan omdat ze niet in de technische beschrijving van de
omvormers waren opgenomen. De componenten werden gewoon niet verondersteld in
de omvormers te zitten.
Het bleek om
verstopte communicatieapparaatjes te gaan. Die zouden informatie vanuit de
omvormers direct naar China kunnen sturen, zo melden 2 bronnen dicht bij het
onderzoek. Ook in Chinese batterijen vonden ze verdachte toestelletjes: het
ging om kleine mobiele radio's die ook al niet in de technische documenten
waren beschreven.
Hardware die de
verdedigingssoftware omzeilt
Die "ongeautoriseerde
componenten" creëren extra "niet-gedocumenteerde communicatiekanalen
die firewalls op afstand kunnen omzeilen", stellen de 2 bronnen "met
mogelijk catastrofale gevolgen".
De meeste
Amerikaanse verdelers en installateurs laden namelijk hun eigen firewalls in de
omvormers die ze verkopen. De firewalls maken rechtstreekse communicatie en
data-uitwisseling met China onmogelijk. Maar dankzij de verborgen zendertjes en
radio's zou dat toch kunnen.
Vanuit China zouden de omvormers dan toch van op afstand
uitgeschakeld kunnen worden. Of China zou de instellingen van de omvormers
kunnen wijzigen. "Dat zou elektriciteitsnetten kunnen destabiliseren,
energie-infrastructuur kunnen beschadigen en een wijdverbreide stroomuitval
kunnen veroorzaken", aldus experts. "Dat betekent in feite dat er een
ingebouwde manier is om het net fysiek te vernietigen", zei een van de 2
bronnen.
De Amerikanen willen dan ook drastische maatregelen nemen.
Eerder al weerden ze Huawei, de Chinese wereldleider in omvormers, van hun markt.
Huawei mag ook geen componenten meer leveren voor 5G-netwerken. Het ministerie
van Binnenlandse Veiligheid zal binnenkort geen batterijen meer mogen gebruiken
van 6 Chinese fabrikanten. Die 6 zouden te nauw zouden verbonden zijn met
de Chinese communistische partij. Nutsbedrijven bereiden zich nu voor op
soortgelijke verboden voor Chinese omvormersfabrikanten.
Dat er in november jongstleden in de VS effectief meerdere
omvormers vanuit China werden stilgelegd, vermoedelijk door een technische
fout, maakt de Amerikanen nog argwanender.
Waken over zonne-energie is nodig
De bezorgdheid is dus niet helemaal ongegrond. De zonne-sector
is helemaal geen kleine jongen meer in de energiesector. Ook bij ons staan er
al een pak zonne-installaties. In Vlaanderen alleen al gaat het om meer dan 1
miljoen daken. Over de hele EU zijn dat er tientallen miljoenen. Die leveren op
een zonnige middag 122 GW stroom, evenveel als 122 grote kernreactoren. Zelfs
het volledige Europese kernenergiepark komt niet in die buurt: dat levert in
het beste geval zowat 90 GW stroom.
Zeker op zonnige middagen is zonne-energie met lengten
voorsprong de belangrijkste stroombron in Europa geworden. Het lijkt dan ook
logisch dat er nauwlettend op wordt toegekeken. Een welgemikte en goed getimede
aanval op onze zonne-installaties kan immers het hele Europese stroomnet doen
instorten. Dat is bestand tegen het gelijktijdig wegvallen van 4 grote
kernreactoren. Als je op een zonnige middag amper 4 procent van de
geïnstalleerde zonneparken in je greep krijgt, ben je die grens al voorbij.
Het is dan ook merkwaardig dat er bij ons niet meer aandacht
gaat naar de beveiliging van onze zonne-installaties. We staan er amper bij
stil dat de sturing van die belangrijke stroombron, de omvormers dus, compleet
wordt gedomineerd door Chinese fabrikanten. Chinese bedrijven zoals Huawei,
Sungrow, Growatt, Goodwe, Ginglon... hebben meer dan 80 procent van de
wereldmarkt in handen. Ook in Duitsland zijn 80 procent van de omvormers
intussen van Chinese makelij. Terwijl de Duitsers 10 jaar geleden de markt nog
domineerden.
Die omvormers zijn intussen dus allemaal 'slim' geworden.
Verbonden met het internet kan je ze van op afstand aansturen, voor
software-updates bijvoorbeeld en kunnen ze ook data uitsturen over de opbrengst
van je zonnepanelen. Anderhalf jaar geleden toonden we al hoe een installateur
duizenden omvormers van op afstand kon afschakelen. Handig voor updates of
herstellingen, maar dat maakt de omvormers ook kwetsbaar voor cyberaanvallen.
Kwetsbaarheid is al aangetoond
En er is reden tot bezorgdheid: in 2022 kon een Nederlandse
ethische hacker inbreken in een Chinees softwareplatform dat een miljoen
geïnstalleerde omvormers aanstuurde. Het paswoord van de
super-administrator bleek niet beveiligd.
Dat deed de alarmbellen rinkelen. Tot dan bleef de
cyberbescherming van zonne-energie in Europa onder de waterlijn. De meeste
zonne-installaties zijn namelijk klein: een paar duizenden zonnedaken
afschakelen zal het stroomnet niet hinderen. Niemand ging ervan uit dat er
tegelijk honderdduizenden installaties konden worden aangestuurd. Maar hier
ging het plots over een miljoen.
Toen het Chinese bedrijf na bijna 8 maanden het slechte paswoord
nog altijd bleef gebruiken greep de Nederlandse overheid in. Ze contacteerde de
Chinese ambassade, waarna het gekraakte paswoord meteen verdween.
Nederland liet meteen 9 omvormers doorlichten op hun
cyberveiligheid. Geen enkele bleek te voldoen aan de minimale Europese
veiligheidsnormen. Als de toestellen niet dringend werden aangepakt, zouden ze
van de markt worden gehaald, dreigde de bevoegde overheid.
Maar er lijkt nog wel wat werk aan de winkel: vorige zomer
raakte alweer een Nederlandse ethische hacker op een platform waar maar liefst
4 miljoen omvormers werden aangestuurd. Deze keer ging het om een Amerikaanse
producent. De hackers ontdekten 6 lekken in het beveiligingssysteem, die wel
meteen werden aangepakt. Ook bij een Duitse en 2 Chinese fabrikanten werden
eind maart nog meerdere veiligheidslekken vastgesteld.
Bezorgdheid groeit
Er zijn nog andere redenen tot bezorgdheid. Zo kwam SolarPower
Europe, de belangenorganisatie van de Europese zonne-energiesector, veertien
dagen geleden met een opmerkelijk rapport: "Solutions for PV Cyber Risks
to Grid Stability". Daarin uitte SolarPower Europe zijn bezorgdheid over
het toegenomen aantal cyberaanvallen op onze energie-infrastructuur. Eén van de
overgebleven Europese omvormersfabrikanten gaf ons mee dat zijn installaties
"wekelijks worden aangevallen".
Volgens SolarPower worden de omvormers ook veel te weinig
beschermd door de Europese richtlijnen. Die zijn voornamelijk gericht op grote
elektriciteitscentrales. De miljoenen kleine omvormertjes zijn "te
klein". De vereisten zijn navenant: de normen zijn veel te laks.
SolarPower vraagt dat Europa omvormers zou beschouwen als kritische
infrastructuur én strengere veiligheidseisen zou opleggen.
De organisatie wijst ook op de dominantie van de Chinese
fabrikanten: volgens hen kwamen in 2023 78 procent van de slimme omvormers uit
China. Ze wijzen erop dat de bedrijven gebonden zijn aan een wet waarbij ze de
staatsbelangen van China moeten ondersteunen.
SolarPower Europe nam vorige maand overigens een heel
opmerkelijke stap: ze gooiden de Chinese marktleider Huawei uit hun
organisatie. Huawei was één van hun hoofdsponsors. Maar in maart kwam het
Europese corruptieschandaal bij Huawei boven water waarbij. Het bedrijf wordt
ervan verdacht Europese ambtenaren te hebben omgekocht in ruil voor een
politieke voorkeursbehandeling. Dat maakte de positie van Huawei binnen
SolarPower Europe onhoudbaar.
Een aantal Europese landen zijn intussen ook in actie gekomen.
Litouwen heeft al een verbod uitgevaardigd tegen grotere Chinese omvormers: die
komen het land niet meer in. Het overweegt het installatieverbod nu ook uit te
breiden naar de kleinere omvormers die de zonnedaken van gezinnen aansturen.
In Estland riep het hoofd van de Buitenlandse Inlichtingendienst
op om Chinese omvormers te verbieden. In Groot-Brittannië is er een herziening
van de Chinese hernieuwbare energietechnologie in het Britse energiesysteem aan
de gang, met een focus op de omvormers.
Vlaanderen doet niets
En in Vlaanderen? Daar is het momenteel stil. Toen we eind 2023
informeerden hoeveel Chinese omvormers er in Vlaanderen staan, kregen we de
belofte van de toenmalige minister van Energie Zuhal Demir (N-VA) dat ze de
vraag zou stellen aan Fluvius.
In de databanken van Fluvius staan namelijk alle omvormers
aangemeld. Elke nieuwe zonne-installatie kan immers alleen na een technische
keuring worden goedgekeurd. In die keuring staat ook de omvormer, type,
vermogen en fabrikant. Die gegevens zijn nodig om het net in evenwicht te
houden. Ze vormen ook de basis voor de cijfers over onze zonne-energie:
aangroei en productie.
Meten is weten, dus het is interessant te weten hoeveel
omvormers er staan, om de grootte van het risico in te schatten. Maar het
kabinet-Demir slaagde er niet in ons de cijfers te bezorgen.
Ook aan de huidige minister van Energie Melissa Depraetere
(Vooruit) vroegen we in december vorig jaar telefonisch en per mail de cijfers
op. We kregen geen antwoord en stuurden begin januari een extra mail. Ook
hierop kregen we geen reactie. Toen we eind maart een derde mail stuurden,
antwoordde het kabinet wel:
"Je vraagt mij opnieuw naar de herkomst van alle omvormers
in Vlaanderen. Hier bestaan op vandaag geen volledige cijfers over.
Waardoor er ook geen representatief beeld kan gevormd worden."
Opmerkelijk: het Brusselse gewest bracht 5 jaar geleden
omvormers in Brussel al in kaart. En stelde vast dat op amper 5 jaar tijd het
aantal geïnstalleerde Chinese omvormers was vertienvoudigd. In 2020 kwamen 4 op
de 10 Brusselse omvormers al uit China.
Maar in Vlaanderen weten we 5 jaar later nog altijd niet waar we
staan.
