'Ieder huis een eigen noodmodus voor energie'

'Ieder huis een eigen noodmodus voor energie'
Hack the Power Grid is een 'hack-evenement' gericht op de 'cybersecurity' van het elektriciteitsnet en energiemanagementsystemen. Foto: Robèrt Kroonen.

Dat het Europese energienetwerk met elkaar is verbonden, maakt het net flexibel, duurzaam, schaalbaar en efficiënt, maar ook kwetsbaar. Hoe kunnen we ons Europese energiesysteem beter beschermen tegen steeds slimmere cyberaanvallen? Het goede nieuws: we kunnen ons er tegen verdedigen. In dat geval is het wel goed waarschuwingen niet in de wind te slaan, zo vertelt Chris van 't Hof, directeur van DIVD.

Dit weet je na het lezen: 

  • Een energiesysteem kan simpelweg plat worden gelegd door omvormers van zonnepanelen aan en uit te zetten.
  • Sabotage vanuit vooral Rusland is een serieuze bedreiging.
  • EU wet- en regelgeving legt verantwoordelijkheid van cyberveiligheid in energie-apparatuur bij producenten, installateurs en onderhoudsbedrijven.
  • Lokale duurzame energieopwekking, -opslag én -distributie is de oplossing. Gaat het dan fout, ligt niet het hele land plat.
  • Liefst nog een ‘rode knop’ in iedere meterkast, die je direct van het net afhaalt.

Het Dutch Institute for Vulnerability Disclosure (DIVD) is een groep van vrijwillige, zogeheten ethische hackers, die in 2019 is opgericht en inmiddels bijna tweehonderd hackers kent. Chris van ’t Hof, directeur van DIVD: “We mogen als vrijwilligers meer dan wanneer je wordt ingehuurd door een bedrijf om te testen of het systeem veilig is. We mogen zelfs meer dan de politie of veiligheidsinstanties. Belangrijk is wel dat we een maatschappelijk belang dienen. We hacken dan ook ongevraagd, maar geven uiteraard de resultaten aan de desbetreffende bedrijven of instanties. In de verwachting dat ze dit ook aanpassen in hun systemen of apparaten.”

Als dat niet gebeurt na meerdere herhaaldelijke kennisgevingen, dan brengt DIVD dit naar buiten. Zo is de organisatie ook in de energiewereld gerold, vertelt Van ’t Hof. “Een van onze hackers kreeg via een lek in Solarman-omvormers - van Chinese makelij - ‘realtime’ inzicht in de productie van ruim 10 GW aan zonne-energie op Europese daken. We zagen letterlijk het aantal locaties en de vermogens veranderen wanneer de zon opkwam. Het was live data uit meer dan een miljoen omvormers.”

Netbalans

In eerste instantie leek dat vooral een privacyvraagstuk: wie kan zien wanneer iemand bijvoorbeeld thuis is of niet? Maar bij DIVD had men al snel in de gaten wat het betekent als een kwaadwillende partij de software centraal beheert. Van ’t Hof: “Je kunt vanuit de ‘backend’ een update sturen, die ervoor zorgt dat alle omvormers tegelijk uitgaan. En dan weer aan, en weer uit, en aan. Dat kan de netbalans volledig verstoren. De Europese netten kunnen maar rond de 5 GW opvangen. Dit ging om 10 GW. De balans stort dan gewoon in, en het kost dagen om dat weer op te bouwen. Als afgestudeerd socioloog weet ik wat paniek met mensen persoonlijk en de samenleving als geheel doet. Een complete ontwrichting kan het gevolg zijn.”

Het kostte DIVD anderhalf jaar aan meldingen, escalaties en uiteindelijk politieke druk voordat de leverancier reageerde. Kamervragen volgden, netbeheerders kwamen in actie en uiteindelijk werd het lek opgelost. Dat moment zorgde voor een omslag bij DIVD. Want de ethische hackers vonden dat de energiesector te groot, te belangrijk en te kwetsbaar is om aan z'n lot over te laten. Vanaf dat moment werd het opsporen, testen en veilig melden van kwetsbaarheden in energieapparatuur een speerpunt.

Chris van t Hof. Foto: Robèrt Kroonen.
Chris van t Hof. Foto: Robèrt Kroonen.

Sabotage

Wie denkt dat het hacken van bijvoorbeeld zonnepanelen en laadpalen draait om datadiefstal of ‘ransomware’, onderschat de aard van de dreiging. Volgens Van ’t Hof is er in veel gevallen helemaal geen financieel motief. “Voor gewone cybercriminelen is dit niet zo interessant. Een database hacken is voor hen veel lucratiever. Waar het hier om gaat, is pure sabotage.”

En sabotage heeft verschillende gezichten. In de geopolitieke sfeer is Rusland het meest waarschijnlijke scenario. “Verdachte nummer één is Vladimir Poetin. De Russen staan erom bekend dat ze kritieke infra hacken. Dat doen ze nu al in Oekraïne, Estland, Letland en Polen. Als je een systeem openzet, zitten ze er binnen een minuut in.”

Maar de dreiging beperkt zich niet tot Rusland. Ook grote staatspartijen, activisten, gefrustreerde techneuten of zelfs onschuldige hobbyhackers kunnen in systemen rondneuzen en per ongeluk iets ontwrichten. “Er zijn hackers die ergens binnenkomen en denken: oh leuk, kan dit ook? Ze hebben geen idee van de impact.”

Verantwoordelijkheid

De combinatie van onbeveiligde apparaten, ‘cloudplatforms’ en grootschalige fysieke impact maakt het energiesysteem kwetsbaar op een manier die tien jaar geleden simpelweg niet bestond. Het huidige Europese elektriciteitsnet is historisch gezien centraal georganiseerd. Grote centrales leverden vermogen, netbeheerders balanceerden vraag en aanbod, en alles was overzichtelijk gereguleerd. Maar daaronder is een tweede systeem ontstaan: honderdduizenden kleine energieapparaten die vermogen leveren, tijdelijk bufferen of lokaal balanceren. Ze worden geïnstalleerd door woningcorporaties, onderaannemers, projectenontwikkelaars, ‘startups’ en prijsvechters, en allemaal praten ze met het internet.

Het probleem is niet dat deze apparaten slim zijn, maar vooral dat er geen centrale ‘cybersecurity-architectuur’ bestaat. Niemand controleert of een laadpaal of thuisbatterij zijn updates ontvangt, of een installateur goed wachtwoordbeleid toepast en of het systeem veilig is ingesteld. “In de keten weten partijen vaak niet wie verantwoordelijk is voor updates. De ‘hardware’ komt van een leverancier, wordt door een andere partij geïnstalleerd en door een derde onderhouden. Niemand weet hoe het ding is geconfigureerd. En daar gaat het mis.”

Cyberbeveiligingswet

Gelukkig is er nu wel Europese wet- en regelgeving die moet zorgen voor ‘cybersecurity’ in de energiesector, zoals de Cyber Resilience Act (CSA). Dit is een Europees certificeringstelsel voor producten, diensten, en processen op het gebied van ‘cybersecurity’. Ook de NIS 2 (Network and Information Security 2 Richtlijn) is een paar jaar geleden in de EU aangenomen, en wordt door de lidstaten omgezet in nationale wetgeving. In Nederland wordt deze omgezet naar de Cyberbeveiligingswet die - na de bijna traditionele vertraging - medio 2026 in werking treedt. Daarmee moeten het Nederlandse energiesysteem en de apparatuur veilig worden tegen cyberaanvallen.

Dat is op zijn beurt uiterst belangrijk voor de partijen die ze produceren, installeren én onderhouden, want zij worden verantwoordelijk voor eventuele misstanden. Van ’t Hof: “Dan moet je dus ook denken aan producenten van HEMS-systemen, die we ongevraagd ook controleren. Zo hebben we dat onlangs gedaan bij een grote producent, waar we behoorlijk wat beveiligingsgaten hebben gevonden. Dat hebben we aangegeven aan het desbetreffende bedrijf, dat ik nu nog niet bij naam noem. Maar als het bedrijf zo ongeïnteresseerd blijft reageren zoals nu, hoor je daarover binnenkort wel degelijk iets.”

Lokale veerkracht

Van ’t Hof ziet de echte oplossing echter niet in nóg meer centrale controle, maar juist in lokale veerkracht. Waar het internet ooit leerde dat alles met alles verbonden laten praten onveilig is, moet datzelfde principe nu ook gelden voor energie. In ‘cybersecurity’ heet dat segmentatie. In energiejargon heet het eilandmodus, ‘microgrids’ en lokale flexibiliteit.

Die verschuiving wordt versneld door netcongestie. Waar netbeheerders nu moeten nadenken over regionale flexibiliteit om knelpunten op te lossen, ontstaat tegelijkertijd de architectuur die nodig is om ‘cyberrisico’s’ te verkleinen. Door lokaal vraag en aanbod te balanceren met opslag wordt een regio niet alleen efficiënter en minder gevoelig voor netcongestie, maar ook gecontroleerd afschakelbaar zonder totale paniek.

Rode knop in ieder huis

Volgens Van ’t Hof moet het net zo worden ingericht dat regio’s zichzelf kunnen blijven voeden. “Als een aanval een deel van het land raakt, moeten andere regio’s door kunnen draaien. Dat voorkomt paniek en geeft tijd om te herstellen.” Dat is niet alleen een theoretisch concept; er zijn nu al bedrijventerreinen die in eilandmodus kunnen draaien. En thuisbatterijen worden steeds normaler. Laden kan steeds vaker lokaal worden gestuurd op gelijkspanning.

Het ideaalbeeld is daarom volgens Van ’t Hof opmerkelijk simpel: ieder huis een eigen noodmodus. “Je moet in je meterkast een rode knop hebben. Druk je die in, dan ben je van het elektriciteitsnet af en leef je verder op je eigen zonnepanelen, thuisbatterij en elektrische auto. Je bepaalt daarbij zelf je prioriteiten: koken, licht of de koelkast.”

In zo’n scenario is duurzame energie geen bron van netproblemen, maar een buffer voor zelfredzaamheid. Een land dat lokaal kan balanceren, kan lokaal blijven functioneren. Een wijk die zijn eigen opslag heeft, kan zelfstandig blijven draaien. Een huis dat offline kan, kan rustig blijven koken terwijl elders de reparatie plaatsvindt, stelt Van ’t Hof. “Dan zou je dus energie kunnen ophalen in een andere regio, terwijl dat bij jou door een cyberaanval tijdelijk niet kan.”

Hack Days

Om dit soort zaken in de energie- en installatiesector te laten doordringen, is DIVD gestart met een aantal diensten. Van ’t Hof: “Zo hebben we onder leiding van medeoprichter van DIVD, Astrid Oosenbrug, de DIVD Academy opgericht. Daar geven we gratis cursussen en trainingen, van fundamentele IT-kennis tot aan codebeveiliging en ethische hackers.”

Ook organiseert DIVD evenementen als ‘hackathons’, zoals onlangs op de Green Village met de zogeheten Hack Days. “Hier zijn vier regionale en thuis-EMS-platformen getest door twintig studenten en tien professionele hackers. En daar kwam uiteraard het nodige uit naar voren. De meest ingrijpende hack maakte het mogelijk om vanuit één apparaat door te dringen tot andere systemen en uiteindelijk het licht uit te schakelen. Die kwetsbaarheden worden eerst vertrouwelijk opgelost, voordat ze publiekelijk zichtbaar worden via CVE-registraties”, besluit Van ’t Hof.

Voor meer informatie: www.divd.nl/energie.  

Lees meer over

Onderwerpen aanpassen

Mijn artikeloverzicht kan alleen gebruikt worden als je bent ingelogd.

of maak een account aan

  1. Europese Commissie presenteert pakket voor een robuust Europees elektriciteitsnet en pleit voor versoepeling stikstofregels
  2. Tennet: grote hoeveelheid batterijvermogen nodig in elektriciteitsnet
  3. Edmij sluit veertig capaciteitsbeperkende contracten in Enexisgebied
  4. Ammoniak als waterstofdrager steeds concreter in beeld
  5. Nog geen duidelijkheid over SDE++ in 2027: branche slaat alarm
  6. Hoe komt langdurige energieopslag van de grond in Nederland?
  7. Engeland stimuleert LDES via de energierekening van de consument
  8. Plan Lievense krijgt moderne twist met Delta21
  1. De herontdekking van perslucht als energiebuffer
  2. Energy Storage NL: 'Energieopslag stevig verankeren in beleid'
  3. Data-analyse bij complexe keuzes langetermijnopslag
  4. Joost Greunsven (Tennet): 'LDES is CO2-vrije aanvulling op gasopslagen'
  5. Logistiek groeit uit tot grootste bron van flex op bedrijventerreinen
  6. Europese elektriciteitsmarkt stapt over op kwartierprijzen
  7. Nog weinig mogelijkheden voor langdurige elektriciteitsopslag
  8. 'Capaciteitsmarkt onmisbaar voor een stabiel energiesysteem'