Nieuwe cybersecurity-eisen voor zonne-energiesector: ‘Maak digitale beveiliging onderdeel toekenning subsidie’

Bedrijven die 100 megawatt of meer aan pv-projecten bezitten en exploiteren, worden geacht hun beveiliging op te schroeven. En dat is niet zonder reden. ‘De nadruk ligt vaak op het zo goedkoop mogelijk aansluiten van zoveel mogelijk zonnepanelen’, aldus beveiligingsexpert Frank Groenewegen.

100 megawatt
Kern van de cybersecuritywet is het zoveel mogelijk voorkomen van cyberincidenten door het adequaat beveiligen van de digitale infrastructuur. Handhaving, monitoren en het up-to-date houden van de beveiligingssystemen zijn vereisten, evenals een meldplicht van incidenten. Daarnaast dient er een plan van aanpak te zijn als het toch misgaat.

Volgens minister Grapperhaus nemen door de energietransitie de cybersecurityrisico’s in de energiesector toe. Met wetswijziging die de minister doorvoert, worden bedrijven die een of meerdere productie-installaties voor elektriciteit beheren met een cumulatief nominaal vermogen van minimaal 100 megawatt aangemerkt als zogenaamde aanbieders van een essentiële dienst (AED’s). Deze AED’s moeten extra maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen en ernstige ICT-incidenten te voorkomen. Mochten die zich toch voordoen dan moeten zij hier melding van maken bij het Nationaal Cyber Security Centrum en de gevolgen van dergelijke incidenten zoveel mogelijk beperken.

Inlichtingendiensten
Een van Nederlands bekendste cybersecurity-experts, Frank Groenewegen, benadrukt dat het belangrijk is om te beseffen dat het daadwerkelijk mogelijk is om op afstand energiecentrales uit te zetten. Groenewegen vervulde tot 1 januari de functie van hoofdbeveiligingsexpert bij Fox-IT, een bedrijf dat onder meer bekend is doordat het de overheid helpt om staatsgeheimen te beveiligen. Sinds 1 januari is hij partner van de afdeling Cyber Risk bij Deloitte. ‘Het bekendste voorbeeld van een hack in de energiesector deed zich in 2015 daags voor Kerst voor in Oekraïne, waardoor honderdduizenden inwoners in het donker werden gezet. Hackers zetten via het gebruik van “Blackenergy”-malware de stroom uit. Naar verluidt was dit het werk van de Russische inlichtingendienst, die vanwege het conflict tussen beide landen Oekraïne als speeltuin zagen om cyber capabilities te demonstreren. Dat de stroom op afstand uitgezet kan worden, is dus geen fabeltje maar de praktijk.’

Dat er nauwelijks voorbeelden bekend zijn, is volgens Groenewegen niet vreemd. ‘Op dit moment is er wereldwijd nog niet zoveel reden geweest om ergens in een land de stroom uit te zetten. Voor criminele hackers die vaak op geld uit zijn, gaat het uitzetten van elektriciteitscentrales wellicht een stap te ver. Voor inlichtingendiensten geldt dat zij het niet durven, omdat er nog geen duidelijke noodzaak was om dat te doen. Daarnaast beseffen zij hopelijk ook dat als ze het toch doen, het mogelijk direct een oorlogsverklaring kan zijn. er weinig precedent is, is het namelijk niet klip-en-klaar wanneer een hack als een “act of war” wordt gezien. De Chinezen of Russen zullen dus niet zo snel van een Westers land de stroom uitzetten. Ook al zijn ze technisch capabel genoeg om dat met één druk op te knop te doen. Er is simpelweg nog geen reden voor.’

Controle kwijt
Er zijn overigens meer voorbeelden dan enkel de hack in Oekraïne. Zo wist de hackersgroep Dragonfly – naar verluidt aangestuurd door het Russische Kremlin-regime – in 2017 al door te dringen tot het Britse energiesysteem. Groenewegen: ‘Het voornaamste doel was het verzamelen van informatie. Zie het als een soort voorverkenning om de mogelijkheden in kaart te brengen hoe ze indien nodig de stroom bijvoorbeeld kunnen uitschakelen. Een wat recenter voorbeeld is de hack van het hernieuwbare-energiebedrijf sPower uit de Amerikaanse staat Utah. Omdat zij waren vergeten hun firewall up-to-date te houden, wisten hackers de controle over zijn wind- en zonneparken over te nemen. Het vermoeden is dat het in dit geval niet om een inlichtingendienst ging, maar om een hacker die het internet scande en toevallig op de kwetsbare firewall stuitte.’

Al deze verschillende hacks tonen in de ogen van Groenewegen aan dat Nederland zijn cybersecurity op orde moet houden en daar waar die nog ontoereikend is, moet verbeteren. ‘Want de energietransitie zorgt ervoor dat energiebedrijven massaal overschakelen op hernieuwbare-energiesystemen en een ontelbare hoeveelheid digitale componenten toevoegen. Want of het nu om omvormers, slimme meters of sensoren gaat, stuk voor stuk vergroten ze voor een energiebedrijf het risico op een hack. Je zou dus kunnen stellen dat daarmee het Nederlandse elektriciteitsnet steeds kwetsbaarder wordt. De fabrikanten van bijvoorbeeld omvormers en slimme meters zijn veelal private bedrijven die verplicht zijn om zich tegen cyberaanvallen te beschermen, maar tegelijkertijd moeten we niet vergeten dat dit een grote uitdaging is, omdat bijvoorbeeld de Chinese en Russische inlichtingendiensten ongelimiteerde budgetten hebben.’

Ethische hackers
Als het aan Groenewegen ligt, gaan de zonne-energiebedrijven veel bewuster om met de digitale risico’s die ze lopen. ‘Dat betekent niet alleen een gedegen risicoassessment, maar ook op voorhand nadenken of de apparatuur die je gaat gebruiken en de inrichting van het netwerk wel veilig zijn. Laat je daar niet alleen onafhankelijk in adviseren, maar test dat ook in de praktijk. Je blijft uiteindelijk zelf eindverantwoordelijk voor de digitale beveiliging. Dat aanbieders van een essentiële dienst (AED’s) nu op voorhand aan veel meer wet- en regelgeving moeten voldoen, is een goed begin. Projectontwikkelaars en systeemeigenaren moeten te allen tijde goed onderzoeken wat de veiligste manier is om zo’n netwerk in te richten en daarop te monitoren. De nadruk ligt vaak op het zo goedkoop mogelijk aansluiten van zoveel mogelijk zonnepanelen.’

Lees hier het volledige artikel ‘Nieuwe cybersecurity-eisen van kracht voor zonne-energiesector’ in de mei 2021-editie van Solar Magazine.