Zonnepanelen gevoelig voor hacks en storingen: 'Hack stroomnet is realistisch'

Zonnepaneelinstallaties in Nederland zijn kwetsbaar voor hacks en storingen, meldt de Rijksinspectie Digitale Infrastructuur (RDI). De dienst zegt dat een groot deel van de omvormers niet voldoende beschermd is. Omvormers zijn apparaten waarmee de elektriciteit die door de panelen wordt opgewekt, kan worden gebruikt.

Daarnaast kunnen ze worden gebruikt om de opbrengst van zonnepanelen naar smartphones en laptops te versturen. Dat kan als ze met het internet worden verbonden, maar dan zijn de omvormers zeer kwetsbaar.

Uit onderzoek van de RDI blijkt dat geen enkele onderzochte omvormer voldoet aan alle eisen en daardoor eenvoudig is te hacken. Ze zijn op afstand uit te schakelen of gezamenlijk in te zetten voor DDoS-aanvallen. Ook kunnen er via de omvormers persoonsgegevens worden gestolen.

Hack is realistisch

"Je gebruiksgegevens kunnen ook gemanipuleerd worden, over hoeveel je teruglevert aan het stroomnet", zegt John Derksen van de RDI in het NOS Radio 1 Journaal. "Maar als alle installaties tegelijkertijd aan- en uitgezet worden door een hack, dan krijg je zo'n piek in ons elektriciteitssyteem dat alles platgaat. Dat is een reëel scenario."

Voor de inval in Oekraïne was dat minder realistisch, zegt Derksen. "Maar gezien onze huidige geopolitieke situatie is dat anders." Dat de omvormers zo eenvoudig te hacken zijn, heeft met meerdere factoren te maken. "Fabrikanten zijn slordig. Met software-updates en ze wijzen gebruikers ook niet goed op het instellen van wachtwoorden."

Grote gevolgen

Voor het onderzoek werden willekeurig negen verschillende typen omvormers van acht merken geselecteerd. Vijf van de negen geteste omvormers blijken ook storingen te kunnen veroorzaken. De RDI zegt de afgelopen jaren meer storingsmeldingen door zonnepaneelinstallaties te hebben gekregen. Het gaat dan om storingen op frequenties waar onder meer Defensie, radiozendamateurs, DAB+ (radio) en het communicatiesysteem voor hulpdiensten (C2000) gebruik van maken.

Volgens de Rijksinspectie Digitale Infrastructuur kunnen de gevolgen groot zijn. "Zelfs de lucht- en scheepvaart kan er hinder van ondervinden", aldus de dienst, die vermoedt dat het aantal meldingen maar een klein deel van het werkelijke aantal storingen vertegenwoordigt. "De gemiddelde burger heeft beperkte tot geen kennis van het radiospectrum. Een burger merkt mogelijk vreemde fenomenen bij draadloze apparaten en toepassingen (bijvoorbeeld slechte wifi), maar koppelt dit niet snel aan zonnepanelen. Daardoor kan een melding bij de RDI uitblijven."

De wet verplicht fabrikanten van producten die storingen kunnen veroorzaken om per direct maatregelen te nemen om te voorkomen dat zij nog storende producten verhandelen.

Boetes in de toekomst

Om te weten of een omvormer veilig is, moet een consument contact opnemen met de leverancier. De cyberveiligheidseisen waarop de RDI controleerde, zijn nog niet wettelijk verplicht. Die eisen gaan vanaf augustus 2024 in. "Ons toezicht ziet erop toe dat alles wat op de markt komt, veilig is", zegt Derksen. "De regels gaan volgend jaar in, maar we zijn nu al bezig om fabrikanten te waarschuwen dat ze hun spullen op orde moeten hebben."

Alle fabrikanten ontvingen van de RDI een waarschuwing. "Als de wetgeving van kracht is, kunnen we gaan handhaven. Dan moet je denken aan boetes en dergelijke", zegt Derksen.