image

AT: digitalisering maakt energienet kwetsbaar voor cyberaanvallen

maandag 12 juli 2021, 10:40 door Redactie, 13 reacties

Door de toenemende digitalisering in de energiesector nemen de cyberrisico's voor het energienet toe, wat uiteindelijk zelfs kan leiden tot uitval en vertraging van de energietransitie, zo waarschuwt het Agentschap Telecom in een vandaag gepubliceerd rapport.

Volgens de toezichthouder neemt met de komst van meer kleine en lokale energieleveranciers het risico op cyberaanvallen op het energienetwerk toe. Via de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) houdt het AT toezicht op aanbieders van essentiële diensten in de energiesector en digitale dienstverleners. De WBNI zorgt er onder meer voor dat deze organisaties passende technische en organisatorische maatregelen op het gebied van cybersecurity nemen. Netbeheerders in de energiesector en aanbieders van internet-knooppunten vallen onder de wet.

Dit jaar worden energieproducenten ook aangewezen als aanbieder van een essentiële dienst, zodat zij ook aan de WBNI moeten voldoen. Kleine leveranciers zijn hier echter van uitgezonderd en vallen zo niet onder toezicht van het AT. "Deze kleine leveranciers komen elk niet boven de aanwijsdrempel uit, maar kunnen door de overeenkomstige risico's alsnog gezamenlijk een groter risico vormen op cyberaanvallen", laat de toezichthouder weten. Daarnaast ontbreekt het momenteel aan een nationaal erkende partij die advies geeft op het vlak van cyberveiligheid voor de energie-infrastructuur.

Laadpalen en smart grids zijn andere energietransitie gerelateerde ontwikkelingen die een risico vormen voor de cyberveiligheid en continuïteit van energienetwerken, aldus het AT. "Denk aan het hacken van de onderliggende digitale systemen, waardoor bijvoorbeeld elektrische auto's niet meer kunnen laden. Of er een verstoring van de energievoorziening optreedt, zoals overbelasting van kabels of transformatoren. Zo kan een (moedwillige) hack zelfs delen van het elektriciteitsnet laten uitvallen."

Het Agentschap Telecom is in Nederland verantwoordelijk voor de uitvoering van de Europese Cyber Security Act (CSA). Onder de CSA is het mogelijk om op vrijwillige basis apparatuur en diensten te certificeren volgens een bepaald certificeringsschema. "Met de verdere ontwikkeling van certificeringsschema's en wellicht een toekomstige verplichting hierop, kan de cyberveiligheid in de toekomst mogelijk beter gewaarborgd worden", stelt de toezichthouder.

Reacties (13)
12-07-2021, 10:52 door Anoniem
Doh.

Hier had de betreffende minister natuurlijk niet aangedacht toen hij de wet op liet stellen.
En in de Tweede Kamer heeft men deze dossier-kennis blijkbaar ook niet.

Oeps. Voor de zoveelste keer.

Wordt de wereld te technisch voor de dames en heren politici?
Wat gaat het parlement hier structureel voor zichzelf aan doen?
12-07-2021, 11:06 door Anoniem
Het echte probleem zijn de systemen die de netbeheerders zelf moeten gebruiken om het netwerk te managen - wat ze overigens veel te weinig doen.

Netbeheerders moeten van de luie kont afkomen en actie ondernemen om het netwerk te upgraden. Ze lopen 10 jaar achter de feiten aan en ze zijn niet aanspreekbaar. Ze mogen zelf salarissen bepalen, ze zijn niet gehouden aan de regels die gelden voor de publieke sector (maximaal ministersalaris van 171k geldt niet). Hoog tijd om dat terug te schroeven. En die "beste mensen" te laten gaan. Kom niet werken in de publieke sector als je drijfveer salaris is en je feitelijk niks nuttigs doet.

De overheid moet ze onder toezicht stellen en zorgen dat de energietransitie wordt uitgevoerd. We lopen enorm achter op andere landen zoals het VK.
12-07-2021, 11:20 door Anoniem
Dit verhaal wisten we all 30 jaar geleden.......en nu ?...niks
12-07-2021, 11:42 door Anoniem
Wordt de massa "voorgemasseerd" voor een grote cyber-attack?
Zal wel weer van de kant van Rusland komen, niet?

Energie-transitie. Laat me niet lachen, hier 25 miljoen oliebollen weer van het aardgas af en de Bundesrepublik aan het Nord Stream 2 gas, dankzij Putin. Nog geen windmolen in Wassenaar zien staan. Digitalisering is de schuld dat men niet verder kan gaan met glashard de kluit be........ Daarom komt die grote cyber-attack. U zult onwetend blijven van wat er u boven het hoofd hangt. Er is al geen verschil meer tussen dag- en nachttarief en we zullen voor energie met z'n allen het komend seizoen weer een enorme poot uitgetrokken worden. Isoleren alleen helpt niet meer. Ik hoef net als kind al geen gaspenningen gaan halen voor de meter.

multi anonymous
12-07-2021, 13:48 door Anoniem
Waarom nog een digitale samenleving?
en nog meer smart,en nog meer lots en nog meer devices en updates en
nog meer veiligheidsrisico's.
waarom terug verlangen naar 1998
12-07-2021, 14:06 door Anoniem
Door Anoniem: Het echte probleem zijn de systemen die de netbeheerders zelf moeten gebruiken om het netwerk te managen - wat ze overigens veel te weinig doen.

Netbeheerders moeten van de luie kont afkomen en actie ondernemen om het netwerk te upgraden. Ze lopen 10 jaar achter de feiten aan en ze zijn niet aanspreekbaar. Ze mogen zelf salarissen bepalen, ze zijn niet gehouden aan de regels die gelden voor de publieke sector (maximaal ministersalaris van 171k geldt niet). Hoog tijd om dat terug te schroeven. En die "beste mensen" te laten gaan. Kom niet werken in de publieke sector als je drijfveer salaris is en je feitelijk niks nuttigs doet.

De overheid moet ze onder toezicht stellen en zorgen dat de energietransitie wordt uitgevoerd. We lopen enorm achter op andere landen zoals het VK.

Heb je wel begrepen waar het artikel over gaat? De netbeheerders zijn niet het probleem maar alle externe aangesloten spullen zoals bijvoorbeerld omvormers voor zonnepanelen. Veel van die dingen zijn te benaderen via internet en als hackers het voor elkaar weten te krijgen om plots een groot deel van die omvormers (opwek) even uit te schakelen dan onstaat een onbalans met mogelijke uitval. Evenzo voor laadpalen en andere opslag.
12-07-2021, 16:07 door Anoniem
Waar heb ik dat eerder gelezen? Dit is toch een (heel) oud probleem?
04 mei 2017:
https://nos.nl/artikel/2186382-ict-lek-zonnepanelen-mogelijke-bedreiging-europese-stroomvoorziening
'Ict-lek zonnepanelen mogelijke bedreiging Europese stroomvoorziening'
"Eenmaal in het systeem kunnen hackers de omvormers op afstand uitzetten. Als dat bij alle zonnepanelen tegelijk gebeurt, kan het elektriciteitsnet in onbalans raken, met grote gevolgen. De stroom in een enorm gebied kan uitvallen, zegt Westerhof. "Dan gaat het niet om een wijkje, maar bijvoorbeeld om de helft van de stroomvoorziening in Duitsland."

04 augustus 2017:
https://www.qbit.nl/nl/blog/stroomnet-in-gevaar-door-kwetsbaarheid-in-zonnepanelen/
Willem Westerhof, ethische hacker bij Qbit (voorheen ITsec) ontdekte dat de stroomvoorziening in Europa ernstig in gevaar wordt gebracht door een kwetsbaarheid van zonnepanelen.
”Security by Design”
Het ontbreken van wetgeving en controle op de digitale veiligheid van dergelijke apparaten vormt een groot risico. “Certificering en verantwoording van particuliere bedrijven zou ook hoog op de politieke agenda moeten staan”, zegt Willem. De meeste (industriële) Internet of Things apparaten zijn puur ontwikkeld en ontworpen op basis van functionaliteit. Het veiligheidsaspect is niet opgenomen in het ontwerp. Als argument noemen fabrikanten het gebrek aan kennis, middelen en geld. Geld in de portemonnee lijkt in de toekomst de veiligheid te overtuigen. “Het hoeft maar één keer mis te gaan en dan wil men actie ondernemen.
Eind 2016 presenteerde ITsec de bevindingen van Willem aan de SMA, TenneT en het NCSC (Nationaal Cyber Security Centrum). Inmiddels is er meer dan een half jaar verstreken en is er weinig gebeurd, ondanks het feit dat volgens ITsec alle partijen hebben erkend dat er een probleem is.

05 augustus 2018:
https://eenvandaag.avrotros.nl/item/hacken-van-zonnepanelen-kan-leiden-tot-europese-stroomstoring/
Willem Westerhof van ITsec vindt dat SMA de gebruikers en installateurs van de omvormers technisch zou moeten dwingen het standaard wachtwoord te veranderen. Nu kon hij al eenvoudig inbreken door veelgebruikte standaard wachtwoorden, bijvoorbeeld ‘0000’ te gebruiken.
Ook SMA zelf zou moeten stoppen met het gebruiken van ‘superwachtwoorden’, waarmee het bedrijf bijvoorbeeld eenvoudig op afstand een gebruiker kan helpen bij problemen met het apparaat. Als een hacker er één weet te achterhalen, heeft hij in een klap de controle over een groot aantal apparaten van SMA. Dergelijke ‘superwachtwoorden’ zouden ze alleen moeten gebruiken op basis van fysieke toegang, aldus de ethisch hacker. 
Dit is een analoog probleem aan het recente RDP lek?? Een “superwachtwoord” en een “superuser” is toch eigenlijk een gewoon een backdoor, omdat de eigenaar / gebruiker deze niet ziet in zijn contactenlijst??

04 mei 2021:
https://solarmagazine.nl/nieuws-zonne-energie/i24301/nieuwe-cybersecurity-eisen-voor-zonne-energiesector-maak-digitale-beveiliging-onderdeel-toekenning-subsidie
Een wijziging van de Wet Beveiliging Netwerk- en Informatiesystemen, alias Wet cybersecurity, zorgt ervoor dat een aantal grote zonne-energiebedrijven vanaf 1 juni 2021 aan strenge cybersecurity-eisen moet voldoen.
Leveranciers van (kleine) zonnestroom omvormers hoeven de (lekke) software dus (nog steeds niet) te updaten naar een veiliger versie?? Jan de Particulier weet dus niet of zijn omvormer onderdeel is van een botnet??

Dit artikel
Kleine leveranciers zijn hier echter van uitgezonderd en vallen zo niet onder toezicht van het AT. "Deze kleine leveranciers komen elk niet boven de aanwijsdrempel uit, maar kunnen door de overeenkomstige risico's alsnog gezamenlijk een groter risico vormen op cyberaanvallen", laat de toezichthouder weten
Ja, precies dat. Maar wat gaan we er nu (eindelijk na zoveel jaren) aan doen??
12-07-2021, 18:06 door Anoniem
Door Anoniem: Ja, precies dat. Maar wat gaan we er nu (eindelijk na zoveel jaren) aan doen??

De oplossing is dat je als kleine particulier beter mede-investeert in een zonnepark, of beter, in een zonnecollectief in een stadswijk of op een industrieterrein, zodat het niet ten koste gaat van kostbare landbouwgrond of natuurgebieden, maar zo de daken beter worden benut. Door de schaalgrootte, en het grotere belang wat dan meeweegt, is het dan als collectief mogelijk om betere omvormers en actuele, veiliger firmware en cybersecurity bij de leverancier(s) af te dwingen.

In de grote wereld van energiereuzen en big tech ben je als Calimero kwetsbaar, dus maak je als coöperatie sterk.
12-07-2021, 18:39 door Anoniem
:) Blijkbaar zijn de signalen van oa Willem gehoord en is er nu wetgeving en komen er beleidsmaatregelen. Niet alleen in NL, maar zo, hopelijk, gelijk EU-breed.
Hopelijk zijn de grid- én Internetgekoppelde inverters te patchen en (uitsluitend binnen de EU) te managen.
anders productaansprakelijkheid producent refund of van Internet afkoppelen.
12-07-2021, 23:19 door Anoniem
Buzzword IoT, dat wordt nog eens heel gevaarlijk.
Was toch zo fijn al die led-lampjes (die ook in een sch**t te infecteren waren) van afstand via Internet bedienbaar.
Gemak dient de mens en tevens de cybercrimineel in dit geval.

Smart maar niet al te smart voor de l33t hacker. Ring de deurbelcamera.
Zie de omgeving waarin we leven, denk om/aan de zwakste schakel(aar).

Wat siert de uil een bril, als hij niet zien en wil?
Shodannetje, dorkje, pats.

En ik maar 14 jaar website security doen. Wat is de zin ervan, luitjes? Waar doe je het voor?
Je denkt wel eens - slechts geheel voor de kat z'n viool misschien?

luntrus
13-07-2021, 08:46 door Anoniem
Dus je bent particuliere ondernemen, maar moet wel doen wat de overheid wil. Dus een soort overheids bedrijf.
Worse of both worlds... Straks nationaliseren. En dan 20 jaar later weer verkopen aan de hoogste bieder. Dat is ook een verdienmodel!
14-07-2021, 01:20 door Anoniem
Er was ooit eens een poll. Jaren geleden toen ik zei dit dat inderdaad een gevaar zou zijn en we beter al die SUPER belangrijke infra analoog kunnen houden maakte iedereen mij uit voor GEK! I told you so, nu jij...
14-07-2021, 16:33 door Anoniem
Laadpalen Schneider Electric door kwetsbaarheid over te nemen
woensdag 14 juli 2021, 15:01 door Redactie

https://www.security.nl/posting/712176/Laadpalen+Schneider+Electric+door+kwetsbaarheid+over+te+nemen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.