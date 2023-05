Een groot deel van de omvormers van zonnepaneelinstallaties is kwetsbaar voor cyberaanvallen, waardoor ze op afstand zijn uit te schakelen of zijn in te zetten voor ddos-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen, zo stelt de Rijksinspectie Digitale Infrastructuur (RDI) op basis van eigen onderzoek. Daarnaast blijkt dat de omvormers storingen kunnen veroorzaken.

De RDI ontvangt naar eigen zeggen regelmatig meldingen en signalen over zonnepaneelinstallaties die radiostoring veroorzaken. Daarnaast zijn de omvormers in deze installaties doorgaans verbonden met het internet. "Het is erg belangrijk voor onder andere onze energievoorziening en de bruikbaarheid van het radiospectrum, dat deze installaties storingsvrij en cyberveilig werken", aldus de toezichthouder, die negen omvormers besloot te onderzoeken.

Het onderzoek laat zien dat geen enkele onderzochte omvormer aan alle eisen voldoet. Vijf van de negen omvormers blijken storing te kunnen veroorzaken. Alledaagse toepassingen, zoals radio of draadloze tags om deuren te openen, kunnen er last van hebben en mogelijk minder goed of niet functioneren. Zelfs de lucht- en scheepvaart kan er hinder van ondervinden.

De testen op cyberveiligheid wezen uit dat geen van de negen onderzochte omvormers voldeed aan de gebruikte norm. "Hierdoor zijn zonnepaneelinstallaties bijvoorbeeld eenvoudig te hacken en kunnen deze daarna worden uitgeschakeld of worden deze ingezet voor ddos-aanvallen. Of kunnen persoons- en gebruiksgegevens worden onderschept", aldus de Rijksinspectie. Voor het toetsen van de cyberveiligheid werd de norm ETSI EN 303 645 V2.1.1 gebruikt.

Er werd gekeken naar universele standaardwachtwoorden, de mogelijkheid om als gebruiker kwetsbaarheden te rapporteren, mogelijkheid om updates automatisch en eenvoudig te downloaden, gebruik van versleutelde verbindingen, minimaliseren van aanvalsoppervlak, beveiliging van persoonlijke gegevens, de mogelijkheid om persoonlijke gegevens eenvoudig te kunnen verwijderen, de mogelijkheid om eerder gegeven toestemming voor de verwerking van gegevens in te trekken en de mate waarin gegevens die zijn opgeslagen in de cloud ingezien kunnen worden.

De toezichthouder heeft alle fabrikanten, waarvan hun product niet voldeed aan de storings- en administratieve eisen, gewaarschuwd en doet binnenkort hercontroles. Als fabrikanten opnieuw producten verhandelen die niet voldoen, neemt de RDI handhavende maatregelen. Dat kan bijvoorbeeld met een boete, verkoopverbod of terugroepactie.

Maatschappelijke verantwoordelijkheid

"Het verbeteren van de cyberveiligheid is op dit moment een dringend verzoek. Hierbij doen we een beroep op de maatschappelijke verantwoordelijkheid van fabrikanten", stelt de toezichthouder. De wettelijke eisen hiervoor zijn namelijk nog niet actief. "We hebben om die reden ook nog geen handhavende bevoegdheden. Vanaf 1 augustus 2024 is dit wel het geval. We doen dan hercontroles. Als de cyberveiligheid dan niet op orde is, gaan wij handhaven. Dat kan ook hier met bijvoorbeeld een boete, verkoopverbod of terugroepactie."