Vlamingen die zonnepanelen laten installeren, moeten bij de oplevering direct het standaardwachtwoord van hun omvormer veranderen. Die oproep dat de Vlaamse energieminister Zuhal Demir.
Robrecht Bothuyne (CD&V) had in Vlaams Parlement opheldering gevraagd over de cybersecurity van zonnepanelen naar aanleiding vanuit het nieuws dat de Nederlandse Rijksinspectie Digitale Infrastructuur (RDI), voorheen Agentschap Telecom, dat omvormers simpel te hacken zijn én storing kunnen veroorzaken op andere draadloze apparaten en het C2000-netwerk van de hulpdiensten. Bothuyne wilde weten hoe de minister de risico’s voor Vlaanderen inschat.
Kwaliteitscharter
‘Zijn er ervaringen met hacking via omvormers gekend in Vlaanderen? In Nederland zijn er een paar tientallen meldingen per jaar van problemen rond cybersecurity via omvormers. Zijn daar lessen uit getrokken?’, aldus Bothyne. ‘Op welke manier gaan we die cybersecurity bij de installatie van omvormers in Vlaanderen verzekeren? Wordt er een informatiecampagne in het leven geroepen? Wordt er gewerkt aan een kwaliteitscharter bij groepsaankopen voor zonnepanelen, zodat we daar altijd garanties kunnen bieden op veilig materiaal?’
‘Net als bij alle andere toestellen die verbonden zijn met het internet, bestaat er een risico dat ook deze toestellen worden gehackt’, aldus Demir. ‘De eerste en belangrijkste maatregel die eenieder kan nemen, is om de standaardgebruikersnaam en het wachtwoord te wijzigen naar een persoonlijke gebruikersnaam en wachtwoord – en het liefst iets complexer dan de naam van je zoon of dochter of je geboortedatum.’
Lopende acties
Wetgeving met betrekking tot cyberveiligheid heeft volgens de minister voor een groot deel een Europese oorsprong. ‘Zo werkt de Europese Unie aan een aantal initiatieven, die ook aangenomen zijn en in België werden omgezet. De Federale Overheidsdienst (FOD) Economie is ook de betrokken administratie voor de identificatie, normering en toezicht op de sectoren Energie en Digitale Dienstverleners onder de Network and Information Security (NIS)-wet.’
Verder wijst Demir op het Vlaams Beleidsplan Cybersecurity voor ondernemers, dat allerlei acties rond bewustmaking en opleiding bij zowel bedrijven als bij de brede bevolking bevat. In het Flexibiliteitsplan 2025 – dat de Vlaamse Regering eind vorig jaar goedkeurde – werd bovendieneen actie voorzien om cybersecurity en privacy in de energiesector hoog op de agenda te plaatsen. ‘Het Vlaams Energie- en Klimaatagentschap (VEKA) gaat ook in overleg met de Cyber Security Coalition, Beltug en relevante departementen binnen de Vlaamse overheid om een goed beeld te krijgen van de reeds lopende acties, waarbij het VEKA zich mogelijk kan aansluiten of bewustwording rond kan creëren’, stelt Demir. ‘Op basis van de resultaten van dit overleg evalueert het VEKA ook welke maatregelen er verder moeten worden genomen.’
Geen incidenten
‘Er zijn mij en de sector – zo zegt men mij – geen ervaringen gekend met betrekking tot hacking van zonnepanelen’, vervolgt Demir. Omvormers kunnen – benadrukt ze – enkel worden geïnstalleerd mits gehomologeerd. In België verloopt die homologatie via Synergrid. ‘Hierin sturen de netbeheerders onder andere aan op hardwarematige beveiliging van omvormers. Voorts moeten eigenaars en fabrikanten van productie- en afname-installaties de nodige maatregelen nemen op technisch, organisatorisch en menselijk vlak. Daaronder vallen ook maatregelen ter beveiliging van hun eigen installatie, zoals cybersecurityrisico’s en controlemaatregelen die beschreven zijn in ISO 27002 en NIST 800-53.’
Standaardwachtwoorden
Niet alleen fabrikanten zijn verantwoordelijk voor de conformiteit van hun producten, maar de gebruiker kan zelf ook problemen voorkomen. Demir: ‘Zo kun je bijvoorbeeld de aanwezigheid van de verplichte Conformité Européenne (CE)- markering van het apparaat controleren; sterke en unieke wachtwoorden gebruiken; standaardwachtwoorden direct wijzigen; regelmatig apparaten controleren op updates; apparaten via een gastnetwerk verbinden met wifi; tweefactor-authenticatie inschakelen, waarbij 2 beveiligingsstappen worden gebruikt, bijvoorbeeld een wachtwoord en een code per sms. Je kunt ervoor kiezen om apparaten niet met het internet te verbinden, als dit niet nodig is, en je kunt kritisch nadenken of het nodig is om bepaalde gegevens te verstrekken.’
Fluvius
Demir zegt daarbij toe om het Vlaams Energie- en Klimaatagentschap (VEKA) en haar ministerie te vragen om te bekijken hoe de aanbevelingen gecommuniceerd kunnen worden richting zonnepaneleneigenaren toe. ‘Zo krijgt men toch de reflex dat men attent moet zijn voor deze vorm van hacking.’
Bothuyne doet op zijn beurt nog een suggestie. ‘Misschien kunnen we, op het moment van de aanmelding van de installatie, via de communicatie die op dat moment gebeurt vanuit Fluvius, ook wijzen op de risico’s die er zijn, en misschien ook op de good practices van bijvoorbeeld het wijzigen van het wachtwoord. Op die manier kunnen we risico’s gaan vermijden. Zo kunnen we die aanmeldingsprocedure als aanknopingspunt gebruiken om communicatie te doen rond de cyberveiligheid van de omvormers en de hele installatie.’ ‘Ik vind het een goede suggestie om inderdaad de aanmeldingsprocedure bij Fluvius hiervoor te gebruiken. Dat is een goed idee’, besluit Demir.
