Ik wil advies

Chinese omvormers in Nederland gehackt

Agentschap Telecom start onderzoek naar aanleiding van hacken van monitoringportaal Solarman

Chinese omvormers in Nederland gehackt

Regelmatig duiken er verhalen op in het nieuws over het hacken van omvormers. Onlangs was het weer raak: omvormers van o.a. het merk Omnik zouden gemakkelijk te hacken zijn. Wat doet men eraan en hoe zit het met de omvormers van Zonnefabriek?

Hessel van den Berg
09 september 2022

Recentelijk kwam in het nieuws dat een monitoring platform voor zonnepanelen omvormers was gehackt door een ‘ethische hacker’ genaamd Jelle Ursem. Jelle wilde met zijn actie aantonen dat het met de beveiliging van het platform bar slecht gesteld was: hij vond op het internet een ‘super-user’ gebruikersnaam en wachtwoord, waarmee hij toegang kreeg tot het hart van het systeem. 

Ook bij Zonnefabriek kregen we vragen hierover van klanten die het artikel op de website van ‘Follow the Money’ hadden gelezen, terwijl het nieuws zich ook verspreidde via andere kanalen. De hacker ontdekte dat hij via het monitoring portaal ‘Solarman’ firmware zou kunnen uploaden naar de omvormers die met dit portaal communiceerden. Solarman is zelf geen omvormerfabrikant; het is uitsluitend een portaal waar omvormers van verschillende merken mee communiceren, zodat klanten de opbrengstgegevens van de omvormer op afstand (bijvoorbeeld via de smartphone) kunnen uitlezen. In Nederland is het vooral bekend bij mensen die omvormers van Omnik hebben; dit merk had ooit een eigen platform, maar ging een paar jaar geleden failliet, waardoor hun eigen monitoringportaal er ook mee ophield. Sindsdien konden Omnik klanten alsnog via Solarman hun on-line monitoring voortzetten. Ook sommige andere omvormer-merken maken gebruik van monitoring via Solarman.  De servers waar Solarman op draait, staan in China.

Wat was het risico voor klanten van Solarman?

De hack betrof het monitoringportaal 'Solarman' uit China

De hack betrof het monitoringportaal 'Solarman' uit China

In de artikelen over de hack wordt gezegd dat men van buitenaf de omvormer zodanig zou kunnen ontregelen dat er risico op brand ontstaat. Een citaat: ’"Een hacker kan de beveiligingsinstellingen rond de spanning zo aanpassen dat het ding in brand vliegt", zegt (hoogleraar internetveiligheid) Pras van de Universiteit Twente.’ Dat lijkt ons wel een beetje sterk, eerlijk gezegd, in elk geval voor de gewone huis-tuin-en-keuken omvormers in residentiële installaties. Je kan in een omvormer van alles ontregelen, maar een brand veroorzaken door de instellingen te wijzigen, dat zien we niet zo snel gebeuren. 

Hoe het ook zij, je wil natuurlijk niet dat er iemand van buitenaf in je omvormer zit te rommelen. Het echte risico, wat ook uit het artikel naar voren komt, is dat een hacker een heleboel omvormers tegelijk aan- of uit kan zetten, en hierdoor (op zonnige momenten) een enorme schok aan het stroomnet kan geven, waardoor er op grote schaal beveiligingen in het elektriciteitsnetwerk uitknallen en er black-outs ontstaan. Hier zou vervolgens heel Nederland (dus niet alleen de mensen met zonnepanelen) last van hebben.

Gelukkig waren het deze keer ‘ethische hackers’ die de kwetsbaarheid in het systeem hebben ontdekt, en bij de fabrikant hebben aangekaart. Deze heeft uiteindelijk (na heel wat aandringen) het lek gedicht, zodat dit specifieke probleem nu is verholpen. De affaire heeft wel tot kamervragen geleid, en de verantwoordelijke Minister (minister Jetten) heeft aan het Agentschap Telecom de opdracht gegeven om een onderzoek in te stellen.

Het agentschap Telecom gaat een onderzoek instellen

Het agentschap Telecom gaat een onderzoek instellen

Hoe zit het met de producten van Zonnefabriek?

Gelukkig genieten de producten die Zonnefabriek installeert een veel hogere standaard van internetbeveiliging dan die van Solarman. Met name Duitse omvormerfabrikant SMA hamert sterk op het hanteren van de hoogste normen als het gaat om cybersecurity, maar ook ons andere merk, het Israëlische SolarEdge, neemt dit onderwerp zeer serieus. Het belangrijkste is dat mensen van buiten geen toegang kunnen krijgen tot het hart van de servers. Beide fabrikanten hebben hun systemen goed beveiligd. Hierdoor kan er niet zomaar schadelijke firmware naar de omvormers worden geüpload.

Verder is het goed om te weten dat de servers waarnaar de gegevens van uw zonnestroom systeem worden gestuurd, zich fysiek in Duitsland bevinden. Wat betreft de bescherming van de persoonsgegevens worden uiteraard de regels van de GDPR (General Data Product Regulation of AVG in het Nederlands, Algemene Verordening Gegevensbescherming) gevolgd. Dat heeft weliswaar minder te maken met het risico van deze specifieke hack, maar het geeft wel een bepaalde geruststelling dat uw persoonsgegevens niet zomaar mogen worden verspreid. Overigens gaat het hier niet om zaken als uw bank- of creditcard gegevens, want die weten de omvormerfabrikanten sowieso niet. Wat ze weten is uw adres, e-mail en de opbrengst van de zonnepanelen; niet de meest gevoelige informatie dus.

Eén van de merken omvormer die betrokken waren, is het (inmiddels failliete) Omnik

Eén van de merken omvormer die betrokken waren, is het (inmiddels failliete) Omnik

Goed blijven opletten in de nieuwe wereld van energiemanagement

Zonnefabriek klanten hoeven zich dus geen zorgen te maken over deze specifieke hack, maar we moeten natuurlijk wel blijven opletten dat ons dataverkeer veilig is. Ook is het belangrijk dat we ons er bewust van zijn wat nieuwe producten kunnen veranderen aan de veiligheid van onze informatie. Denk bijvoorbeeld aan een product als de Sunny Home Manager: dit soort toestellen gaat een steeds grotere rol spelen bij energiemanagement. Ze kunnen batterijen en laadpalen aansturen als er een overschot is aan zonnestroom, maar ze registreren daarmee ook on-line wat precies het stroomverbruik in een woning is op een bepaald moment. Iemand die toegang heeft tot deze data, kan van een laag verbruik afleiden dat de bewoners bijvoorbeeld op vakantie zijn. Een kwaadwillende zou dat kunnen gebruiken om een inbraak te plannen. Ook de data die de slimme meters van de netbeheerders doorsturen, kan hiervoor gebruikt worden. Het is daarom van belang om inlog gegevens van monitoring platforms niet zomaar rond te laten slingeren, en bij het maken van wachtwoorden niet al te gemakzuchtig te zijn.

Hackers en cybersecurity zijn zaken waar we in deze tijd nu eenmaal mee te maken hebben. Jezelf helemaal van de on-line wereld afsluiten gaat bijna niet, en het zou ook jammer zijn om niet van de nieuwe mogelijkheden gebruik te maken. Maar het is wel in ieders belang om scherp te blijven zodat de risico’s beheersbaar zijn.

Dankzij het DIVD kwam de kwetsbaarheid aan het licht voordat er grote ongelukken konden gebeuren

Dankzij het DIVD kwam de kwetsbaarheid aan het licht voordat er grote ongelukken konden gebeuren

Weten wat bij u mogelijk is?

Vraag vrijblijvend advies aan
Advies aanvragen

Gerelateerd nieuws

Nieuws berichten
2017-08-09
In de Volkskrant van 4 augustus stond een artikel over een ICT-lek van zonnepanelen dat mogelijk een bedreiging zou zijn. Met name SMA omvormers werden genoemd. De Zonnefabriek kreeg veel vragen van klanten. We duiken wat meer in deze zaak om uitleg te geven.

lees meer ›
2017-03-16
In de wereld van het ‘Internet of things’ worden meer en meer apparaten uitgerust met een wifi aansluiting. De apparaten zijn daardoor in principe draadloos bereikbaar. Kunnen hierdoor hackers uw huisnetwerk binnendringen? De Zonnefabriek zoekt het uit..

lees meer ›