Omvormers in het nieuws als stoorzenders en doelwit van hackers

De meeste nieuwskanalen hebben er de afgelopen tijd over gerapporteerd: een onderzoek van de ‘Rijksinspectie voor de Digitale Infrastructuur’ naar twee zaken met betrekking tot omvormers voor zonnepanelen; enerzijds de mate van storing die deze apparaten kunnen veroorzaken voor radio-signalen, en anderzijds hoe goed of slecht de toestellen beveiligd zijn tegen hacken.

Als het allemaal in orde was geweest dan was het natuurlijk geen nieuws. Maar het tegendeel bleek het geval: geen enkele van de onderzochte omvormers bleek helemaal 100% in orde. Reden om eens goed te kijken hoe het zit met de omvormers die Zonnefabriek installeert: zou daar soms ook iets mis mee zijn?

Voordat we in de resultaten duiken, moeten we stellen dat het onderzoek niet vertelt welke merken en modellen van omvormers zijn onderzocht. Het blijkt dat ze slechts 9 modellen hebben bekeken, en dat dit een willekeurige greep betrof van omvormers tot en met 3,6 kW (kiloWatt) die voorkomen op de lijst van toegestane omvormers in Nederland en België. U kunt die lijst hier downloaden (bij de vraag: Waar vind ik de lijst van gecertificeerde omvormers?): er staan meer dan 100 fabrikanten op, met alleen al in de groep omvormers tot 3,6 kW meer dan 600 modellen. De onderzochte groep is dus maar een zeer beperkte greep uit het totaal.

Stoorzenders

Het onderzoek betrof zoals gezegd twee zaken, waarvan de eerste de storing van bijvoorbeeld radio-signalen was. Omvormers zenden altijd electromagnetische straling uit, en de vraag is of deze straling zodanig groot zou kunnen zijn, dat radio-signalen hiervan hinder ondervinden. Bijvoorbeeld de hulpdiensten, die het C2000 communicatie netwerk gebruiken, zouden hierdoor getroffen kunnen worden. Dit was ook de oorspronkelijke reden dat het onderzoek destijds werd gelanceerd, toen de Rijksinspectie Digitale Infrastructuur nog het ‘Agentschap Telecom’ heette, zie ook dit artikel.

Het onderzoek werd uitgevoerd door de Rijksinspectie Digitale Infrastructuur, het voormalige Agentschap Telecom

Nu is het gelukkig zo dat we bij SMA omvormers ons werkelijk geen zorgen hoeven te maken over de straling naar buiten toe. De omvormers worden uitgebreid getest in het SMA test centrum in Duitsland. Ze zijn uitgerust met filters op de bekabeling die ervoor zorgen dat electromagnetische ‘ruis’ niet buiten de stevige stalen behuizing kan komen. In onze ervaring van de laatste tien jaar hebben we ook regelmatig zonnepanelen bij radio zendamateurs geplaatst: met SMA omvormers zijn er nog nooit klachten geweest. Meer informatie hierover is terug te vinden in dit document van SMA.

Een systeem van SolarEdge, met ‘optimizers’ achter elk individueel paneel, creëert meer straling dan een SMA systeem waar geen optimizers in zitten. Toch geeft ook SolarEdge aan dat hun optimizers aan de normen zouden voldoen, met bijvoorbeeld dit certificaat.

Cyberveiligheid

De meeste mensen die contact met ons opnamen, waren vooral bezorgd over cyberveiligheid, het tweede onderwerp uit het rapport. Cyberveiligheid wordt steeds belangrijker, en het is goed dat iedereen er serieus op let dat hackers geen toegang krijgen tot onze systemen.

Het rapport bekeek negen verschillende punten om te zien of de omvormers hieraan voldeden. Hieronder geven we aan wat de punten zijn, en hoe het werkt bij SMA omvormers:

1. Universele standaardwachtwoorden: de minimale vereisten voor wachtwoorden. Hierbij wordt gekeken naar bijvoorbeeld de mate waarin standaardwachtwoorden worden gebruikt, gebruikers worden gedwongen een uniek en sterk wachtwoord in te stellen bij het eerste gebruik en het aantal inlogpogingen met onjuiste inloggegevens.

Bij het configureren van SMA omvormers moet er een wachtwoord worden ingesteld (er is dus geen sprake van een ‘standaardwachtwoord’). Het wachtwoord moet daarnaast bestaan uit 8 tot 12 karakters, en moet bevatten: hoofdletters, kleine letters, cijfers en speciale tekens zoals een vraagteken o.i.d. Onze installateurs stellen een wachtwoord in wanneer zij de omvormer configureren op de dag van installatie. Op zich kunt u dit wachtwoord zelf wijzigen als u dat wilt, maar wij raden het niet aan: als u het wachtwoord wijzigt in de omvormer(s), dan moet u datzelfde wachtwoord ingeven in Sunny Portal, anders stopt de communicatie (u krijgt dan de melding ‘wachtwoordfout’ met foutcode 721). Het risico dat iemand in uw omvormer kan inbreken met behulp van het wachtwoord is zeer gering, zie ook straks punt 5. Mocht u desondanks uw wachtwoord willen wijzigen, geef het nieuwe wachtwoord dan alstublieft ook aan ons door; anders wordt het verlenen van service bij eventuele technische storingen wel heel ingewikkeld voor ons.

2. Rapporteren kwetsbaarheden: de mogelijkheid om als gebruiker kwetsbaarheden te rapporteren, zodat deze sneller kunnen worden opgelost.

U kunt natuurlijk altijd een gevonden kwetsbaarheid aan Zonnefabriek doorgeven, maar u kunt het ook rechtstreeks doen bij SMA. De informatie staat op https://www.sma.de/cybersicherheit/responsible-disclosure, en het e-mail adres is: Information-Security@sma.de

3. Software updates: de vereisten voor softwarebeleid. Denk hierbij onder andere aan de mogelijkheid om updates automatisch en eenvoudig te downloaden.

Omvormers van SMA krijgen automatische updates via het internet. U hoeft hier dus niks voor te doen. Wilt u weten wat de firmwareversie is, kijk dan in Sunny Portal bij ‘Configuratie’, vervolgens ‘Overzicht Apparaten’ en dan de ‘Parameters’ van uw omvormer: u vindt hier de firmwareversie.

4. Veilige communicatie: de mate waarin een apparaat veilig is verbonden met de ‘cloud’. Is de verbinding bijvoorbeeld versleuteld?

De dataverbinding met Sunny Portal is uiteraard versleuteld. U kunt dit zien aan het slotje in de adresbalk.

In de adresbalk van uw browser geeft het slotje (hier in de rode cirkel) aan of de verbinding versleuteld is

5. Minimaliseren aanvalsoppervlak: apparaten en digitale applicaties hebben vaak meerdere ‘ingangen’ waarmee ongeautoriseerde personen kunnen ‘binnenkomen’. Dit onderdeel toetst of al deze (soms onnodige) ‘ingangen’ zijn afgesloten.

‘Binnenkomen’ in de omvormer kan alleen via de User Interface. Deze kan op twee manieren worden opgeroepen: door het IP adres van het toestel in het lokale netwerk in te vullen (met andere woorden, wanneer iemand al toegang heeft tot uw lokale LAN netwerk), of via de wifi van het ‘Soft Access Point’. Dat laatste wifi-netwerk is niet zomaar toegankelijk. Dit is namelijk afgeschermd met een wachtwoord van 16 karakters, de zogenaamde WPA2-PSK code, die voor elke omvormer anders is. Zomaar inbreken lukt dus niet. Vervolgens komt de potentiële hacker sowieso niet verder omdat het wachtwoord uit punt 1 nodig is.

6. Beveiliging van persoonlijke gegevens: dit onderdeel heeft (net als de volgende twee onderdelen) raakvlakken met de Algemene verordening gegevensbescherming (AVG). Dit onderdeel toetst of de draadloze communicatie van persoonsgegevens voldoende is beveiligd en of bijvoorbeeld het privacybeleid vermeld welke persoonlijke gegevens voor welk doel worden gebruikt.

In de omvormer worden geen persoonlijke gegevens ingevoerd. Alleen op Sunny Portal worden gegevens gevraagd zoals uw naam en adres. De bescherming hiervan is geregeld volgens de AVG, en de details zijn te vinden in de privacy verklaring van SMA. De gegevens uit de privacy verklaring, zoals onder andere de mogelijkheid om contact op te nemen met de toezichthouder, hebben ook betrekking op punten 7 en 8:

7. Verwijderen gebruiksgegevens: de mogelijkheid om persoonlijke gegevens eenvoudig te kunnen verwijderen.

8. Gegevensbescherming: ook bij dit onderdeel wordt het privacybeleid beoordeeld. Daarnaast toetst het de mogelijkheden en beperkingen rondom persoons- en gebruiksgegevens. Zoals de mogelijkheid om eerder gegeven toestemming voor de verwerking van gegevens in te trekken, de mate waarin gegevens die zijn opgeslagen in de cloud ingezien kunnen worden en de mogelijkheid om gegevens te kunnen verwijderen.

Voor de omvormers van SolarEdge geldt veel van het bovenstaande net zo. Het contact leggen met de omvormers gebeurt alleen via de SolarEdge app, waar een aparte login voor nodig is. Updates gebeuren ook bij SolarEdge automatisch, dus daar hoeft u als klant niets voor te doen. De privacy verklaring van SolarEdge vindt u hier: https://www.solaredge.com/nl/privacy-policy

Zijn de omvormers van Zonnefabriek veilig?

Gelet op de sterke nadruk die SMA legt op de cybersecurity van haar producten, denken wij dat het niet aannemelijk is dat SMA omvormers betrokken zijn geweest bij het onderzoek door de Rijksinspectie voor de Digitale Infrastructuur. SMA staat er juist om bekend dat ze veel aandacht schenken aan dit punt, onder andere om zich als Duits bedrijf te kunnen onderscheiden van de vele buitenlandse (o.a. Chinese) concurrenten.

Ook SolarEdge heeft er, als Israëlische bedrijf, belang bij om haar producten goed te beveiligen. Wij denken daarom dat de risico’s op inbreken door hackers ook bij SolarEdge veel kleiner zullen zijn dan bij veel andere omvormerfabrikanten.

U hoeft als klant van Zonnefabriek geen actie te ondernemen om de veiligheid van uw omvormer(s) te garanderen. De benodigde updates vinden vanzelf plaats.

Ontbreken van de CE-markering op de omvormer geeft aan dat het toestel niet aan de Europese eisen voldoet. Overigens vertonen sommige toestellen een 'nep' CE markering zoals hierboven links. Let op dat de echte CE-markering (rechts) is aangebracht! 

We hopen daarom dat dit artikel onze klanten de geruststelling geeft dat hun omvormers veilig zijn. Mocht u echter toch nog met vragen zitten, laat het ons dan weten via service@zonnefabriek.nl

Het hele rapport van de Rijksinspectie voor Digitale Infrastructuur kan via deze link worden gedownload.