Deze zomer ontdekte een Nederlandse ethische hacker, Wietse Boonstra, een ernstige kwetsbaarheid die hem in staat stelde om wereldwijd 4 miljoen zonnepaneelsystemen in 150 landen met één druk op de knop uit te schakelen. Deze ontdekking toont aan hoe kwetsbaar Nederland, en de rest van de wereld, is voor cyberaanvallen op kritieke infrastructuur, zo schrijft Follow The Money.

Boonstra, die overdag werkt als beveiligingsonderzoeker bij de Justitiële ICT Organisatie (JIO), vond een fout in de software van het Amerikaanse bedrijf Enphase, dat systemen ontwikkelt waarmee zonnepanelen worden gekoppeld aan het stroomnet. Via deze fout kon hij zichzelf onterecht als beheerder van andere systemen aanstellen en zo volledige controle krijgen over de apparaten. Samen met zijn collega Hidde Smit ontdekte Boonstra zes kwetsbaarheden in de firmware van de Enphase-apparaten, wat hen in staat stelde om de systemen wereldwijd te manipuleren.
Na deze ontdekking nam Boonstra contact op met het Dutch Institute for Vulnerability Disclosure (DIVD) om de kwestie veilig en discreet aan te pakken. Enphase reageerde snel en binnen 24 uur werd de belangrijkste kwetsbaarheid verholpen, wat uitzonderlijk snel is in de techwereld. Toch blijft de vraag of de ingebouwde controles en waarschuwingen van Enphase voldoende zouden zijn om een massale aanval te voorkomen.

Stroomnet ernstig te destabiliseren
Deze ontdekking is niet de eerste in zijn soort. Twee jaar geleden vond een andere Nederlandse ethische hacker, Jelle Ursem, een vergelijkbaar lek bij het Chinese bedrijf Solarman. Hij ontdekte inloggegevens van een hoofdbeheerder op GitHub, wat hem in staat stelde controle te krijgen over een miljoen zonnestroomsystemen, waaronder duizenden in Nederland. De kwetsbaarheid leidde destijds tot Kamervragen en een onderzoek door de Rijksdienst Digitale Infrastructuur (RDI).
De kwetsbaarheid van zonnepaneelsystemen heeft ernstige gevolgen voor de stabiliteit van het elektriciteitsnet, vooral gezien de schaal waarop deze systemen energie leveren. Cyberexpert Bert Hubert benadrukt dat het plotseling uitvallen van enkele gigawatt aan zonne-energie het stroomnet ernstig kan destabiliseren. Dit probleem wordt versterkt door het feit dat veel van deze systemen worden beheerd door buitenlandse, vaak Chinese, bedrijven.

Het rapport van de RDI, gepubliceerd op 12 augustus, waarschuwt voor de desastreuze gevolgen van dergelijke kwetsbaarheden. Het roept op tot strengere regelgeving en beter toezicht om de cyberveiligheid van kritieke infrastructuur te waarborgen. Jan Vorrink van TenneT, de beheerder van het hoogspanningsnet, benadrukt tegenover Follow The Money dat de verantwoordelijkheid niet alleen bij de overheid ligt, maar dat alle betrokken partijen, van fabrikanten tot consumenten, meer aandacht moeten hebben voor deze dreiging.