Zonnestroominstallatie kwetsbaar voor hacks en storingen

Na een zonnige dag nog even op je mobiel checken hoeveel stroom je zonnepanelen hebben opgeleverd: wie er een paar op het dak heeft liggen, zal het geregeld doen. Maar de apparaten die deze informatie doorsturen, zijn gevoelig voor hacks en veroorzaken geregeld storingen, blijkt nu.

De Rijksinspectie Digitale Infrastructuur (RDI) deed onderzoek naar deze ‘omvormers’, die de opgewekte stroom omzetten in stroom die kan worden gebruikt voor huishoudelijke apparaten als koelkasten en wasmachines. Dinsdag presenteerde de toezichthouder zijn conclusie: alle negen onderzochte apparaten, afkomstig van acht fabrikanten, waren gevoelig voor hacks. Hierdoor zijn ze van afstand uit te schakelen of in te zetten voor DDoS-aanvallen, waarbij een systeem onbruikbaar wordt gemaakt door grote hoeveelheden verkeer op een server te genereren.

De RDI denkt niet lichtzinnig over de mogelijke gevolgen van zo’n hack. „In het meest extreme geval kan een groot deel van de installaties in Nederland tegelijk worden uitgeschakeld”, schrijven de onderzoekers. Hierdoor komen huishoudens zonder stroom te zitten. Ook de privacy van gebruikers loopt risico: hackers kunnen zichzelf toegang verschaffen tot persoonsgegevens en andere data, bijvoorbeeld over het stroomverbruik en de opbrengst van de zonnepanelen.

Bij alle apparaten schortte het aan mogelijkheden voor de gebruiker om kwetsbaarheden te melden, waardoor deze mogelijk langer blijven bestaan. Ook hoefden gebruikers meestal geen moeilijk wachtwoord in te stellen, of konden zij een zwak standaardwachtwoord blijven gebruiken. Daarnaast was het bij zeven fabrikanten niet mogelijk de software van de omvormer te updaten, of was dit niet eenvoudig.

Storingen

Vijf van de negen omvormers bleken storingen te kunnen veroorzaken op radiofrequenties. Dat komt doordat radiogolven vrijkomen bij het omzetten van opgewekte naar bruikbare stroom. Deze golven moeten in de omvormer blijven, maar in de praktijk gebeurt dit niet altijd. Hierdoor kunnen alledaagse voorwerpen, zoals een wifi-routers en draadloze tags om deuren te openen, minder goed of niet meer functioneren. Ook bestaat het risico dat radiocommunicatie van lucht- en scheepvaart verstoord raakt.

Tussen 2020 en 2022 kwamen bij het RDI 113 meldingen binnen van storingen, maar de toezichthouder denkt dat het in de praktijk veel vaker voorkomt. Zo zal niet iedereen de link leggen tussen een haperende wifi-verbinding en problemen met de omvormer die elders in huis hangt. De inspectie adviseert consumenten dan ook alert te zijn op radio- en wifi-verstoringen – zeker als er meer ruis op de lijn komt op momenten dat zonnepanelen meer stroom opwekken.

Voor het onderzoek selecteerde de RDI steekproefsgewijs negen omvormers die in mei 2021 voor de Europese markt zijn goedgekeurd. Het ging specifiek om omvormers met een vermogen tot 3,6 kilowatt, bedoeld voor huishoudens en kleine bedrijven. Hoeveel van deze omvormers in Nederlandse huizen hangen, is niet bekend. Volgens de RDI viel een aantal van de meest verkochte merken omvormers binnen de selectie. De merknamen geeft de toezichthouder niet prijs, omdat dit voor- of juist nadelig kan uitpakken ten opzichte van omvormers die niet zijn gecontroleerd en mogelijk eveneens niet voldoen.

Vanaf augustus 2024 moeten alle omvormers voldoen aan wettelijke eisen, zoals storingslimieten en normen op het gebied van cyberveiligheid. De RDI hanteerde deze eisen nu al tijdens het onderzoek, maar gaf nog geen waarschuwingen af. Wel vindt de dienst het, gezien de ontdekte risico’s, „zaak dat fabrikanten hun apparaten aanpassen”. Na ingaan van de wet kan de RDI boetes opleggen aan fabrikanten van omvormers die niet aan de regels voldoen, en in het uiterste geval producten verbieden.