Een Russische hack van het Poolse stroomnet eind december blijkt nu ook een waarschuwing voor Nederland: de systemen van nieuwe energiebronnen als zonne- en windenergie zijn door beperkte veiligheidseisen uiterst kwetsbaar.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Over de aanval van december maakte de Poolse digitale autoriteit vrijdag specifieke details bekend. Russische hackers slaagden er na een maandenlange voorbereiding in om ICT-systemen en communicatie-apparaten van wind- en zonneparken te verstoren. Het was daarmee de eerste keer dat een land een digitale aanval uitvoerde op decentrale energiesystemen die cruciaal zijn voor de energietransitie.
De aanval vond plaats op 29 en 30 december. Toen was er nog relatief weinig bekend over de exacte schade en werkwijze. De Poolse premier Donald Tusk zei twee weken later dat zijn land ternauwernood een stroomstoring had voorkomen en wees Rusland aan als dader. Als de aanval succesvol zou zijn geweest, zei Tusk, dan hadden een half miljoen inwoners geen stroom gehad.
Daarna kwam het Slowaakse beveiligingsbedrijf Eset met meer nieuws: de aanvallers hadden zogeheten wiper malware ingezet – software die de informatie op computers overschrijft met nutteloze karakters waardoor ze onbruikbaar worden.
Dat deed denken aan de eerste digitale aanval op een stroomnet, in 2015 in Oekraïne. En toeval of niet: dat was exact tien jaar voor de aanval in Polen. Ook de gekozen werkwijze leek precies hetzelfde: het ICT-netwerk onbruikbaar maken en tegelijkertijd de systemen die verantwoordelijk zijn voor het aansturen van de stroomvoorziening saboteren om zo maximale schade te veroorzaken.
Eset schreef de aanval daarom met ‘gemiddelde’ zekerheid toe aan het Russische Sandworm, een beruchte groep hackers die bij de militaire dienst van Rusland hoort en vaker destructieve aanvallen uitvoert. Zoals die in 2015 in Oekraïne en in 2018 tijdens de openingsceremonie van de Olympische Winterspelen in Zuid-Korea. Toen werden computerservers van de organisatie digitaal verstoord waardoor het toegangssysteem, de wifi en badges van toeschouwers urenlang niet meer werkten.
Het Amerikaanse beveiligingsbedrijf Dragos , dat ook onderzoek deed naar de aanval, stelde daarna dat de hackers de systemen van een warmtekrachtcentrale en wind- en zonneparken hadden verstoord. Die parken, zogenoemde energieopwekkers, staan via Remote Terminal Units (RTU) in verbinding met energiepartijen. De hackers hadden toegang tot tientallen van deze RTU’s en overschreven de fabriekssoftware met een kwaadaardige variant. Daardoor was er geen communicatie meer mogelijk tussen de parken en de lokale netbeheerders.
‘Hoewel de aanval niet leidde tot stroomuitval’, waarschuwde Dragos, ‘kregen tegenstanders toegang tot operationele systemen die cruciaal zijn voor het beheer van het elektriciteitsnet en schakelden zij apparatuur uit die niet meer te herstellen is.’ Dat de stroom niet uitviel kwam door meerdere factoren: de parken bleven functioneren en ook als ze waren uitgevallen, waren er back-upvoorzieningen.
Dragos noemt de aanval ‘zeer alarmerend.’ Het Amerikaanse bedrijf: ‘Dit is de eerste grote cyberaanval die specifiek gericht was op zogenoemde gedistribueerde energiebronnen (DER’s): de kleinere wind-, zonne- en warmtekrachtkoppelingsinstallaties die wereldwijd aan elektriciteitsnetten worden toegevoegd.’
Dat baart ook Nederlandse experts zorgen. Peter Baard, strategisch adviseur kritische infrastructuur bij netbeheerder Liander en in de sector betrokken bij digitale weerbaarheid, wijst al langer op de beveiligingsrisico’s van decentrale opwekkers, zoals zonne- en windparken. Baard: ‘Door de energietransitie krijgen we daar steeds meer van, denk aan zonnepanelen bij consumenten en het midden- en kleinbedrijf.’
De slechte beveiliging van één zo’n systeem kan niet zoveel kwaad, maar bij elkaar leveren deze opwekkers veel vermogen waardoor misbruik een kettingreactie op het net kan veroorzaken. Baard: ‘En vaak zijn dit soort systemen via internet verbonden met de publieke beheercloud van de fabrikant.’ Als aanvallers daar toeslaan, kunnen ze veel schade berokkenen. ‘Die systemen zijn minder goed beveiligd dan die van grotere energiecentrales.’
Dat werd vrijdag onderstreept door de Poolse digitale autoriteit, die de hack toeschrijft aan hackers gelieerd aan Ruslands veiligheidsdienst FSB en niet aan de militaire dienst. Zo bleken de RTU’s van de wind- en zonneparken te beschikken over standaard inloggegevens en geen extra verificatie te vereisen.
Ook bevatten de cruciale firewalls die de hackers hadden moeten tegenhouden, kwetsbaarheden die niet waren verholpen. De aanvallers hadden tussen de vijf en negen maanden toegang tot de waterkrachtcentrale voordat ze de wiper malware activeerden op zo’n honderd werkcomputers.
‘Echt een zorgwekkende escalatie’, zegt Jos Wetzels, onderzoeker kritieke systemen van securitybedrijf Midnight Blue. Volgens hem zaten de Russische aanvallers diep in de netwerken van de onderstations. ‘Dat heeft voorbereiding gevergd en is niet simpel opportunisme.’
Het grote probleem, zegt hij, is dat de beveiliging van de RTU’s niet door de netbeheerders wordt gedaan maar door de energieproducent zelf. Eigenaren van traditionele energiecentrales hebben meer ervaring met beveiligen en voor netbeheerders gelden als nutsbedrijf strenge regels. Wetzels: ‘Zij kunnen wel eisen stellen aan de gedecentraliseerde energieproducenten, maar hebben de touwtjes en controle niet zelf in handen.’
Dat beaamt Peter Baard. ‘Bij sommige productielocaties zijn de eisen voor de beveiliging minder streng en al helemaal voor apparaten bij de mensen thuis zoals thuisbatterijen, omvormers en laadpalen.’ Bovendien zijn bij commerciële initiatieven voor duurzame energieopwekkers vaak investeringsmaatschappijen betrokken en die sturen sterk op rendement, soms ten koste van beveiliging. Baard: ‘De commerciële druk is daar wat groter.’
Hij pleit er daarom voor om beter in kaart te brengen welke partijen vanuit hun marktdominantie en grootte van de cloud het potentieel hebben om op landelijk niveau te voor ontwrichting van de energievoorziening te zorgen. Hij hoopt dat er zowel vanuit de EU als op nationaal niveau passende maatregelen komen voor de digitale weerbaarheid van het energiesysteem.
Geselecteerd door de redactie
Source: Volkskrant