‘Help, de omvormer in mijn zonnepanelen spreekt Chinees’

‘Verbind simpelweg geen zaken met het internet als dit niet strikt nodig is’, schrijft Joannes Laveyne (UGent). De afgelopen dagen waren er heel wat berichten over de kansen dat ons elektriciteitsnet gehackt zou kunnen worden, door de Chinese omvormers in zonnepanelen. Maar er zijn nog veel meer andere ‘slimme’ toestellen waarvoor betere regels rond cyberveiligheid er beter vandaag dan morgen komen.

Vroeger waren zonnepaneelomvormers eenvoudige toestellen. De apparaatjes die de gelijkstroom die zonnepanelen produceren moesten omvormen tot elektriciteit die klaar is voor gebruik, werden aangestuurd door relatief bescheiden technologie zoals microcontrollers en digitale signaalprocessors (DSP). Ze moesten dan ook enkel de gelijkstroom van je zonnepanelen omzetten in wisselstroom zodat die in het elektrisch net geïnjecteerd kon worden. Eventuele communicatie met de buitenwereld gebeurde via klassieke, lokale bussystemen, die een fysieke verbinding met de omvormer vereisten. Als je geluk had zat er ergens ook iets in dat de data uit dat bussysteem kon overzetten op een modernere interface zoals wifi, maar dat was het ook zowat.

De meeste hedendaagse internetgeconnecteerde zonnepaneelomvormers bevatten daarentegen een relatief krachtige System-on-Chip (SoC), een minicomputer die qua mogelijkheden ongeveer vergelijkbaar is met een smartphone van enkele generaties terug. De hedendaagse omvormer moet dan ook heel wat meer doen dan enkele jaren geleden. Ze moet diverse meetgegevens verzamelen en doorsturen naar een centraal platform, zodat zowel de gebruiker als de installateur via een app de opbrengst en goede werking kunnen controleren. Ze moet communiceren met andere toestellen zoals batterijen, je digitale meter of elektrisch voertuig. En steeds meer moet ze ook al die energiestromen in goede banen leiden, al dan niet op basis van weersvoorspellingen.

Om dat allemaal mogelijk te maken draait er op de omvormer een firmware, een soort vereenvoudigd besturingssysteem. Regelmatig moet deze firmware een update krijgen, bv. om fouten te herstellen of nieuwe functionaliteit mogelijk te maken. Onder de standaard instellingen checken de omvormers van zowat alle grote fabrikanten eenmaal per dag of er een update beschikbaar is. Ze connecteren hiervoor via het internet met de centrale server van de fabrikant.

Dit hebben wij aan Universiteit Gent zelf kunnen vaststellen tijdens diverse onderzoeksprojecten rond elektrische flexibiliteit, waarbij gezinnen ons toegang gaven tot hun omvormer. Bij thuisbatterijen, elektrische voertuigen en sommige warmtepompen was dit overigens ook het geval, alsook bij recente grootschalige omvormers voor industriële projecten.

Onder normale omstandigheden is dit allemaal perfect onschuldig. Maar wat als een kwaadwillige actor met toegang tot de centrale updateserver er een aangepast besturingssysteem op plaatst? Een besturingssysteem dat lijkt op en werkt als het oude, maar geïnfecteerd is met programmacode die de omvormer op de achtergrond verbinding doet maken met een andere server in handen van de kwaadwillige actor. 24 uur na het uploaden van dat aangepaste besturingssysteem heeft de kwaadwillige actor de rechtstreekse controle over miljoenen omvormers verworven. Hij kan nu zijn sporen wissen door het aangepaste besturingssysteem op de server van de fabrikant terug vervangen door de vorige, onschuldige versie. Niemand is zich van iets kwaads bewust.

In de wereld van cyberveiligheid is de hierboven beschreven aanval een relatief courante praktijk. Het wordt een “botnet” genaamd omdat ieder geïnfecteerd toestel een willoze robot wordt, onder volledige controle van de kwaadwillige actor. Dagelijks worden tienduizenden tot honderdduizenden internetgeconnecteerde toestellen op deze of gelijkaardige manieren aangevallen en overgenomen. Naar schatting maken er op dit moment meer dan 60 miljoen toestellen deel uit van een botnet. Internetmodems, televisietoestellen, slimme lampen, zelfs robotstofzuigers of slimme koelkasten: het is allemaal wel al eens slachtoffer geweest en het wordt ook continu opnieuw aangevallen.

(Lees verder onder de preview.)

Zonnepaneelomvormers lijken overigens meer op slimme televisietoestellen en robotstofzuigers dan je denkt. De SoC die ze gebruiken is bijna altijd gebaseerd op dezelfde, dominante ARM architectuur, en het besturingssysteem die ze draaien is meestal een uitgeklede, vaak ook verouderde versie van Linux. Dat betekent dat ze veel gemeenschappelijke zwakke punten, zogenaamde attack surfaces, met elkaar delen en dat de kans groot is dat infecties die op het ene toestel werken ook succesvol ingezet kunnen worden tegen een ander. Er is geen enkele reden om aan te nemen dat ook omvormers van zonnepanelen niet geïnfecteerd kunnen worden, of dat nog niet zijn. Experts in cyberveiligheid hanteren dan ook niet voor niets het adagium “beschouw alles dat met het internet verbonden is als gecompromitteerd”.

Zo’n toestel infecteren klinkt overigens heel technisch en ingewikkeld, maar dat is het al lang niet meer. De technieken om zo’n aanval op poten te zetten zijn breed gedocumenteerd. Op gespecialiseerde fora kan je zelfs kant-en-klare infecties kopen of op maat laten maken. Op die fora wordt trouwens ook toegang tot reeds geïnfecteerde toestellen verkocht. Wil jij de trotse eigenaar zijn van tien- of honderdduizenden met internet verbonden toestellen die je kan inzetten voor een aanval naar je keuze? Voor wat cryptomunten kan het.

De meeste botnets worden gebruikt om gegevens van bedrijven of personen af te luisteren, om cryptomunten te ontginnen of om de toegang tot bepaalde netwerken of sites onmogelijk te maken door ze te verzadigen met dataverkeer. Maar in het geval van omvormers kan je er nog iets anders mee doen: het elektriciteitsnetwerk verstoren.

Het is voor ons elektrisch net essentieel dat de productie en het verbruik van elektriciteit op ieder moment perfect in evenwicht zijn. Indien de productie lager ligt dan het verbruik zal de netfrequentie beginnen dalen, en vice versa. Indien die frequentie teveel van haar nominale waarde afwijkt zullen elektriciteitscentrales zich ontkoppelen om schade aan hun apparatuur te voorkomen. Hierdoor neemt de productie nog meer af en daalt de netfrequentie nog verder, wat een cascade van afschakelingen kan veroorzaken. In het ergste geval belandt Europa zo in een volledige of gedeeltelijke black-out. Dit verloopt in een tijdspanne van seconden tot enkele minuten.

Nu is ons Europees net wel tegen een stootje bestand. Er is steeds een vermogensreserve voorzien die het wegvallen van 3GW, of 3 grote kernreactoren, onmiddellijk kan opvangen. Daarna kan binnen de 15 minuten extra capaciteit worden opgestart. Het verbruik kan ook verlaagd worden door ganse regio’s van het elektrisch net af te koppelen. Maar dat alles verbleekt in het niets bij de meer dan 200GW aan omvormers voor zonnepanelen die momenteel aan het Europese net gekoppeld zijn, een hoeveelheid die de komende jaren nog gaat verdrievoudigen. Cijfers over de totale verdeling zijn moeilijk te vinden, maar vorig jaar had alvast één fabrikant waarvan we konden vaststellen dat hun omvormers zichzelf automatisch updaten een marktaandeel van 26%.

Stel u nu het volgende scenario voor. Voor morgen is over gans Europa zonnig weer voorspeld, en op de middag zullen we dicht tegen de 200GW aan zonneproductie zitten. Een kwaadwillige actor die toegang heeft tot 10%, 5% of zelfs maar 2% van de omvormers verstuurt het commando om morgen stipt om 12h00 uit te schakelen. Via het generieke NTP protocol worden de interne klokken van de omvormers over gans Europa tot op 10 milliseconden nauwkeurig gesynchroniseerd. Wat er de volgende dag om 12h00 zal gebeuren laat ik aan uw verbeelding over, maar dat het een grote technische en economische impact zal hebben is duidelijk.

De technische mogelijkheid om ons Europees net te saboteren of zelfs plat te leggen via internetgekoppelde omvormers is reëel. De vraag daarbij is: wie beschikt over een geloofwaardige reden om dit te doen? De voorbije dagen werd vooral naar China gewezen. Het klopt dat Chinese producenten een overwicht hebben in de wereldwijde productie van omvormers, en dat de invloed van de Chinese overheid op haar bedrijven niet te ontkennen valt.

(Lees verder onder de preview.)

Toch denk ik niet dat het werkelijke gevaar per se uit China komt. Het schuilt eerder in de manier waarop we internetgeconnecteerde toestellen zoals omvormers met centrale servers verbinden en toelaten zonder goedkeuring updates te installeren. Updates waar we bovendien niet van weten welke wijzigingen ze bevatten. Dat is geen exclusieve Chinese praktijk, ook Europese en Amerikaanse fabrikanten gebruiken dit principe. Het maakt een enkelvoudige toegang tot miljoenen apparaten mogelijk. Zo’n updateserver kan namelijk achter de rug van de fabrikant gehackt worden, waarna de aanvaller in staat is de omvormers te kapen en in te zetten voor zijn eigen doeleinden.

Er valt vast wel een land te bedenken dat zowel de technische capaciteiten heeft om dit te ondernemen als een motief om Europa economisch te schaden. Minder spectaculaire aanvallen liggen nog meer voor de hand. Denk bijvoorbeeld aan prijsmanipulatie op de elektriciteitsmarkt door het ongemerkt verlagen van de zonneproductie. En zo zijn er nog tientallen andere scenario’s denkbaar.

Een structurele oplossing ligt gelukkig voor de hand: het afdwingen van auditeerbare firmware als onderdeel van de zogenaamde homologatie van de omvormer. Om op de Europese markt toegelaten te worden moet iedere fabrikant hun omvormers elektrisch laten testen en keuren, een proces dat herhaald dient te worden wanneer ze iets aan hun ontwerp wijzigen. Hetzelfde kan ook met de firmware: laat een onafhankelijke instantie iedere firmware-update auditten, waarna de fabrikant de update pas na een goedkeuring op de server mag plaatsen. Via steekproeven op reeds geïnstalleerde omvormers kan gecontroleerd worden of de fabrikant zich aan de procedure houdt.

Deze procedure leidt ook tot meer transparantie voor de burger. Door het publiceren van de zogenaamde firmware hashes, een soort vingerafdruk van de goedgekeurde firmware, of het koppelen van een digitale handtekening aan de goedgekeurde firmware stelt de onafhankelijke instantie de eindgebruikers in staat om te controleren of de firmware op hun omvormer origineel is. Zo kunnen ook gehackte toestellen gedetecteerd worden.

Beleidsmakers talmen best niet te lang met het implementeren van betere regels rond cyberveiligheid. Tegen 2030 wordt een verdrievoudiging van de hoeveelheid zonnepaneelomvormers verwacht. Ook andere geconnecteerde toestellen zoals warmtepompen en elektrische wagens zullen tegen dan alomtegenwoordig zijn. En dan spreken we nog niet over de honderden miljoenen andere “smart devices” in het moderne huis.

Tot die betere cyberveiligheid er is, nog een goede raad: verbind simpelweg geen zaken met het internet als dit niet strikt nodig is.

Joannes Laveyne is onderzoeker aan het Labo voor Elektrische Energietechniek van Universiteit Gent. Hij werkt hoofdzakelijk op de techno-economische inpassing van grote hoeveelheden hernieuwbare energie op ons Europees elektriciteitsnet.