De gigantische en ongereguleerde elektriciteitscentrales in de cloud

There is now also an English version of this page with more EU relevance!
Media: BNR, TenneT wil regels zien voor apps voor zonnepanelen en waarschuwt voor black-outs.

Recent weer in het nieuws, een Nederlandse hacker kon 4 miljoen zonnepaneelsystemen overnemen (FTM, Euractiv). En dit was niet de eerste keer dat zoiets gebeurde.

Zoals gebruikelijk weer veel dank voor de proeflezers en experts die mee hebben gedacht over dit artikel & zeer waardevolle bijdragen en kennis geleverd hebben!
UPDATE! Er zijn nu kamervragen!

De korte versie van dit stuk: de zonnepanelen van consumenten en bedrijven worden, via apps en websites, centraal beheerd door een handjevol bedrijven, de meeste ver van ons vandaan. Samen leveren deze zonnepanelen (in Nederland) het vermogen van minstens 25 Borssele kerncentrales. Er zijn vrijwel geen regels of wetten die gelden voor deze centrale beheerders. Precies evenveel als voor een online verjaardagskalender.

Deze beheersplatformen ‘in de cloud’ zouden echter zomaar per ongeluk, of na een hack, of expres, al hun miljoenen zonnepanelen (permanent) uit kunnen schakelen. En dan stort het Europese stroomnet geheel in. Gegeven de bevindingen van fijne ethische hackers en de bevestiging van elektriciteitsnetbeheerder TenneT is dit geen theoretisch scenario.

We hebben dit stilletjes laten gebeuren – losse zonnepanelen kunnen niet zoveel schade aanrichten, en hadden niet veel regels nodig. Maar in de loop der jaren is het aantal installaties enorm toegenomen, en is het beheer (nodeloos) via de cloud geconcentreerd tot maar een paar clubs, met daardoor geheel nieuwe risico’s.

Update 13 november 2024: Volgens het kabinet hoeven we ons geen zorgen te maken: “De kans dat dit gebeurt achten wij echter zeer klein”. Ze zeggen er niet bij op basis waarvan ze dit concluderen.

Het kan zo echt niet langer. De centrale aan/uit knop moet eraf, of we moeten de centrale beheerders gaan reguleren als elektriciteitsbedrijven. Het is het een of het ander.

Want we zijn nu ongekend kwetsbaar, zo’n 15 GW aan vermogen hier wordt nu bestuurd vanuit verre landen, we weten niet eens precies door wie, en die partijen vallen onder vrijwel geen enkele wet- of regelgeving. Ditzelfde geldt overigens voor warmtepompen, thuisbatterijen en laadpalen.

De toekomstige Cyberbeveiligingswet biedt wel aanknopingspunten om dit te verbeteren, maar het is nodig dat dit tijdens de aankomende behandeling van die wet expliciet gemaakt wordt. Ook belangenbehartiger SolarPower Europe roept hier toe op.

Het langere verhaal

Op deze pagina vertel ik niks origineels, maar ik vat wel graag deze vreselijke situatie samen. Als eerste moeten we Willem Westerhof bedanken, die al sinds 2016 aandacht probeert te krijgen voor dit probleem.

Willem werkte samen met zijn werkgever Secura ook mee aan een zojuist verschenen groot rapport voor de Topsector Energie over de problematiek.

Ook Duitse hacker Sebastien timmert al tijden aan de weg, bekijk vooral zijn presentatie uit 2023 “ Decentralized energy production: green future or cybersecurity nightmare?”. Uit zijn onderzoek bleek dat vrijwel alle populaire merken triviaal te hacken waren.

Wat is er aan de hand. Ons stroomnetwerk is een machtig stuk technologie. Geïntegreerd over vrijwel geheel Europa, en zelfs daarbuiten. We kunnen zo met z’n allen de capaciteit van duizenden grote centrales en opwekkers (zonnepanelen, windmolens) met elkaar delen.

Naast deze grote opwekkers van stroom zijn er ook nog tientallen miljoenen Europese huishoudens die met zonnepanelen een bijdrage leveren.

Het spannende (jawel) is nu dat het stroomnetwerk op ieder moment vrijwel in balans moet zijn. Er moet heel nauwkeurig evenveel energie in het netwerk gestoken worden als in die seconde ook gebruikt wordt.

Als er te veel vermogen het net op gaat leidt dit tot een te hoge frequentie en een mogelijk een te hoog voltage. En omgekeerd, te weinig vermogen leidt tot een te lage frequentie. Om het Europese netwerk te beschermen kunnen dan delen van landen of hele landen afgekoppeld worden, met desastreuze gevolgen. Het netwerk daarna weer op gang krijgen is een huzarenstuk.

Recent bijvoorbeeld was er een internationale storing in Albanië, Montenegro, Bosnië en Croatie , en dat was niks leuk.

Daarom stellen we hoge eisen aan grote aanbieders van vermogen. Hun centrales staan onder toezicht, hun apparatuur moet voldoen aan allemaal eisen en het personeel moet de juiste diploma’s hebben. Incidenten worden onderzocht en er kunnen boetes volgen. Europees wordt er driftig samengewerkt om het netwerk stabiel en veilig te houden.

Maar wie reguleert de het gigantische vermogen aan zonnepanelen in Nederland?

Wat reguleren we wel

Een zonnepaneel kan niet direct aan het net, daar zit een inverter tussen. Deze bouwt de stroom uit het paneel om naar de vorm die het elektriciteitsnet op kan.

Deze apparaten moeten voldoen aan regels, regels die onder andere zeggen wanneer een installatie zichzelf moeten ontkoppelen van een te vol lokaal netwerk (zie artikel 13 van de EU richtlijn en paragraaf 3 van de Netcode Elektriciteit).

Ook zijn er regels hoe inverters aangesloten moeten worden. Dus dit stuk zit (in theorie) wel snor. Een enkele inverter kan ook niet heel veel schade aanrichten aan het bredere stroomnetwerk. Wel aan je zekeringen overigens.

In Nederland hebben we besloten dat alleen inverters die door het Belgische Synergrid zijn goedgekeurd geïnstalleerd mogen worden. Maar van insiders begrijp ik dat we daar nooit op handhaven, en er dus vanalles aan het net hangt. Het valt ook nooit mee.

Maar wat reguleren we niet dan

Om niet al te beste redenen zijn de meeste inverters direct of indirect gekoppeld met het internet. De opstelling maakt zo verbinding met zijn fabrikant, en uploadt ook statistieken over de zonnepanelen en de productie.

De eigenaar van de panelen en inverters kan ondertussen met een app of via een website ook verbinding leggen met die fabrikant, en via de fabrikant zien hoe het met zijn eigen panelen gaat:

Het was technisch niet noodzakelijk geweest om alles via de servers van de fabrikant te laten lopen, maar hier is nou eenmaal voor gekozen. Bijna alle consumentenapparatuur werkt inmiddels zo, vergelijk bijvoorbeeld bewakingscamera’s of moderne auto’s. Iedereen hoopt iets te kunnen doen met jouw data lijkt het.

Via de website of de app kan de eigenaar niet alleen zien hoe het gaat met de panelen, deze kunnen ook aan- en uitgezet worden. Ook is het mogelijk om via de fabrikant automatisch of handmatig nieuwe software (firmware) te installeren op de inverters.

Het aan- en uitzetten kan ook als je eigen app er geen knop voor heeft. Er is support voor het aan en uitzetten op afstand, ook voor gebruik door installateurs.

En daar wordt het spannend

Omdat alles via de fabrikant loopt is deze daardoor in staat om alle panelen aan en uit te zetten. Of om software op de inverters te zetten waardoor de verkeerde stroom het net op gaat. Nou zal een fabrikant dat niet bewust doen, maar een vergissing zit in een klein hoekje.

Als voorbeeld, het computerbeveiligingsbedrijf CrowdStrike installeert op eenzelfde manier automatisch nieuwe software bij gebruikers, en door een foutje onlangs in de update gingen miljoenen computers wereldwijd plat, wat dagen en miljarden kostte om te herstellen.

Ook is het goed mogelijk dat de fabrikant gehacked wordt, en er daarna opzettelijk foute nieuwe instructies naar de inverters gaan, met alle mogelijke gevolgen van dien.

Er zijn ook boze tongen die beweren dat de veelal Chinese bedrijven die dit voor ons runnen, ons mogelijk bewust zouden willen beschadigen zo.

In deze spannende tijden is dit allemaal niet robuust en betrouwbaar genoeg.

Wat kan er dan gebeuren?

Boven lazen we al dat het elektriciteitsnetwerk nauw luistert. Er moet precies evenveel vermogen in als uit. Om dat mogelijk te maken staan er diverse soorten centrales permanent klaar om kleinschalig bij te plussen of juist af te remmen als er verschillen optreden.

En voorbij dit soort ‘fine tuning’ is er nog grootschaligere capaciteit beschikbaar om relatief snel (bijvoorbeeld) een uitgevallen centrale op te vangen.


De drie niveaus van balansherstel. Bron: TenneT.

Dit luistert allemaal zo nauw dat er vooraf rekening wordt gehouden met zelfs heel gedeeltelijke zonsverduisteringen. Het is echt heel knap.

Het spannende is nu dat fabrikanten van zonnepaneel-inverters vanuit hun centrale beheersinstallatie het vermogen aan en uit kunnen zetten van miljoenen installaties bij mensen thuis, of op daken van bedrijven.

En als je al die panelen op het juiste moment tegelijk uitzet, dan valt de stroom uit in half Europa. Want de grootste clubs beheren meer vermogen dan de balansherstelmethodes (FCR, aFFR, mFFR) ooit aan zullen kunnen. TenneT noemde een grens van 3 GW. In totaal (inclusief grootschalige installaties) staat er in Nederland nu meer dan 25 GW aan panelen opgesteld, veel meer dan die 3 GW. Er is een inverter-fabrikant die wereldwijd in z’n eentje 195 GW beheert, waarvan vermoedelijk de helft wel in Europa.

Ook nog heel beangstigend is dat Nederlandse ethische hackers Wietse Boonstra en Hidde Smit (toplui) er in slaagden om software in zonnepaneelinstallaties aan te passen, zonder toestemming van de fabrikant. Hiermee is de schade die je aan kan richten nog veel groter, en duurt het oplossen ook nog veel langer. Want die software kan het stroomnet flink in de war gooien, en naar verluidt ook je stoppen laten knallen.

Oei

Als je een controlepaneel had om tientallen kerncentrales tegelijk aan en uit te zetten, dan moest je voldoen aan allemaal veiligheidsregels, en viel je onder inspecties die kwamen kijken of je het wel goed deed. Dit geldt ook voor grote zon en wind installaties.

Omdat inverters en zonnepanelen thuis “gewoon” consumentenapparaten zijn is er geen inspectie. Want, zoveel schade kan een enkele installatie niet aanrichten.

Maar doordat we niet opgelet hebben is het beheer van die consumentenapparaten nu samengebracht tot enkele leveranciers die zelfs los van elkaar op zonnige dagen een significant stuk van onze stroomlevering voor hun rekening nemen.


Het vermogen van 25 Borssele kerncentrales achter een handige app!

En tegelijkertijd reguleren we die grote aanbieders even streng als, zeg, een online verjaardagskalender. Vrijwel niet dus.

En nu?

Er worden al stappen gezet, en het recente rapport van Secura in opdracht van de Topsector Energie is zeer waardevol om te bepalen wat de situatie is.

Dit schreeuwt natuurlijk om wet- en regelgeving. Voorlopig vallen de grote beheerders tussen wal en schip. De panelen in het veld moeten individueel aan (lichte) regels voldoen. En de website waar je die panelen beheert is gewoon een website, en geen onderdeel van het stroomnetwerk, en dus niet gereguleerd.

Althans, zo zien we het nu. Om deze situtie snel te verbeteren is het misschien mogelijk deze centrale beheerders wel aan te spreken als “netbeheerders” in plaats van als verjaardagkalenderbeheerders. Je moet de wet dan wel wat creatief lezen vrees ik.

Verder is er op Europees niveau een nieuwe richtlijn op komst, de NIS2, in Nederland uitgewerkt in de aankomende Cyberbeveiligingswet.

Dit is een algemene wet die van toepassing is op allerhande aanbieders van (digitale) diensten. In deze wet staat “energie” onder het kopje “Zeer kritieke sectoren”. Dus daar zou toch wat te doen moeten zijn.

Cruciaal, bij de aanbieding aan de Tweede Kamer van de Cyberbeveiligingswet zouden een paar rake paragrafen in de wet of Memorie van Toelichting duidelijk kunnen maken dat zonnepaneelbeheerders er expliciet onder vallen, zolang ze de mogelijkheid hebben om updates te installeren of panelen aan of af te schakelen.

Ook is er een andere Europese wet in aantocht, de Cyber Resilience Act (CRA). Deze gaat in eerste instantie over apparaten (inverters, panelen), maar ik vermoed dat het bijbehorende centrale controlpanel en app er toch ook bij zal horen (omdat je apparaat niet functioneert zonder). De CRA heeft stevige aanknopingspunten om een hoog beveiligingsniveau te eisen.

SolarPower Europe, een belangenbehartiger, heeft er ook over nagedacht en in dit document schrijven ze: “In the context of the broad cybersecurity principles established in NIS2, requirements specific to the solar sector should be in place for its implementation. Such requirements should apply to entities that control sufficient capacities to disrupt the grid”. Ook valt daar te lezen dat Australië en Duitsland al regels hebben, al handhaaft Australië die in ieder geval niet. Tevens schrijft SolarPower Europe in het document over de Cyber Resilience Act.

Overigens, waarom zijn die panelen eigenlijk allemaal centraal gekoppeld? Ik wil zelf wel weten wat mijn panelen doen, maar daar heb je helemaal geen internet voor nodig. Mijn (inmiddels wat oudere) panelen zijn nog nooit aan het internet gekoppeld geweest. Desondanks heb ik prachtige grafieken. Dit vergt een andere manier van werken, maar het is technisch uitstekend mogelijk direct met je eigen installatie verbinding te kunnen leggen om grafieken te krijgen. Zou terloops ook een goed idee zijn voor camera’s, wasmachines, warmtepompen, auto’s/laadpalen en thuisbatterijen. Want ook die laatste drie hebben de mogelijkheid het elektriciteitsnetwerk omver te trekken.

Als interim stap zouden we misschien moeten eisen dat het blijft bij grafiekjes, en dat het onmogelijk wordt de panelen/laders/batterijen op afstand aan en uit te zetten.

Afsluitend

We zijn al slaapwandelend in een vreselijke situatie gekomen dat een paar partijen ver weg overdag vrijwel onze hele energievoorziening onder controle hebben, terwijl die partijen onder geen enkele energiewet vallen. We reguleren ze alsof ze een gewone website zijn, wat inhoudt dat we ze vrijwel niet reguleren.

We zouden bestaande wetgeving creatief kunnen bekijken of die mogelijkheden biedt om iets te doen, maar dat lijkt moeilijk.

Er zijn nieuwe wetten op komst die zouden kunnen helpen deze partijen aan strengere regels te onderwerpen. De nieuwe Cyberbeveiligingswet lijkt daarvoor geschikt. En om iedere twijfel weg te nemen zou in de Memorie van Toelichting of in de wet zelf opgenomen kunnen worden dat de centrale beheerspartijen er echt onder vallen, iets waar SolarPower Europe ook toe oproept (artikel in Euractiv)

Omdat gigantische buitenlandse bedrijven mogelijk niet zo onder de indruk zijn van Nederlandse wetten moet hierbij nadrukkelijk binnen de EU samengewerkt worden.