Heeft uw omvormer een beveiligingslek?

Naar aanleiding van een onderzoek van ict-beveiliger Willem Westerhof uit Nederland is er de afgelopen week heel wat nieuws verschenen over het hacken van zonnepaneleninstallaties. Uit het onderzoek blijkt dat bepaalde types omvormers slecht beveiligd zijn, waardoor ze een makkelijk doelwit vormen voor hackers. In het ergste geval zouden zo alle kwetsbare omvormers tegelijk uitgeschakeld kunnen worden. Hierdoor kan het elektriciteitsnet uit balans geraken, met een stroompanne tot gevolg. We begrijpen dat dit wat ongerustheid veroorzaakt bij eigenaars van zonnepanelen, daarom hier meer verduidelijking.

Een steekproef van woningcorporatie Domesta wees uit dat de oudere modellen van de goedkopere Chinese merken Hosola, Growatt en Omnik het meest kwetsbaar zijn. Deze omvormers zenden continu een zogenaamd ‘accesspoint’ uit. Dit blijft zichtbaar in de lijst met beschikbare netwerken en kan zo makkelijk aangevallen worden. Wij kiezen steeds voor kwalitatieve producten en hebben deze merken dus ook nooit verkocht. De omvormers die wij gebruiken, zenden zo een signaal enkel uit tijdens de configuratie van de datamonitoring. Na de installatie verdwijnt de verbinding permanent uit de lijst.

Na het horen van het nieuws over de beveiligingsproblemen hebben we onze leveranciers meteen gecontacteerd. We zijn samen aan het nagaan of er bij hun ook problemen zijn en hoe we deze eventueel kunnen oplossen. We houden u natuurlijk op de hoogte als er meer nieuws is.

 

SMA:

Eén van de grootste fabrikanten van omvormers, SMA, heeft in een persbericht gereageerd dat een aantal verklaringen in het onderzoek onjuist of sterk overdreven zijn. Het vermogen van de kwetsbare omvormers is maar een fractie van het totaal geïnstalleerde vermogen. Er zou dus geen gevaar zijn voor de stabiliteit van het elektriciteitsnet. Bij SMA zouden enkel de oudere modellen Sunny Boy TLST-21 en TL-21 en Sunny Tripower TL-10 en TL-30 potentiële beveiligingsproblemen hebben. Er werden ondertussen al enkele verbeteringen doorgevoerd, aan de andere wordt intensief gewerkt.

 

Tips:

Admin, 123456, 9876, …. Dit zijn enkele voorbeelden van veelgebruikte standaardwachtwoorden die bij de installatie van bepaalde toestellen worden ingesteld. Het is altijd het beste om deze zo snel mogelijk te veranderen naar een persoonlijk wachtwoord. Niet enkel bij de omvormer, maar bijvoorbeeld ook bij uw router.

Oplichters kunnen op verschillende manieren proberen uw gegevens te achterhalen. Dit fenomeen wordt ook wel ‘phishing’ genoemd. Geef uw wachtwoord en inloggegevens nooit vrij via email of telefoon!

 

Update 14 augustus 2017 – antwoord Kostal Solar Electric:

De verbinding tussen de Kostal omvormer en server maakt gebruik van VPN tunneling. Hierdoor is de data geëncrypteerd en toegang tot de omvormer niet mogelijk.

Het gebruikte paswoord geeft enkel toegang tot het webportaal en niet tot de instellingen van de omvormer in kwestie. Het is niet mogelijk om instellingen te veranderen of de omvormer uit te schakelen via de web server.

 

Update 28 september 2017 – antwoord Fronius:

De Fronius Datamanager – het platform dat klanten gebruiken om hun opbrengsten op te volgen – is ontworpen om te werken in een lokaal netwerk dat beveiligd is met een firewall. Dit is een standaard beveiliging bij moderne modems. U kunt dit altijd nakijken om hier zeker van te zijn. Verder wordt aangeraden om de poorten van uw modem die niet nodig zijn ook niet in te schakelen. Ook dit is een standaard configuratie.

Het ‘inverter control system’ is standaard uitgeschakeld bij Fronius omvormers. Indien u deze toch inschakelt, is een bijkomende beveiliging aan te raden. Bij Intellisol activeren we deze optie nooit. Als u deze zelf niet ingeschakeld hebt, is er dus geen enkel probleem.

Fronius neemt ‘cyber security’ zeer serieus en voert regelmatig updates uit om tegemoet te komen aan de toenemende vereisten.

Indien uw omvormer niet aangesloten is op het netwerk, is er sowieso geen risico.

Lees hier het volledig statement van Fronius (Engels)

 

Bron: SolarMagazine, De Volkskrant

Geef een reactie

Je email adres wordt niet gepubliceerd. Required fields are marked *

Verwijder formulierToevoegen