Als de BSI met een melding komt, dan verwacht je een waarschuwing te lezen over de zoveelste brakke firmware, lekke software of kwetsbare netwerkapparatuur. Dat is de natuurlijke habitat van het Bundesamt für Sicherheit in der Informationstechnik, de Duitse tegenhanger van NIST (VS), NCSC (VK/NL) en ANSSI (FR). Het bericht van woensdag was net iets anders, maar wel serieus genoeg om ook hier onder de aandacht te brengen. De link met ITchannelPRO is dat lezers de genoemde hardware kunnen bezitten of die van hun klanten onderhouden.
Het Bundesamt für Verfassungsschutz (BfV) en het Bundesamt für Sicherheit in der Informationstechnik (BSI) beschikken over recente informatie waaruit blijkt dat Russische cyberactoren actief fotovoltaïsche installaties in kaart brengen die onbeveiligd met het internet zijn verbonden. De aandacht gaat vooral uit naar monitoringsystemen die ook toegang bieden om de installaties te bedienen. De exploitanten van de installaties zijn doorgaans particulieren of coöperaties zonder achtergrond in de energiesector.
Bij de betrokken installaties kunnen onbevoegde derden deels zonder gebruik te maken van inloggegevens toegang krijgen tot het systeem. Bovendien is de software van de installaties deels sterk verouderd, zodat moet worden aangenomen dat deze relevante kwetsbaarheden bevatten.
Beoordeling
De BfV en BSI beschikken momenteel nog niet over concrete aanwijzingen dat installaties in deze context zijn gecompromitteerd. Het kan op dit moment echter niet worden uitgesloten dat het gaat om initiële activiteiten met het oog op prepositioning of sabotage.
BSI-IT-beveiligingsinformatie
De dreiging voor de systemen is relevant vanwege het gebrek aan beveiliging. Dit geldt met name voor onbeschermde, slecht beveiligde of kwetsbare systemen, aangezien deze voor aanvallers gemakkelijk te compromitteren zijn. Het schadepotentieel varieert hierbij van het gebruik in propaganda- of desinformatiecampagnes tot het lekken van in de apparaten opgeslagen toegangsgegevens of het overnemen van accounts.
Het schadepotentieel varieert hierbij van het gebruik in propaganda of desinformatiecampagnes, via het lekken van in de apparaten opgeslagen inloggegevens of het overnemen van accounts, tot het gebruik als onderdeel van een botnet of als proxy’s om de infrastructuur van de aanvallers te verhullen [CISA2024] tot actieve aanvallen op de energieopwekking en de stabiliteit van het elektriciteitsnet door gebruik te maken van schaalvoordelen. Gezien de gemiddelde omvang van de afzonderlijke installaties in deze specifieke context ligt het voor de hand dat een niet onbeduidend deel van de installaties wordt geëxploiteerd door particulieren of kleine en micro-ondernemingen, die niet beschikken over gespecialiseerd personeel voor IT-beveiliging. Het is eveneens waarschijnlijk dat de installatie en inrichting is uitgevoerd door (zonne-energie)specialisten, die doorgaans weinig expertise op het gebied van IT-beveiliging hebben. In dergelijke gevallen is het denkbaar dat de exploitanten zich niet bewust zijn van de ontoereikende beveiliging van hun installaties.
Maatregelen
Het BSI raadt exploitanten in principe aan om te controleren of de installaties via het internet bereikbaar zijn. Dit geldt niet alleen voor installaties voor energieopwekking en -opslag en is onafhankelijk van de omvang van de installatie, de rechtsvorm van de exploitant en de wijze van energieopwekking of -opslag. Een dergelijke bereikbaarheid moet effectief worden verhinderd. Bestaande installaties zijn doorgaans ontworpen voor lokaal gebruik. Moet de exploitant toch van buitenaf toegang tot de installatie krijgen, dan moet ten minste een VPN worden gebruikt. Installaties mogen in geen geval via port forwarding in de router op het internet worden blootgesteld. Bij installaties die zijn aangesloten op een cloud van de fabrikant, moet worden gecontroleerd of deze verbinding noodzakelijk is voor de werking. Idealiter moeten deze installaties ook worden omgeschakeld naar uitsluitend lokaal gebruik. Hierdoor worden onder andere risico’s beperkt die voortvloeien uit een mogelijk ontoereikende beveiliging van de diensten van de fabrikant (bijvoorbeeld sturende of manipulatieve toegang tot installaties van derden bij onjuist geïmplementeerde scheiding van mandanten). In principe raadt het BSI de aanschaf af van producten die voor het leveren van hun functionaliteit afhankelijk zijn van digitale diensten van de fabrikant, aangezien bij bedrijfsbeëindiging of het aflopen van de productondersteuning door de fabrikant een totaalverlies voor de exploitant kan ontstaan.
Noot: het risico is al eerder benoemd en in kaart gebracht. Zo heeft het Nederlandse RDI in 2023 onderzoek gedaan. Nieuw is dat BSI specifiek Rusland noemt.
