Solar Park Saba: wie doet het licht uit?

Geplaatst op door
Energie voor zo’n 2.000 bewoners’ (foto: pexels.com – Wilson Vitorino)

Het is 22 februari 2019, Saba viert een feestje. De lokale elektriciteitsmaatschappij SEC spreekt van ‘een historisch moment voor zowel de Saba Electric Company als voor het eiland Saba’.

Voor het eerst in de geschiedenis van Saba is twee dagen eerder, tussen 15 en 17 uur, de stroom volledig geleverd door zonne-energie. Een dag later staan de dieselgeneratoren in de energiecentrale al om 8 uur ’s ochtends stil. Twee zonneparken en een opslagsysteem zorgen voor de energievoorziening, schoon en milieuvriendelijk.

Op zonnige dagen kunnen alle dieselgeneratoren tot tien uur lang stil blijven staan en levert Solar Park Saba de energie aan de bevolking van zo’n 2.000 inwoners. Dankzij het opslagsysteem bespaart SEC per uur zo’n 300 liter diesel.

De installatie van 2,3 MWh is geleverd door het Duitse SMA Sunbelt Energy GmbH. Het bedrijf opereert wereldwijd en is geen onbekende in de regio. Eind 2017 voltooide SMA bijvoorbeeld een vergelijkbaar project op St. Eustatius.

Veilig

SMA neemt behalve het milieu en de aandeelhouders ook cyber security serieus. Het heeft richtlijnen uitgebracht ‘voor een veilige communicatie met PV-installaties’ (voor ‘PV’, zie kader). Het document geldt volgens het bedrijf ‘voor alle producten, die binnen een netwerk voor PV-installatie-communicatie op elkaar zijn aangesloten en direct of indirect via communicatiemedia met het Internet kunnen worden verbonden’. De informatie is onder meer bedoeld voor installateurs en exploitanten van PV-installaties met SMA omvormers.

Wat is PV?
PV staat voor PhotoVoltaic. Een fotovoltaïsch paneel (of zonnepaneel, kortweg PV-paneel) is een paneel dat met behulp van fotovoltaïsche cellen in het paneel een deel van de fotonen uit het zonlicht omzet in elektriciteit. De zonne-energie die zo wordt opgevangen, is een vorm van duurzame energie.
bron: Wiki

Wat zijn volgens SMA zoal de risico’s? Dat zijn er nogal wat.”Via het internet onderling verbonden systemen, die niet speciaal worden beveiligd, kunnen worden misbruikt om in een netwerk van een klant binnen te dringen (dus tot achter de internet-router). Zo kunnen bijna alle op het netwerk aangesloten toestellen worden aangevallen”, waarschuwt SMA.

Eenmaal binnen in het netwerk kunnen kwaadwillenden, nog steeds volgens het bedrijf, op zoek naar gebruikersnamen, wachtwoorden en andere vertrouwelijke gegevens. Ze kunnen toegang krijgen op de in het netwerk opgenomen toestellen om allerlei andere aanvallen uit te voeren of toestellen te manipuleren. Maar ook het gedrag van de gebruikers kan worden bekeken om bijvoorbeeld een inbraak voor te bereiden.

Gevolgen

De mogelijke gevolgen zijn niet mals, en SMA zet ook die op een rijtje. Zo is er een risico op financieel verlies door uitblijvende inkomsten uit energieopwekking. Ook kan het misgaan met het toepassen van de tarieven voor teruglevering naar het elektriciteitsnet of voor opgenomen energie voor eigen gebruik. Een klant zou bijvoorbeeld kunnen claimen dat, als gevolg van slechte beveiliging, de registratie van het energieverbruik onbetrouwbaar is (geweest) en daarom reden om betaling op te schorten of te weigeren.

‘Verzeker uzelf ervan dat onbevoegden geen toegang kunnen krijgen’

Andere risico’s zijn de beschadiging van toestellen, diefstal van identiteit, negatieve effecten op de stabiliteit van het openbare stroomnet en zelfs verlies van de vergunning tot koppeling met het openbare stroomnet en juridische gevolgen.

SMA laat het daarbij niet bij alleen waarschuwingen, maar biedt ook een aantal oplossingen. Een daarvan luidt: “Verzeker uzelf ervan dat onbevoegden fysiek noch virtueel toegang kunnen krijgen tot producten van SMA en van anderen via de met het netwerk verbonden toestellen.”

Goede bedoelingen

Alle goede bedoelingen ten spijt: zaak is wél dat de richtlijnen van SMA worden opgevolgd. Maar is dat ook gebeurd? Om daar antwoord op te krijgen, moeten we – digitaal – terug naar Saba en het Solar park. Ook hier is de installatie aangesloten op internet, maar lang niet zo veilig als de leverancier graag zou zien. Wat blijkt? Met een speciale zoekmachine is vrij eenvoudig een IP-adres te achterhalen. Via dit adres kan verbinding worden gemaakt met de ‘SMA Hybrid Controller’ van het park:

afb1: login scherm

Vooralsnog zien we als we verbinding maken alleen een overzicht. Om verder te kunnen in het systeem is een wachtwoord nodig. De al eerder genoemde richtlijnen zijn hierover duidelijk genoeg:

‘Verzeker uzelf ervan dat alle af fabriek ingestelde wachtwoorden uiterlijk op het moment van inbedrijfstelling zijn gewijzigd in zelfbedachte wachtwoorden. Af fabriek ingestelde wachtwoorden zijn alom bekend’.

Het achterhalen van het fabriekswachtwoord blijkt in dit geval een fluitje van een cent. De leverancier is erg servicegericht en biedt op de website in tal van talen allerlei handleidingen aan. Zo lezen we bijvoorbeeld bij de ‘tech-Tips Monitoring’:

Hybrid Controller_ww

afb.2: ‘Verander het standaard wachtwoord…’ 

0000… Het zal toch niet?

Ja hoor, toch wel. Bijna een jaar na ‘het historische moment’ is het standaard wachtwoord nog steeds bruikbaar. We komen er zo de SMA Hybrid Controller van het Saba Solar Park mee binnen:

Hybrid_controller_SCADA
Hybrid-controller_device-info

afb. 3 en 4: div. schermen na te zijn ingelogd

Manipuleren

Valt er in het geval van Saba Solar Park nog verder te speuren? Ja zeker. Maar wat lezen we in een handleiding?

‘De hybride controller bewaakt continu het uitgangsvermogen van de SMA-omvormers, evenals de bedrijfstoestand van alle generators en belastingen in het lokale elektriciteitsnet. Op basis hiervan bestuurt de hybride controller de SMA-omvormers en past hij indien nodig zijn uitgangsvermogen aan’.

Dat raakt een van de risico’s die we nog niet hebben genoemd. Volgens SMA kunnen kwaadwillende hackers ‘toegang krijgen op de in het netwerk opgenomen toestellen om doorgezonden gegevens te manipuleren en zo reacties van hogere orde-systemen uit te lokken’.

Hier houdt het voor ons op. Saba en haar bewoners zijn ons te dierbaar om het risico te nemen dat we onbedoeld het licht uitdoen. Ook blijven we graag aan de goede kant van de wet. We hebben daarom onze bevindingen gemeld bij zowel leverancier SMA en elektriciteitsmaatschappij Saba als bij island governor Jonathan Johnson. De laatste twee vonden het overigens niet nodig om te reageren.

Reactie SMA Sunbelt Energy

Om een beeld te krijgen van de mogelijke risico’s, legden we leverancier SMA Sunbelt Energy een aantal vragen voor:

Kunt u bevestigen dat dankzij deze kwetsbaarheid hackers volledige controle over de solar plant hadden kunnen krijgen? En betekent dit dat de energiecentrale kan worden uitgeschakeld en/of opnieuw kan worden opgestart door iemand die toegang krijgt tot de controller?

“Vanwege een onveilige implementatie zou het voor aanvallers mogelijk zijn geweest om de energie-instellingen van dit PV-systeem in te stellen. De installateur heeft de instructies en beveiligingsadviezen van SMA niet opgevolgd.” 

“We hebben de aan de klant meegedeelde technische specificaties dubbel gecontroleerd voordat hij dit PV-systeem installeerde. Het document definieert heel duidelijk dat VPN en firewall (s) nodig zijn voor een veilige integratie.”

“Uw bevindingen worden beoordeeld als verkeerde configuratie, niet als een kwetsbaarheid.”

Wat is het beleid van het bedrijf met betrekking tot standaardwachtwoorden en het opstarten van nieuwe plants? Informeert SMA het personeel van de plant, bijvoorbeeld over (online) beveiligingsrisico’s?

“We raden installateurs absoluut aan om tijdens de installatie onmiddellijk individuele en veilige wachtwoorden in te stellen. Ten tweede adviseren wij hen om de PV-systemen te scheiden van directe internettoegang (geen port forwarding). Helaas heeft de installateur dat – in dit geval – dit niet gedaan.”

Kunnen onze bevindingen voor SMA reden zijn om de handleidingen te herzien als het gaat om het publiceren van standaardwachtwoorden? Gaat SMA misschien nog andere maatregelen nemen en zo ja, welke? 

“In de tussentijd hebben we de configuratie van dit PV-systeem in samenwerking met de klant gecorrigeerd – onmiddellijk na uw melding.”

“Natuurlijk zullen we onze handleidingen herzien en de processen verbeteren zoals we dat regelmatig doen. We zullen nogmaals de nadruk leggen op bijvoorbeeld de behoefte aan wachtwoord wijziging.”

Daarnaast monitoren we PV-systemen door willekeurige steekproeven voor meer veiligheidsbewustzijn bij de klanten.”

“We hebben ook een trainingsprogramma over dit onderwerp. Het doel is om alle installateurs te trainen om een ​​cyberveilige installatie in elk PV-systeem te implementeren.”

(Dit artikel is eerder gepubliceerd in het Antilliaans Dagblad van 7 maart 2020)