Het is niet de vraag of maar de vraag wanneer het gaat gebeuren: een Europese black-out als gevolg van een gecoördineerde hack van (delen van) de energievoorziening.
Windparken makkelijk doelwit
Al in 2017 wisten twee onderzoekers van de universiteit van Tulsa aan te tonen dat hele windparken relatief eenvoudig platgelegd kunnen worden. Ze ontwikkelden drie soorten aanvallen om aan te tonen hoe hackers misbruik kunnen maken van de windparken die ze hadden geïnfiltreerd.
Eén tool die ze bouwden, Windshark genaamd, stuurde eenvoudig commando's naar andere turbines op het netwerk, schakelde ze uit of remde herhaaldelijk om slijtage en schade te veroorzaken. Windworm, een ander stukje kwaadaardige software, ging verder: het gebruikte telnet en FTP om zich van de ene programmeerbare automatiseringscontroller naar de andere te verspreiden, totdat het alle computers van een windpark infecteerde. Een derde aanvalstool, Windpoison genaamd, gebruikte een truc genaamd ARP-cachevergiftiging, die misbruik maakt van de manier waarop besturingssystemen componenten op een netwerk lokaliseren en identificeren. Windpoison vervalste die adressen om zichzelf als spin in het web op te nemen in de communicatie van de operators met de turbines. Dat zou hackers in staat stellen de signalen die door de turbines worden teruggestuurd te vervalsen, waardoor aanvallen voor de systemen van de operators worden verborgen.
Recenter, 28 februari dit jaar, maakte Dominik Bertrams, managing director van windparkoperator Tobi Windenergie Verwaltungs GmbH, via Twitter bekend dat Duitse windturbine-exploitanten geconfronteerd zijn met een storing in de satellietverbinding van hun systemen en dat de monitoring en controle op afstand van duizenden windturbines was mislukt. Omdat de storing op donderdag 24 februari tussen 05.00 uur en 06.00 uur plaatsvond – toen het Russische leger Oekraïne binnenviel – vermoedde Bertrams een cyberaanval door Russische hackers.
De storing was waarschijnlijk collateral damage: het getroffen KA-Sat-netwerk van Euroskypark wordt namelijk niet alleen voor 5.800 windturbines van Enercon gebruikt maar ook de militaire communicatie van de Verenigde Staten.
Zeker weten doen we dit echter niet: op 2 en 11 april zijn wederom cyberaanvallen uitgevoerd, deze keren op respectievelijk Nordex en Deutsche Windtechnik. Nordex is een van de grootste producenten van windturbines ter wereld en Deutsche Windtechnik onderhoudt bijna 8.000 windturbines.
Eind vorig jaar, in november, maakte Vestas, een andere hele grote producent van windturbines, bekend gehackt te zijn. Bij deze hack is veel data gestolen.
De kosten als gevolg van het hacken van een windpark zijn onderzocht in Engeland. In dit onderzoek zijn de kosten van een windpark van 500 MW geraamd op £ 360.000,- per dag. Dit komt bij de huidige koers neer op bijna € 850,- per MW per dag. Het onderzoek stamt echter uit begin 2020 en de elektriciteitsprijzen zijn inmiddels vervijfvoudigd.
Maart dit jaar maakte de FBI bekend dat Russische hackers de netwerken van vijf energiebedrijven aan het ‘scannen’ zijn, waarschijnlijk ter voorbereiding op een cyberaanval. De Verenigde Staten lagen al eerder onder vuur: in 2020 werd bekend dat Iraanse hackers geprobeerd hebben het elektriciteitsnetwerk te infiltreren om dit vervolgens lam te leggen.
Kerncentrales
Naast windturbines zijn kerncentrales populaire doelwitten. In het bericht over de vijf energiebedrijven werd ook bekendgemaakt dat een kerncentrale in het oosten van Kansas een doelwit van de Russische hackers was, volgens het ministerie van Justitie als onderdeel van een grootschalige internationale operatie om de controle over kritieke infrastructuuractiva in de VS te grijpen.
Amerikaanse kerncentrales zijn al jaren doelwit: in mei 2017 zijn meerdere Amerikaanse kerncentrales gehackt en experts wisten toen niet zeker of ze verband hielden met de wereldwijde cyberaanval, Petya. Eén van de aanvallen was op de Wolf Creek kerncentrale, gelegen in Burlington, eveneens in Kansas. Niet alleen de Verenigde Staten zijn doelwit, in India werd in 2019 de Kudankulam Nuclear Power Plant (KNPP) gehackt.
De Iraanse kerncentrale in Natanz is inmiddels twee keer succesvol doelwit geweest van, naar verluid, cyberaanvallen. Beide keren vermoedelijk uitgevoerd door Israël en gesuggereerd wordt in samenwerking of in ieder geval samenspraak met de Verenigde Staten.
De Verenigde Staten heeft de nodige onderzoeken gedaan naar de weerbaarheid van hun systemen door penetratietesten uit te voeren. Tijdens deze testen is het meerdere keren gelukt systemen te penetreren.
Nederland
In Nederland is in 2021 het rapport “Impact van cybersecurity risico’s op de nationale laadinfrastructuur” verschenen. Dit rapport gaat in op de cyberveiligheid van onze laadinfrastructuur, die van laadpalen dus.
Het rapport onderscheidt vier scenario’s:
Slimme aanval door Statelijke Actor;
Grote aanval van een Statelijke Actor;
Gewone cyberaanval; en
Privacy aanval.
In het rapport worden de scenario’s uitgebreid beschreven. In de ‘Conclusies en aanbevelingen’ is het volgende opgenomen:
“De onderzochte scenario’s zijn reëel en leveren in de toekomst een reëel risico op voor de mobiliteit van Nederland, de nationale laadinfrastructuur en de stabiliteit van het elektriciteitsnet. Een inschatting van de mogelijk negatieve economische impact van een dergelijk incident kan oplopen tot ongeveer 4 miljard euro per dag voor Nederland. De maatschappelijke impact van een stroomstoring is voor een groot deel afhankelijk van de tijdsduur. Maatschappelijke kosten die met storingen gepaard gaan variëren van het verlies van vrije tijd, tot mobiliteit, bedrijvigheid, en zelfs leven.”
Let wel: het gaat hierbij enkel over de laadinfrastructuur. Er wordt in dit rapport nog niet gekeken naar alle zonnepanelen met hun omvormers die aan internet zijn gekoppeld, er wordt niet gekeken naar (hybride) warmtepompen, niet naar batterijen noch naar windparken of kerncentrales.
Voorbereid
Is Nederland voorbereid op een grootschalige cyberaanval op onze elektriciteitsvoorziening(en)?
Wanneer we kijken naar voorvallen uit 2011 en 2014, dan geeft dit weinig vertrouwen. Het Medisch Centrum Leeuwarden (MCL) kampte in 2011 met problemen in de stroomvoorziening. Het ziekenhuis testte rond 08.00 uur de noodstroom, waarna op een aantal afdelingen de reguliere stroom uitviel. Het euvel werd grotendeels opgelost, maar de noodstroomvoorziening kreeg vervolgens kuren. Het ziekenhuis heeft daardoor enkele uren gedeeltelijk zonder stroom gezeten.
In 2014 al adviseerde TNO en de Nederlandse Vereniging van Ziekenhuizen dat alle Nederlandse ziekenhuizen hun noodstroomvoorziening tegen het licht moeten houden. Dit advies kwam naar aanleiding van een stroomstoring bij het Roermondse Laurentius Ziekenhuis op 21 oktober dat jaar. Toen de elektriciteit in Roermond uitviel, had een noodaggregaat de stroomvoorziening moeten overnemen, maar dat gebeurde niet. De oorzaak was een verborgen gebrek in de accu van de noodvoorziening. En dat zou overal kunnen gebeuren.
Nu gaat het hier om ziekenhuizen met levensreddende en -behoudende taken maar hoe zit het met de rest van onze voorzieningen, zoals datacenters, distributiecentra en supermarkten.
Wellicht is het een idee om ook een rapport als de “Impact van cybersecurity risico’s op de nationale primaire voorzieningen” te laten opstellen. En daar dan ook echt iets mee te doen.
Kijken we naar onze netbeheerders, dan vinden we het volgende in hun stukken.
Bij TenneT wordt cybersecurity maar mondjesmaat aangehaald:
“In terms of our cyber-security resilience, an important moment in 2021 was the successful recertification of ISO 27001 ISMS in Germany. The ISO 27000 standards are designed to assist companies in managing cyber-security risks. TenneT is preparing itself for the upcoming EU legislation, Network Code for Cyber Security, which will bring new requirements the Netherlands and Germany. “
In het strategisch plan van Enexis lezen we het volgende:
“Digitale veiligheid speelt een steeds grotere rol in de betrouwbaarheid van de energievoorziening. De dreiging van digitale aanvallen groeit wereldwijd en dat geldt ook voor de complexiteit van de benodigde maatregelen. Wij zijn continu alert en beschermen de vitale infrastructuur, ICT-systemen en (persoons)gegevens structureel en proactief tegen digitale aanvallen. Door strikte beveiligingseisen en een gestructureerd proces ontdekken we cyberaanvallen snel en kunnen we direct actie ondernemen als dat nodig is. Over potentiële risico’s en bedreigingen hebben we nauw contact met ketenpartners, het Nationaal Cyber Security Centrum (NCSC) en security & privacy organisaties om te blijven leren en maatregelen tijdig aan te scherpen.”
Stedin is veel uitgebreider.
Omschrijving: De infrastructuur van Stedin is vanwege de strategische positie, het maatschappelijke en economische belang een aantrekkelijk doelwit voor cyberaanvallen. Als gevolg van technologische ontwikkelingen en de steeds groter wordende afhankelijkheid van digitalisering neemt de kans op een cyberaanval verder toe. Een cyberaanval kan grote gevolgen hebben voor de dienstverlening van Stedin en van haar stakeholders. Vitale infrastructuur en daarmee de stabiliteit van het energienet kunnen in gevaar komen.
Oorzaken: Statelijke actoren: ruim gefinancierd en goed georganiseerd, al dan niet direct gerelateerd aan buitenlandse mogendheden, acteren vanuit politieke motieven. - Hacktivisten (incl. terroristische organisaties): acteren vanuit politieke, sociale of andere activistische motieven. Doen vanwege hun ideologische motivatie gerichte aanvallen op Stedin vanwege haar maatschappelijke relevantie. - Georganiseerde criminaliteit: opererend vanuit economische motieven, maakt gebruik van o.a. ransomeware. Richt zich op persoonsgegevens of oneigenlijke financiële transacties.- Medewerkers en leveranciers: hebben vanuit werkzaamheden vaak toegang tot het interne netwerk. Vanuit deze positie kunnen ze bedoeld of onbedoeld schade aanrichten.- Script kiddies: gebruik van een op internet gepubliceerde code voor het uitvoeren van niet-geavanceerde aanvallen. Hier speelt onderlinge competitie en bijzondere interesse in het security-onderwerp een belangrijke rol.
Gevolgen: Discontinuïteit door uitval van (delen van) infrastructuur en verlies van controle over de levering van energie. - Kwaliteit en efficiëntie van dienstverlening en verlies van controle over eigen data en informatiesystemen. - Een cyberaanval vertraagt de rol die Stedin in de energietransitie vervult. - Verlies van controle over schakelapparatuur kan leiden tot ernstig persoonlijk letsel. - Zeer hoge herstelkosten: financiële gevolgschade voor Stedin Groep en de maatschappij.
Hoe hebben we hierop ingezet: We werken aan integrale security die de gerelateerde vakgebieden verbindt. Aan de hand van internationaal erkende standaarden reduceert Stedin haar kwetsbaarheden voor dreigingen vanuit de buitenwereld, vanuit het oogpunt van preventie, tijdige detectie en de daaruit voortkomende actie. Stedin hanteert voor cybersecurity de beproefde Deming-cyclus voor continue verbetering, waarbij wij onszelf regelmatig laten toetsen door externe specialistische partijen aan de hand van de ISO27001-norm. Binnen Netbeheer Nederland leveren we een constructieve bijdrage bij het vormen van de Europese Netwerkcode. Daarnaast werken we op het gebied van cybersecurity intensief samen met andere organisaties in zowel de private als de publieke sector. Op Europees niveau doen we dit via het European Network for Cyber Security (ENCS) met andere buitenlandse netbeheerders. Op nationaal niveau werken we onder andere samen met de Cyber Security Raad, de Commissie Vitale Infrastructuur van VNO/NCW, Netbeheer Nederland en het Nationaal Cyber Security Centrum. Met deze organisaties delen wij kennis over dreigingen en maatregelen, werken we samen aan standaarden en aan onderlinge ondersteuning in geval van een daadwerkelijke dreiging. Oefeningen, zoals de grootste Nederlandse cybercrisisoefening ISIDOOR, zijn hier een wezenlijk onderdeel van.
Cybersecurity is dus zeker onder de aandacht bij de netbeheerders. Of de mogelijke gevolgen van een grote cyberaanval voldoende worden onderkend, is niet helder uit de diverse stukken te halen.
Nationaal crisisplan elektriciteit
Met 3.000 MW primair reservevermogen, zal het niet makkelijk zijn een Europese black-out te realiseren met een gecoördineerde cyberaanval. Toch? Ik denk het niet. Tenzij een partij erin slaagt meerdere operationele kerncentrales plat te leggen. Of heel veel windparken tijdens een winderige dag. Of veel zonneparken tijdens een zonnige meidag. Of een combinatie hiervan.
Wat zijn de gevolgen van een Europese black-out? Online kun je daar maar verdraaid weinig over vinden. Het boek ‘Black Out’ van Marc Elsberg beschrijft echter een verdraaid goed doordacht scenario. Het boek is een aanrader voor iedereen met een beetje interesse in de energiemarkt of de energievoorziening, zeker nu de vakanties zijn begonnen of voor de deur staan.
Persoonlijk zou ik het wel prettig vinden wanneer er naast het Nationaal Crisisplan Gas ook een Nationaal Crisisplan Elektriciteit zou komen.
Een plan waarin een aantal scenario’s is uitgewerkt en waarin wordt beschreven wie wat doet om te voorkomen dat we in situaties terechtkomen zoals beschreven in Black Out.
Op basis van dat boek zou ik er bijvoorbeeld voor pleiten dat een groot aantal mensen wordt getraind om met de hand koeien te kunnen melken. Iedereen die het boek gelezen heeft, begrijpt precies wat ik bedoel.
Voor iedereen die nu denkt: waar slaat dit nu weer op? Ga Black Out lezen!
Bronnen:
https://siliconangle.com/2021/11/22/data-stolen-hack-wind-turbine-maker-vestas/
https://edition.cnn.com/2022/03/22/politics/fbi-energy-hacking-warning/index.html
https://www.csoonline.com/article/3488816/how-a-nuclear-plant-got-hacked.html
https://www.trtworld.com/magazine/here-s-how-israel-hacked-iran-s-nuclear-facility-45838
https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/how-i-hacked-a-nuclear-power-plant/
https://nos.nl/artikel/2004721-tno-noodstroom-ziekenhuizen-onzeker
https://www.zorgvisie.nl/test-noodstroom-ziekenhuis-leeuwarden-loopt-uit-de-hand-zvs012166w/
https://www.enexisgroep.nl/media/3343/strategisch-plan-enexis-holding-nv-2022-nl.pdf
コメント