Interview met Peter Baard van Alliander over cyberveiligheid in de opslagsector

Energy Storage NL houdt een interviewreeks met haar deelnemers. De maand april staat in het kader van ‘de maand van cyberveiligheid’, een campagnereeks om meer aandacht te vragen voor cyberveiligheid in de opslagsector. Dit keer aan het woord: Peter Baard, Epic Owner bij Alliander. In dit gesprek vertelt Peter over het belang van cyberveiligheid binnen de opslagsector, kwetsbaarheden en maatregelen om rekening mee te houden, en geeft hij advies over hoe organisaties kunnen beginnen met het beveiligen van hun energieopslagsystemen.

Kun je kort jouw rol en werkzaamheden bij Alliander, Energy ISAC en DIVD toelichten?

Ik werk al twintig jaar binnen de energiesector, waarvan veertien jaar bij Gasunie en zes jaar bij NV Rendo, een kleinere netbeheerder. Sinds augustus vorig jaar ben ik werkzaam bij Alliander. In de loop der jaren heb ik in verschillende sectorale securitygroepen gezeten en ervaring opgedaan met digitalisering en securityvraagstukken binnen de energiesector. Bij Alliander ben ik als epic owner betrokken bij digitalisering binnen de gassector en als security-ambassadeur energieketens veel focus op weerbaarheid. Door mijn brede netwerk in de sector en mijn kennis van ketenprocessen werk ik aan het verbeteren van de cyberveiligheid binnen het veranderende energiesysteem. Daarnaast ben ik voorzitter van de Energy ISAC, een samenwerkingsverband van netbeheerders en energieleveranciers die zich richten op het delen van dreigingsinformatie en het verbeteren van de gezamenlijke cyberweerbaarheid. Bij DIVD, een collectief van ethische hackers en securityonderzoekers, richt ik mij op securityonderzoek gericht op de energiesector. Mijn drijfveer is om cyberdreigingen te minimaliseren en een veerkrachtig energiesysteem te waarborgen. Het wordt steeds complexer, digitaler en kwetsbaarder, en de impact van storingen of aanvallen kan enorm zijn.

Wat heeft jou gemotiveerd om je te specialiseren in cyberveiligheid binnen de energiesector?

Mijn focus ligt op het energiesysteem als geheel, waarbij de marktwerking van vraag en aanbod, en daarbij energieopslag, een steeds crucialere rol speelt. Door de energietransitie wordt de afhankelijkheid van hernieuwbare, meer decentrale energiebronnen zoals zon en wind groter. Omdat deze bronnen niet constant beschikbaar zijn, groeit de behoefte aan opslagoplossingen. Hierdoor nemen ook de digitale componenten binnen het energiesysteem toe, wat nieuwe cyberrisico’s met zich meebrengt. Mijn specifieke aandacht gaat uit naar de risico’s die ontstaan door de decentralisatie van het energiesysteem en het potentieel voor grootschalige ontwrichting via een veelvoud aan kleinere, digitale energiecomponenten zoals omvormers, laadpalen en opslag. Waar we voorheen een paar grote spelers hadden die het evenwicht in het net bewaakten, zien we nu een versnipperd landschap met vele kleinere apparaten en systemen. Deze digitalisering en decentralisatie creëren nieuwe kwetsbaarheden die nog niet altijd goed worden afgedekt door regelgeving en securitymaatregelen. Mijn doel is om deze risico’s in kaart te brengen en oplossingen te ontwikkelen om het energiesysteem als geheel weerbaarder te maken.

Hoe belangrijk is samenwerking tussen verschillende instanties voor het verbeteren van de cyberweerbaarheid in het energiesysteem?

Samenwerking is cruciaal om de cyberweerbaarheid in het energiesysteem te versterken. Cyberdreigingen zijn complex, ontwikkelen zich snel en hebben impact op meerdere partijen tegelijk. Naast formele samenwerkingsstructuren zoals de ISAC’s en toezichthouders, is ook informele samenwerking tussen technische experts over organisatiegrenzen noodzakelijk. De netbeheerders en energieleveranciers moeten niet alleen informatie delen over dreigingen, maar ook gezamenlijk strategieën ontwikkelen om aanvallen te voorkomen en te mitigeren. Helaas is samenwerking niet altijd vanzelfsprekend. Er spelen bedrijfsbelangen en imagovraagstukken mee, waardoor sommige partijen terughoudend zijn in het delen van informatie. Toch is het essentieel dat bedrijven, overheden en securitygroepen gezamenlijk optrekken om de sector beter te beschermen. Cyberdreigingen stoppen niet bij de grenzen van een bedrijf; een zwakke schakel kan impact hebben op de hele keten. Daarom pleit ik voor een cultuur van openheid en gezamenlijke verantwoordelijkheid binnen de sector waarbij ook de kleinere en minder security aware organisaties worden meegenomen.

Wat zijn volgens jou de grootste cyberdreigingen voor energieopslag- en batterijsystemen?

Een van de grootste dreigingen is ransomware en andere financieel gemotiveerde cyberaanvallen. Cybercriminelen kunnen opslagsystemen gijzelen en bedrijven dwingen losgeld te betalen om hun systemen weer operationeel te krijgen. Daarnaast is er het risico van manipulatie van energieopslagsystemen om marktverstoringen te veroorzaken. Denk bijvoorbeeld aan een scenario waarin een aanvaller batterijsystemen zo manipuleert dat ze op ongewenste momenten energie injecteren of juist verbruiken, waardoor de energieprijzen stijgen of het net onstabiel wordt. Ook gecoördineerde aanvallen door statelijke actoren vormen een serieuze bedreiging. Zij kunnen systemen compromitteren om geopolitieke of strategische redenen. Verder is de afhankelijkheid van digitale infrastructuur een kwetsbaarheid op zich. Veel “slimme” componenten van het energiesysteem batterijopslagsystemen zijn volledig afhankelijk van cloudplatforms. Als deze uitvallen door een aanval of storing, kunnen de batterijen niet langer intelligent aangestuurd worden, met alle gevolgen van dien.

In hoeverre zijn slimme batterijopslagsystemen kwetsbaar voor cyberaanvallen?

Slimme batterijopslagsystemen zijn behoorlijk kwetsbaar voor cyberaanvallen, voornamelijk omdat ze sterk afhankelijk zijn van externe digitale aansturing en connectiviteit. Veel systemen werken via cloudoplossingen en kunnen op afstand beheerd worden, wat ze aantrekkelijk maakt voor hackers. Een ander probleem is dat de installatiepraktijk vaak te wensen overlaat. Veel systemen worden standaard geleverd met zwakke wachtwoorden en zonder tweefactor authenticatie, waardoor ze eenvoudig te compromitteren zijn. Daarnaast zijn veel energy management systemen gekoppeld aan deze batterijen, waardoor een aanval op een energy management systeem indirect ook de batterijopslag kan beïnvloeden.

Wat is de huidige status van cyberweerbaarheid van het energiesysteem?

De cyberweerbaarheid van het energiesysteem is momenteel nog onvoldoende. Organisaties binnen de energiesector scoren onder gemiddeld op basisbeveiliging.nl, zelfs slechter dan gemeenten. Dit geldt voor de algehele digitale weerbaarheid maar ook voor de beveiliging van e-mail en websites die verbonden zijn aan het Internet. Veel organisaties hebben bijvoorbeeld geen security.txt-bestand op hun website, dit is een eenvoudig tekstbestand dat je op je webserver plaatst en dat contactgegevens bevat voor geautomatiseerde beveiligingsmeldingen, waardoor onderzoekers en ethische hackers snel en efficiënt meldingen kunnen doen over kwetsbaarheden. Het ontbreken hiervan betekent dat beveiligingsproblemen vaak onopgemerkt blijven totdat het te laat is.

Daarnaast zijn websites in de sector soms onvoldoende beschermd tegen aanvallen zoals defacement, waarbij mensen met slechte bedoelingen een website overnemen en voor propaganda of desinformatie gebruiken wat tot imagoschade kan leiden. Ook ontbreekt het regelmatig aan basismaatregelen om phishing te voorkomen, wat een van de belangrijkste manieren is waarop cybercriminelen interne netwerken binnendringen.

Een eenvoudige eerste stap zou zijn dat bedrijven hun digitale veiligheid testen via platformen zoals internet.nl of basisbeveiliging.nl en actief werken aan een ‘groene’ score. Dit kan door met hun hostingproviders afspraken te maken over betere beveiliging en door basismaatregelen te implementeren. Zeker met een komende NAVO-top is het cruciaal dat bedrijven niet alleen hun interne cybersecurity op orde hebben, maar ook uitstralen dat ze digitaal weerbaar zijn. Want een incident kan niet alleen technische schade veroorzaken, maar ook reputatieschade en mogelijke politieke gevolgen hebben.

Welke maatregelen moeten bedrijven nemen om hun batterij- en energieopslagsystemen beter te beschermen tegen cyberaanvallen?

Bedrijven moeten zorgen voor sterkere authenticatie, zoals twee-factor authenticatie en een veilig wachtwoordbeheer. Daarnaast moeten opslagsystemen in de basis blijven functioneren zonder internet, zodat ze niet volledig afhankelijk zijn van externe connectiviteit. Het periodiek laten uitvoeren van pentesten en security-audits is essentieel om kwetsbaarheden tijdig te ontdekken en aan te pakken. Een belangrijk aspect hierbij is security by design, waarbij beveiliging een kernonderdeel is van het ontwerp en de ontwikkeling van systemen.

Daarnaast speelt encryptie een cruciale rol in de bescherming van gegevens en communicatie tussen systemen. Encryptie helpt bij het waarborgen van data-integriteit en voorkomt dat kwaadwillenden de inhoud van communicatie kunnen onderscheppen of manipuleren. Echter, encryptie alleen is niet voldoende als sleutels slecht worden beheerd. Daarom is het noodzakelijk om een goed sleutelbeheerbeleid te implementeren en ervoor te zorgen dat encryptiesleutels niet gemakkelijk toegankelijk zijn voor aanvallers.

Naast technische maatregelen is bewustwording een belangrijk aspect. Zowel ontwikkelaars als eindgebruikers moeten getraind worden in cybersecurityprincipes, zodat ze zich bewust zijn van de risico’s en hun rol in het beveiligen van systemen. Door een combinatie van sterke authenticatie, encryptie, security-audits en bewustwording kunnen bedrijven de cyberweerbaarheid van hun batterij- en energieopslagsystemen aanzienlijk verbeteren.

Welke rol speelt wet- en regelgeving bij de bescherming van energieopslagsystemen tegen cyberaanvallen?

De huidige wetgeving biedt onvoldoende bescherming. De aankomende CRA-wetgeving en de NIS 2-richtlijn die vertaald worden in Nederlandse wetgeving brengen verbeteringen, maar veel kritische apparaten vallen buiten de regelgeving. Ook installateurs spelen een belangrijke rol: als apparaten slecht worden geïnstalleerd, blijven ze kwetsbaar. Een van de grootste uitdagingen is het gebrek aan bewustwording, vooral bij nieuwe marktspelers en installateurs. Daarnaast is er een tekort aan cybersecurity-experts, wat het moeilijk maakt om voldoende expertise in te zetten. Cybersecurity wordt nog te vaak als kostenpost gezien in plaats van een noodzaak, en het gefragmenteerde landschap van leveranciers maakt het moeilijk om uniforme beveiligingsmaatregelen door te voeren.

Hoe zullen cyberdreigingen en technologieën zich ontwikkelen, en hoe kunnen bedrijven en overheden beter samenwerken om de cyberveiligheid in energieopslag te verbeteren?

De complexiteit van cyberdreigingen zal de komende vijf tot tien jaar verder toenemen. Cyberaanvallen worden steeds geavanceerder en vaker geautomatiseerd met behulp van AI, waardoor kwetsbaarheden sneller kunnen worden misbruikt. De groeiende digitalisering van het energiesysteem vergroot de afhankelijkheid van digitale processen en verhoogt daarmee de risico’s. Tegelijkertijd zullen gedecentraliseerde opslagsystemen met lokale intelligentie een grotere rol spelen, wat nieuwe uitdagingen met zich meebrengt.

Om deze bedreigingen het hoofd te bieden, zullen zogenaamde zero-trust architecturen steeds vaker worden toegepast om ongeautoriseerde toegang te beperken. Daarnaast zal AI-gestuurde dreigingsdetectie helpen bij het sneller identificeren en mitigeren van aanvallen. Striktere regelgeving en minimale beveiligingseisen zijn noodzakelijk om digitale weerbaarheid te garanderen voor nieuwe en bestaande digitale onderdelen van het energiesysteem.

Een effectieve samenwerking tussen bedrijven en overheden is hierbij cruciaal. Snellere informatie-uitwisseling via ISAC’s en informele netwerken kan bijdragen aan een betere respons op dreigingen. Daarnaast moeten er gezamenlijke normen en minimumeisen voor cybersecurity worden vastgesteld, zodat energieopslagbedrijven zich aan duidelijke richtlijnen kunnen houden. Strenger toezicht op installaties en implementatie van veilige systemen is essentieel om de cyberveiligheid structureel te verbeteren.

Wat is jouw advies aan bedrijven die net beginnen met het beveiligen van hun energieopslagsystemen?

Mijn advies is om te beginnen met de basismaatregelen, zoals het instellen van sterke wachtwoorden, het gebruik van tweefactorauthenticatie, software update discipline en het segmenteren van netwerken om schade bij een aanval te beperken. Laat daarnaast een onafhankelijke security-audit uitvoeren om kwetsbaarheden in kaart te brengen en richt je op de meest kritieke risico’s. Het is belangrijk om samenwerking op te zoeken met andere partijen in de sector en deel te nemen aan initiatieven zoals de ISAC’s. Tot slot is het essentieel om security niet als een eenmalige investering te zien, maar als een continu proces waarin regelmatig updates, trainingen en verbeteringen plaatsvinden. Door proactief en samen te werken aan cybersecurity, kunnen we het energiesysteem beter beschermen tegen de steeds groeiende dreigingen.

Op woensdag 16 april organiseert Energy Storage NL samen met Holland Solar, Techniek Nederland, Nedzero, Energie Nederland en Topsector Energie de netwerkbijeenkomst Cyberveiligheid in de duurzame energiesector bij gastbedrijf DENS in Helmond. Meld je aan voor dit evenement via onze website.