‘Twee producenten van windturbines zijn in de afgelopen jaren slachtoffer geworden van cyberaanvallen’, vertelt Roland van Rijswijk-Deij, hoogleraar Network Security aan de Universiteit Twente (UT). ‘Door ransomware raakten ze de controle over hun windturbines kwijt. Ze waren ineens stuurloos. In één geval werd daardoor een windpark later in bedrijf genomen. Dat is een grote economische schade.’
Van Rijswijk-Deij is wetenschappelijk directeur van het Twente University Centre for Cybersecurity Research. Hij onderzoekt technieken om de weerbaarheid van internet en het energiesysteem te vergroten. Nederland kan volgens hem verstoringen nu nog goed opvangen. ‘De productie van elektriciteit concentreert zich op een paar plekken die je goed kunt beveiligen in het digitale domein. Het elektriciteitsnetwerk heeft ook redundantie, en er is een goede koppeling met het buitenland om schokken op te vangen. De gevolgen van een mogelijke aanval blijven daardoor nu nog beperkt.’ Maar dat verandert als Nederland meer duurzame elektriciteit krijgt. ‘Als meer elektriciteit decentraal wordt opgewekt zijn er meer mogelijkheden om aan te vallen. Dat maakt beveiliging lastiger. Dit is daarom het juiste moment om meer tegenmaatregelen te nemen.’
Valse signalen
Operators beheren offshore windparken op een afstand. Ze moeten afgaan op de signalen die ze krijgen. Dat levert extra mogelijkheden voor een aanvaller om de sensoren te manipuleren die windturbines monitoren. Die sensoren alarmeren bijvoorbeeld bij gevaarlijke trillingen of constateren dat onderhoud nodig is. Vervalste signalen kunnen de turbine vernielen. ‘Dat is niet hypothetisch’, vertelt Van Rijswijk-Deij. In 2009 en 2010 werd een cyberaanval uitgevoerd op het besturingssysteem van ultracentrifuges, om zo de productie van atoombommen in Iran te saboteren. ‘Die centrifuges draaiden daarna kapot door gevaarlijke trillingen.’
De besturingssystemen in de industrie (SCADA) stammen uit een tijd dat het niet gebruikelijk was om ze op internet aan te sluiten. Dat maakt ze kwetsbaar. ‘Dit zijn complexe besturingen’, aldus Van Rijswijk-Deij. ‘Het vereist specialistische kennis om ze te installeren en te beheren. Mensen die dat kunnen zijn meestal niet ook nog veiligheidsexpert. Die combinatie is zeldzaam. Daar ligt een taak voor ons als universiteit en voor andere opleiders, zoals hogescholen en mbo's.’
Standaardisatie als bedreiging
De kwetsbaarheid neemt nog toe als iedereen dezelfde systemen gaat gebruiken. ‘De meeste zonnepanelen hebben inverters van een handjevol leveranciers. Als daar een cyberaanval lukt, ligt alles eruit. De markt voor windturbines is diverser, maar als iedereen dezelfde toeleverancier heeft, kan een aanval op een onderdeel toch grote impact hebben. Een gemotiveerde aanvaller zoekt dit uit.’
Om een aanvaller voor te zijn, moeten we dit zelf ook uitzoeken, aldus Van Rijswijk-Deij. ‘Als eerste, meest dringende actie moeten daarom de ketenafhankelijkheden goed in kaart gebracht worden om zo een scherpe risico-inventarisatie te maken.’ Bij windparken zijn veel partijen betrokken, van start-ups tot venture capitalists, van staalleveranciers tot data-analisten, en van ecologen tot kleine rederijen voor onderhoudsschepen. Allemaal zijn ze met elkaar verbonden, maar niemand heeft het overzicht over alle beveiligingen. ‘Je moet weten waar de kwetsbaarheden zitten en wat de gevolgen zijn als er iets mis gaat. We moeten daar echt snel grip op krijgen. Dat beeld is nooit compleet. Je moet het steeds bijwerken als je nieuwe dingen leert.’
Eisen opleggen
De tweede stap is volgens Van Rijswijk-Deij om veiligheidseisen op te leggen. Hij noemt daarbij ASML als voorbeeld. Dit Nederlandse bedrijf maakt de complexe machines die micro-elektronica produceren. Die machines vereisen uiterste precisie. Alle toeleveranciers moeten daarom hun beveiliging op orde hebben. ‘ASML beheerst de hele supply chain. Het bedrijf stelt niet alleen eisen aan toeleveranciers, maar helpt hen ook bij de beveiliging. ASML is één fabrikant die één soort machines maakt. Het energiesysteem is breder en is daarom moeilijker te reguleren.’
Dit kun je volgens hem niet voorschrijven met wetgeving. ‘Dat gaat te traag. Dit moet je regelen bij de aanbesteding van windparken.’ Nu Nederland wind op zee sterk gaat opschalen, is dat volgens hem de tweede, dringende actie.
Domino-effecten
Windparken zijn ook kwetsbaar door wat er elders in het elektriciteitsnet voorvalt. Netbeheerders houden er nu al rekening mee dat in de pauze van een voetbalwedstrijd honderdduizenden koelkasten worden geopend en vervolgens aanslaan. Dan moet productiecapaciteit worden bijgeschakeld om vraag en aanbod van elektriciteit in balans te houden. ‘Ook menselijk gedrag maakt het energiesysteem kwetsbaar. Een onverwachte piek in verbruik kan een domino-effect hebben. Dat gedrag zul je dus bij moeten sturen.’ Dat kan volgens Van Rijswijk-Deij bijvoorbeeld met dynamische tarieven. Maar dat heeft weer een eigen risico. ‘Het is mooi dat wasmachines computergestuurd aanschakelen als de elektriciteit goedkoop wordt, maar een aanvaller kan ook proberen die besturing te manipuleren. Beheerders van windparken zijn dus altijd kwetsbaar door wat er elders in het netwerk gebeurt, ook als zij zelf hun beveiliging goed op orde hebben. Want die windparken reageren op metingen uit het net, vaak geautomatiseerd, en sturen hun gedrag daarop bij.’
De mens als risico
Aanvallers hebben belang bij het verstoren van het energiesysteem. Ze zijn gemotiveerd en hebben een lange adem. ‘Je moet niet denken aan pubers die ellende willen veroorzaken. We moeten energiesystemen beschermen tegen statelijke actoren en zware criminelen. Stap voor stap, gedurende vele maanden, dringen ze een systeem binnen. Dat begint bijna altijd bij individuen. Mensen die verleid worden om malware te installeren. Beheerders die hun systemen niet op tijd updaten. Gebruikers die niet op tijd rapporteren als ze iets verdachts zien.’ Aandacht voor de menselijke factor is daarom belangrijk, volgens Van Rijswijk-Deij. ‘Je moet de juiste informatie overbrengen, zodat mensen beslissingen kunnen nemen en tijdig kunnen ingrijpen. Zonder te verzuipen in alarmen.’
Digital twin
Informatie over een op handen zijnde aanval kan geleverd worden door een digital twin. Dat is een computermodel dat het energiesysteem – of een deel ervan – simuleert. In de industrie is dat een beproefde manier om installaties te beveiligen. Zolang de simulatie en het echte energiesysteem hetzelfde gedrag vertonen, lijkt alles in orde. De digital twin simuleert bijvoorbeeld de verhitting en trillingen die optreden als een windturbine draait. Dat wordt vergeleken met de metingen van de sensoren in de echte turbine. Als de turbine niet warm lijkt te worden bij het draaien, dan klopt er iets niet. De digital twin constateert zo'n afwijking in een vroeg stadium. De operator kan dan ingrijpen nog voordat de turbine schade oploopt. Zo kan de digital twin ook de eigenschappen van kabels, wieken en elektronica simuleren – in hun onderlinge samenhang. Daarnaast kan een digital twin opdrachten controleren die operators en regelsystemen geven, nog voordat die worden uitgevoerd. Zo is een digital twin een poortwachter die voorspelt of een opdracht veilig is voor de turbines.
Een digital twin combineert dus kennis over fysieke processen met wat er in het digitale domein gebeurt. ‘Daarmee kun je geavanceerde aanvallen eerder opsporen’, aldus Van Rijswijk-Deij. Het is daarbij niet nodig om tevoren te bedenken waar een cyberaanvaller kan toeslaan. De digital twin hoeft alleen een inconsistentie waar te nemen om alarm te slaan.
Voor het voorkomen van domino-effecten is het belangrijk dat de digital twin zich niet beperkt tot windparken. Je zou het hele energiesysteem op die manier moeten simuleren.
Voor een digital twin zijn nauwkeurige modellen nodig van de fysieke infrastructuur. ‘Die moeten kleine veranderingen kunnen detecteren. Dat moet heel precies’, aldus Van Rijswijk-Deij, ‘anders krijg je valse alarmen en stuur je voor niets een expert de Noordzee op.’ Het maken van een digital twin is daarom een groot project dat een lange aanloop nodig heeft. ‘Daar moeten we daarom zo snel mogelijk mee beginnen.’ Dat is de derde, dringende actie die Van Rijswijk-Deij voorstelt.
'Het belang van digital twins wordt ook door de Europese Commissie onderkend. Recent is een groot Europees project gestart rondom digital twins, TwinEU, voor de energietransitie. Hieraan nemen een aantal netbeheerders deel alsmede onze collega's van de TU Delft.'
Een digital twin werkt met gegevens die voor een deel vertrouwelijk zijn. Die gegevens vertellen iets over de karakteristieken en prestaties van windturbines en de manier waarop ze beheerd worden. Dat is gevoelige informatie. ‘Maar cyberaanvallen zijn een gezamenlijk probleem en iedereen heeft belang bij een oplossing. Je moet dus afspraken kunnen maken over het gebruik van die gegevens. We hebben alle partijen in de sector erbij nodig.’
Samen bouwen aan een weerbaar energiesysteem
-
Samen met de Ministeries van Economische Zaken en Binnenlandse Zaken en TNO werken TKI Offshore Energy en het Programma Digitalisering van de Topsector Energie aan FLECS. FLECS staat voor Field Lab Energy Cyber Security. Dit is een expertisecentrum in oprichting waar overheden, kennisinstellingen en marktpartijen gezamenlijk kennis (laten) ontwikkelen en innovaties stimuleren en testen om te komen tot een digitaal weerbaar energiesysteem op de Noordzee.
Tekst door Bram Vermeer. Fotografie door Robbert Brink.