Onderzoek naar kwetsbaarheden consumenten IoT apparatuur

.

Als gevolg van de energietransitie is er sprake van verregaande elektrificatie in de gebouwde omgeving. Consumenten leggen zonnepanelen op het dak, stappen over op elektrisch rijden en ruilen de cv-ketel in voor een warmtepomp. Het elektriciteitsnet wordt hierdoor belangrijker maar ook instabieler. Dat komt doordat zowel levering als verbruik decentraler wordt en steeds meer opwek uit duurzame bronnen komt die afhankelijk zijn van het weer.

Tegelijkertijd neemt in huis het aantal ‘slimme’ apparaten met een hoger vermogen toe. Denk aan thuislaadpalen, warmtepompen, omvormers voor zonnepanelen, ovens, thuisbatterijen, slimme thermostaten en Home Energy Management Systemen. Deze IoT-apparaten (Internet of Things) zijn met het internetnet verbonden en op afstand (bijvoorbeeld via een app) bestuurbaar. Ze kunnen hun omgeving monitoren, gegevens verzamelen, statussen doorgeven, instructies ontvangen en zelf actie ondernemen op basis van de gegevens die ze verzamelen. Slimme algoritmes werken daarbij als ‘energiemanagers’ om lokale opwek en verbruik op elkaar af te stemmen.

Deze trends brengen nieuwe kwetsbaarheden en cyberrisico’s met zich mee. Omdat consumenten IoT-apparaten met het internet verbonden zijn, is de kans op onvoorspelbaar gedrag groter. Dit kan komen door fouten in de software, door ingrijpen van de fabrikant of door een hackpoging. Met name als veel apparaten met hogere vermogens simultaan onvoorspelbaar gedrag vertonen, kan dit grote gevolgen hebben voor de stabiliteit van het elektriciteitsnet. Denk bijvoorbeeld aan een cyberaanval waarbij een groot apparaten aan- of uitgeschakeld wordt. De cybersecurityrisico’s van consumenten IoT-apparatuur vormen daarmee een bedreiging voor het energiesysteem.

Onderzoek consumenten IoT-apparatuur

Het is van belang dat de cyberweerbaarheid van IoT-apparaten wordt verhoogd, in lijn met de Richtlijn Radio-apparaten (RED 3.3) met de aankomende Delegated Act “de Cyber Resilience Act” (CRA). Om beter zicht te krijgen op de risico’s zijn de Topsector Energie (Programma Digitalisering) en RVO een onderzoek gestart naar kwetsbaarheden in consumenten IoT-apparatuur in de woning. Het onderzoek is uitgezet op initiatief van en in nauwe samenwerking met de Rijksinspectie Digitale Infrastructuur (voormalig Agentschap Telecom), de toezichthouder op telecom- en cybersecurity en de digitale veiligheid van (slimme) apparaten.

Het onderzoek wordt uitgevoerd door Stratix en Kiwa.

  • Stratix is een onafhankelijk onderzoeks- en adviesbureau gespecialiseerd in communicatie-infrastructuren en diensten, actief in sectoren waar ICT-netwerken een voorname rol spelen zoals telecommunicatie en energie.
  • Kiwa is een internationale speler op het gebied van testen inspecties en certificatie, met uitgebreide ervaring op het gebied van het testen van IoT apparaten. 

Het onderzoek richt zich op drie belangrijke typen consumentenapparatuur met hogere vermogens in de woning. De apparaten zullen aan een security assessment onderworpen worden volgens internationaal geaccepteerde richtlijnen.

Het onderzoek bouwt daarmee voort op eerdere onderzoeken van de Rdi naar IoT-apparatuur:

Voor wie?

Het doel is om te onderzoeken of de basis van de IoT-apparatuur op orde is. De uitkomsten zijn in de eerste plaats relevant voor beleidsmakers en toezichthouders. Zij kunnen de resultaten gebruiken om een beeld te scheppen van de mate van kwetsbaarheid van dit soort apparatuur en te zorgen dat de toekomstige wetgeving hen in staat stelt om deze kwetsbaarheden effectief te beperken. Afhankelijk van de mate waarin de apparatuur kwetsbaar is, kan de toezichthouder interventie mechanismen kiezen om te zorgen dat kwetsbaarheden voorkomen en/of tijdig gemitigeerd worden.

Daarnaast zijn de resultaten van belang voor de fabrikanten en installateurs van de geteste apparatuur. Bewustzijn op dit gebied is van belang om apparaten in de woning betrouwbaarder te maken. Als er kwetsbaarheden worden gevonden, kan het rapport gebruikt worden om fabrikanten te stimuleren om betrouwbare producten te leveren. Tot slot is het onderzoek ook relevant voor brancheorganisaties om hun achterban te informeren en (indirect) uiteraard voor consumenten zelf die baat hebben bij veilige IoT-apparatuur.

Resultaten

Na afronding komt er een eindrapport met de technische beschrijving van de verschillende soorten security tests per apparaat en de resultaten. Als er kwetsbaarheden worden ontdekt, zal daar lering uit getrokken worden door de toezichthouder en de branche. Ook komt er een niet-herleidbare publieke versie beschikbaar.

Zodra er (tussentijdse) resultaten bekend zijn, worden ze op deze pagina gedeeld.

Meer weten?