27 nr. 2 Maart 2026 Installaties “Eén gehackt apparaat in een netwerk maakt het HEMS kwetsbaar” In de verduurzaming van woningen met onder andere warmtepompen zijn er ook veel kansen voor energiemanagement. Veel zogeheten Home Energy Management Systems (HEMS) zijn internetgekoppeld, en daar zit de keerzijde. Want hoe is de cybersecurity geregeld. Het baarde Soe van Dijk (Topsector Energie) zorgen omdat cybersecurity essentieel is voor een betrouwbaar en weerbaar elektriciteitsnet. Ze vroeg Harm van den Brink (Innoshift BV), expert in IT en cybersecurity, zijn visie hierop te geven. Dat leidde medio vorig jaar tot een whitepaper met aanbevelingen, om met de sector over in gesprek te gaan. Auteur: Harmen Weijer. Grafic:: Topsector Energie. Foto: NIBE In het whitepaper pleit Van den Brink in de eerste plaats voor standaardisering van de zogeheten Home Energy Management Systems (HEMS). Dit zijn slimme systemen die huishoudens helpen bij het beheren en optimaliseren van hun energieverbruik. Denk bijvoorbeeld aan het monitoren en aansturen van apparaten zoals warmtepompen, omvormers van zonnepanelen en laadpalen. Fabrikanten en overheden dienen volgens hem gezamenlijk in te zetten op moderne, beveiligde communicatieprotocollen en standaardisatie in beveiligingstechnieken. Soe van Dijk: “HEMS hebben ontzettend veel potentieel, ze kunnen energiepatronen leren voorspellen en stroomverbruik optimaliseren op basis van verschillende doelen. Dat kan gaan om maximaal verbruik van eigen opgewekte energie maar ook het behalen van financieel rendement door in te spelen op dynamische tarieven. Ook kunnen ze bijdragen aan het balanceren van het elektriciteitsnet. Niet alleen voordelen voor de consument zelf dus, maar ook netbeheerders zijn erbij gebaat. Het aantal HEMS neemt dan ook toe in Nederland, maar cybersecurity is bij de ontwikkeling helaas vaak nog een onderbelicht onderwerp.” Protocollen HEMS maken gebruik van diverse protocollen, de spelregels die zorgen dat de communicatie tussen HEMS en ‘slimme’ apparaten efficiënt en gestructureerd verloopt. “En precies daar zit een belangrijk risico”, vervolgt Van den Brink. “Oude industriële protocollen, zoals Modbus TCP, zijn ontworpen voor industriële systemen, maar nooit bedoeld voor gebruik in een open netwerk waar ook andere, niet vertrouwde apparaten, op zijn aangesloten zoals bij mensen thuis. Hierdoor zijn ze kwetsbaar voor onbeveiligde toegang. Omdat we tegenwoordig alles met elkaar verbinden brengt dat risico’s met zich mee. Eén gehackt apparaat in een netwerk maakt het HEMS kwetsbaar.” In de praktijk ziet Van den Brink dit soort aanvallen al plaatsvinden. De FrostyGoop aanval maakte bijvoorbeeld gebruik van het Modbus TCP protocol om toegang te verkrijgen tot de verwarmingssystemen van 600 gebouwen in Oekraïne. “In deze aanval werden legitieme commando’s aan het systeem onderschept en vervangen, waardoor aanvallers de controle verkregen over de besturing van de systemen” legt Van den Brink uit. “De aanval leidde tot systeemstoringen waardoor bewoners twee dagen geen warmte hadden, terwijl het midden in de winter was.” Cloudkoppeling Een ander kwetsbaar punt is de verbinding met het cloudplatform van de fabrikant. Van Dijk noemt de cloudkoppeling een belangrijk onderdeel, omdat HEMS via dit platform data verzamelen voor de aansturing van apparaten, denk aan weersvoorspellingen en dynamische prijzen. Ook de aansturing door een externe partij zoals de regionale netbeheerder of een energiebedrijf verloopt via de cloud. Daar zit een cybersecurity risico aan vast. “Naast de eerder genoemde protocolrisico’s, zijn er zwakke plekken in cloudplatformen die risico’s vormen voor HEMS”, vult Van den Brink aan. “Een aantal veelvoorkomende zwakten zijn misconfiguraties, kwetsbare API interfaces en slechte toegangscontrole. Via onvoldoende beveiligde cloudplatformen kunnen kwaadwillen bijvoorbeeld toegang krijgen tot duizenden HEMS tegelijk. Dat moeten we echt zien te voorkomen.” In de keuze tussen lokale sturing of aansturing vanaf de cloud dienen de cyberrisico’s ook beter meegenomen te worden. Amerikaanse techbedrijven Naast technische kwetsbaarheden speelt volgens Van Dijk nog iets anders. “Leveranciers van clouddiensten zijn veelal grote Amerikaanse techbedrijven en recente geopolitieke ontwikkelingen laten zien dat daar een spanning zit. Als het gaat om vitale infrastructuur – en dat worden HEMS als ze in grote getalen centraal aan te sturen zijn – moet er volgens mij discussie komen over de afhankelijkheden die daardoor ontstaan. En wat we kunnen doen om gevoelige data beter af te schermen.” Hij vervolgt, “Wat eigenlijk nodig is, is een aanpak zoals bij laadpalen gedaan is met Open Charge Point Protocol. Cybersecurity is hier onderdeel gemaakt van het protocol en daarmee standaard meegenomen. Dit zou voor HEMS ook kunnen, door security in de belangrijkste protocollen in te bedden.” Cyberveilige warmtepompen Tijdens de onlangs gehouden vakbeurs VSK+E presenteerde warmtepompfabrikant NIBE hun gamma aan warmtepompen. Wat daarbij opviel was dat vrijwel alle warmtepompen verbonden zijn aan het internet, vooral om hiermee ook voordelen op te doen op het gebied van weersvoorspelbaarheid en onderhoud. Maar worden ze daarmee ook niet gevoeliger voor cyberaanvallen? Leo Bestman van NIBE, die de presentatie in de Utrechtse Jaarbeurs gaf, reageert desgevraagd. “Dat is nu het mooie aan het feit dat NIBE een Zweedse producent is, want veiligheid – dus ook cyberveiligheid – staat bij Zweden altijd bovenaan. De NIBE warmtepompen zijn daarom ook vanaf ontwerp met extra beveiliging ingebouwd, waardoor inbraak van buiten onmogelijk is.” Home Energy Management Systems (HEMS) zijn slimme systemen die huishoudens helpen bij het beheren en optimaliseren van hun energieverbruik. Denk bijvoorbeeld aan het monitoren en aansturen van apparaten zoals warmtepompen, omvormers van zonnepanelen en laadpalen. Whitepaper Topsector Energie vraagt aandacht voor cyberveiligheid energiemanagement
RkJQdWJsaXNoZXIy NTI5MDA=