RDI: Veel omvormers zijn kwetsbaar voor cyberaanvallen

Hiervoor waarschuwt de Rijksinspectie Digitale Infrastructuur (RDI), onderdeel van het ministerie van Economische Zaken en Klimaat. Het onderzocht in totaal negen omvormers. Geen enkele van deze omvormers blijkt aan de eisen te voldoen. Dit betekent in de praktijk onder meer dat zij storing kunnen veroorzaken op andere draadloze apparaten, of kwetsbaar zijn voor cyberaanvallen.

Vijf van de negen omvormers blijken storing te kunnen veroorzaken in draadloze apparaten. Denk hierbij aan draadloze tags voor het openen van deuren of radio. Ook op het gebied van cyberveiligheid laten de omvormers het afweten. Geen enkele onderzochte omvormers voldoet op dit vlak aan de norm.

Ook administratieve zaken niet op orde

Ook blijkt dat geen enkele onderzochte omvormer voldoen aan de administratieve eisen. Het gaat daarbij onder meer om het verstrekken van een handleiding voor het gebruik van het apparaten en het delen van adresgegevens door een fabrikant met klanten.

Het RDI wijst erop dat fabrikanten van apparaten die storing veroorzaken wettelijk verplicht zijn per direct passende maatregelen te nemen om dit tegen te gaan. Ook adviseert de RDI fabrikanten producten die niet veilig zijn aan te passen. De eisen voor cyberveiligheid zijn pas vanaf 1 augustus 2024 actief. Met behulp van de onderzoeksresultaten kunnen fabrikanten zeker stellen dat hun producten vanaf deze datum aan de eisen voldoen.

Zahier Madhar, security engineer expert bij Check Point Software in Nederland, reageert: ​ "Voor veel verbonden apparaten heeft de race-to-market zich vertaald in cyberbeveiligingsmaatregelen die 'bolted on' zijn in plaats van 'built in'. Met andere woorden, cyberbeveiliging was grotendeels een bijzaak. Dat geldt ook voor zonnepanelen en bijvoorbeeld EV-opladers. Als samenleving en binnen de cyberbeveiligingsgemeenschap moeten we samenwerken om dit soort cyberrisico's aan te pakken."

Madhar deelt enkele uitgangspunten voor verbetering:"Netwerk- en hardwaresegmentatie zijn een sterk begin. De industrie moet vertrouwde componenten gebruiken en een gepartitioneerde architectuur creëren. Een compromis in de ene sector hoeft dus niet noodzakelijkerwijs te veranderen in een zijdelings gevaar voor een aangrenzende sector. Bovendien moeten ondernemingen veilige software gebruiken. Het implementeren van het principe van 'least privilege' is de sleutel, omdat het ervoor zorgt dat software werkt met het laagst mogelijke machtigingsniveau. Aanvullend zouden ondernemingen MDR/MPR-oplossingen moeten verkennen voor monitoring en incidentresponsplanning.
En last but not least moet cyberbeveiliging worden ingebouwd in de software, hardware-implementatieactiviteiten en meer. Daarnaast moeten we rekening houden met de menselijke factor in het gesprek over cyberrisico's. Technici moeten bijvoorbeeld goed zijn opgeleid en geautoriseerd voordat ze zich bezighouden met infrastructuur. En consumenten moeten zich bewust zijn van dit risico, net als met elk ander apparaat dat ze aan het internet hangen: regelmatig het wachtwoord regelmatig wijzigen, indien mogelijk Multi Factor Authenticatie toepassen en ervoor zorgen dat de software up-to-date is."