Een aanval op het elektriciteitsnetwerk in Oekraïne kan leiden tot een black-out in Nederland. Daarvoor waarschuwen wetenschappers van de TU Delft. Zij willen dat er meer aandacht en geld komt voor cybersecurity in Nederland.

Sinds maart is het elektriciteitsnetwerk van Oekraïne gekoppeld aan dat van de rest van Europa. Zo kan Oekraïne stroom krijgen van andere Europese landen als er verstoringen zijn in het elektriciteitsnetwerk. Maar dit brengt ook risico's met zich mee, vertelt hoogleraar Intelligent Electric Power Grids Peter Palensky. "Het Europese elektriciteitsnetwerk is nu één grote machine. Als één onderdeel wordt aangevallen, kan hierdoor de stroom in een stad, een land en zelfs in een heel continent uitvallen."

'Herstel black-out kan weken duren'

Doordat het elektriciteitsnetwerk tegenwoordig niet meer analoog maar digitaal met elkaar verbonden is, is het systeem veel kwetsbaarder geworden voor aanvallen. "Als je één onderstation in het hoogspanningsnet uitschakelt is dat nog geen groot probleem. Maar vallen er meerdere tegelijk uit kan een domino-effect optreden in heel Europa", zegt Palensky.

"Vroeger was dit vrijwel onmogelijk. Dan zouden twee transformatoren tegelijkertijd moeten ontploffen. Maar met de overgang naar digitaal is het voor hackers wel mogelijk geworden. Kwaadwillenden kunnen heel Europa platleggen."

Noodstroom voor een dag

Een black-out zou gigantische consequenties hebben. "Onze levens zijn afhankelijk geworden van elektriciteit. Het herstellen van zo'n gigantische stroomuitval kan dagen tot zelfs weken duren.

"Een ziekenhuis heeft noodstroom, maar dat is vaak genoeg voor maximaal een dag. Daarna wordt het ook daar donker," zegt Palensky.

NIS2

Cyberaanvallen op het elektriciteitsnetwerk zijn niet nieuw. In 2015 en 2016 werden grote delen van Oekraïne al platgelegd door Russische cyberhacks. Europarlementariër Bart Groothuis (VVD) vreest meer aanvallen. "Vergis je niet. Ransomware is onderdeel van het Russische buitenlandbeleid om de Europese infrastructuur te verzwakken. Ze kunnen onze sancties niet allemaal spiegelen, dus ze zullen in het cyberdomein steeds vaker proberen onze bedrijven te treffen."

Het antwoord van de Europese Unie is de nieuwe Network and Information Security wetgeving (NIS2), waarover vorige maand een akkoord werd bereikt. Deze wet verplicht vitale bedrijven en organisaties in heel Europa om hun cybersecurity op orde te brengen. "Denk aan ziekenhuizen, banken, energie- en telecombedrijven maar ook ministeries. Veel van dit soort organisaties maken nog geen eens back-ups, en ze doen niet aan tweestapsverificatie en software updates," vertelt Groothuis.

Bestuurders aansprakelijk

Met de nieuwe wet kunnen niet alleen bedrijven, maar ook de CEO's zelf enorme boetes opgelegd krijgen. "Als de cybersecurity niet op orde is kan dat gaan om 2 procent van de jaaromzet. Een gigantisch bedrag, gelijk aan wat hackers vaak eisen. Door bestuurders ook aansprakelijk te kunnen stellen, verwachten we dat bedrijven echt actie gaan ondernemen", zegt Groothuis.

Palensky is blij met de nieuwe wetgeving. "Het werd hoog tijd. We lopen in Europa enorm achter ten opzichte van landen als de Verenigde Staten, China en Rusland als het gaat om cybersecurity. Maar alleen wetgeving is niet genoeg. We hebben meer mankracht en meer onderzoek nodig. Daarvoor is ook geld nodig."