Het is verboden om op de Europese markt producten met verborgen kill-switches aan te bieden waardoor apparaten op afstand zijn uit te schakelen. Dat las ik bij Security.nl. Men vaart op antwoorden op Kamervragen over vermeende geheime communicatieapparatuur in Chinese zonne-omvormers, die killswitchfunctionaliteit zouden realiseren. Iedereen in mijn bubbel heeft zonnepanelen en vroeg dus: welke wet?
De bron voor de ophef lijkt een Reuters-artikel van mei 2025:
However, rogue communication devices not listed in product documents have been found in some Chinese solar power inverters by U.S experts who strip down equipment hooked up to grids to check for security issues, the two [sources] said. … The rogue components provide additional, undocumented communication channels that could allow firewalls to be circumvented remotely, with potentially catastrophic consequences, the two people said.Ik kwam de zorgen ook tegen in vakblad Energate:
If the inverters are not controlled via the smart meter gateways, but via the manufacturer’s backend systems, a completely different risk situation arises, according to Borchardt. This is because it is then possible for the inverter manufacturers to switch off a large number of systems in one fell swoop, as the case of the Chinese company Deye shows. This inverter manufacturer shut down systems in the USA, Great Britain and Pakistan in rows last autumn following licensing disputes.Het gaat nadrukkelijk niet expliciet om ingebouwde technieken die de inverters uitschakelen of bricken (of doen ontploffen, ik zeg het maar even). De kern van de zorg is dat er communicatieapparatuur in de omvormers zitten waarmee op afstand ieder soort instructie gegeven kan worden. Inclusief dus “doe of je een baksteen bent”.
Is dat illegaal? De Kamervraagantwoorden lopen kort langs de Cyber Resilience Act en de Radio Equipment Directive, die inderdaad beiden strenge security-eisen stellen. Maar die zeggen niets over een door de fabrikant zelf ingebouwde achterdeur.
Toch zegt de minister dan:
Op de Europese markt is het verboden om (heimelijk) functionaliteit in te bouwen (zowel software en hardware) die niet in de technische documentatie is beschreven. Het is verboden om producten aan te bieden die ‘verstopte’ functionaliteiten bevatten om apparaten op afstand aan of uit te zetten. Deze eisen gelden ook voor producten die afkomstig zijn van een fabrikant die buiten de EU is gevestigd, zodra deze producten op de Europese markt worden aangeboden.Frustrerend dat ze er niet even bij zetten om welke wet het gaat. Voor de hand ligt dat men ‘gewoon’ op de informatieplichten voor verkopers van fysieke producten doelt. Een zonnepaneelinverter met de mogelijkheid tot uitschakelen op afstand is niet wat je mag verwachten als koper, zeker omdat dit niet in de documentatie staat.
Omdat men nadrukkelijk spreekt van ‘verboden’ vermoed ik echter dat het iets specifieker gaat over het CE-keurmerk en de bijbehorende Europese standaarden. Bij markttoelating in Europa moeten zonnepanelen en omvormers gekeurd zijn, en deel daarvan is dat de technische documentatie (dat is een vakterm in die context) van A tot Z vermeldt wat het apparaat kan. Dat is dan hier niet het geval, zodat de omvormer niet aan de wet voldoet en dus de markt niet op mag.
Ik ben vast heel cynisch als ik denk, men wil stoer en sterk klinken met “dat is in héél Europa verboden” en dan doet het minder sterk aan als je zegt “omdat dat in strijd is met artikel 4 lid 3 van de markttoezichtverordening”.
Arnoud
Heeft het verbod dat de minister noemt ook effect op het onderwerp in het vorige artikel (op afstand uitschakelen van telefoons)?
Ik vermoed van niet. Als Arnoud gelijk heeft, dan gaat het daarbij om een omschreven functionaliteit van de iPhone. Het enige wat die verkoper niet wist was dat KPN toegang had tot die functionaliteit, maar dat die erin zit had hij kunnen weten.
Voor consumenten is wellicht ook relevant EU richtlijn 2019/771 betreffende bepaalde aspecten van overeenkomsten voor de verkoop van goederen, en m.n. Art. 6-7 over conformiteit. https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32019L0771.
Op zich heeft het niet aan CE voldoen wel tanden. Als de toezichthouder dat wil tenminste…
Maar er kan ten alle tijden terugroep en/of vervanging van niet-conforme apparatuur opgedragen worden, en de verantwoordelijke is de (Europese) importeur, niet de fabrikant. En daar zit geen verjaring op. Jammer natuurlijk als de importeur failliet is, maar veel makkelijke af te dwingen dan een Chinese of Amerikaanse fabrikant.
Jammer dat CE niet voor software of webservices geld 🙂
Laat we zeggen dat er een wet is in Europa die dit zegt. Alleen het bedrijf zit in China wat kan je er dan tegen doen. Als de kill switch overgehaald wordt in een land als China wat kunnen we daar tegen doen. Alles wat je gaat doen is achteraf en de schade is al toegebracht aan de systemen.
Misschien moet Europa groter gaan denken of beter gezegd beter gaan investeren in beveiligingen van kritische systemen. Denk aan mensen die alles analyseren en nakijken wil je op de Europese markt leveren dan moet je de code beschikbaar maken voor review. Je kan dan de code uitlezen van de apparatuur en vergelijken klopt het niet dan treed wet x in werking die gelijk kort metten maakt met dit. Ik denk dat we meer actief moeten zijn in dit dan afwachten.
Een mogelijkheid is de importeur en alle wederverkopers te beboeten voor het verkopen van zulk spul? Als ik de RDI was, had ik nu alle zonnepanelen-leveranciers een brief gestuurd met een verzoek te garanderen dat er geen dergelijke functionaliteit in zit, met daaronder een kopie van de boetebepalingen uit de wet.
Maar dan los je het probleem nog niet op het is namelijk achteraf, als de kill switch gebruikt wordt en het is genoeg zonnepanelen (bijvoorbeeld) kan het stroomnetwerk in gevaar komen. Dan kan je wel beboeten maar wie draait erop voor de kosten, van een kale kip kan je niet plukken. ik denk dat de importeurs niet genoeg geld hebben om de kosten te betalen, kijk naar de stroomstoring een paar maanden terug in Spanje (als ik het goed heb).
Ik denk dat we bij veiligheid meer moeten kijken wat we vooraf kunnen doen in plaats van achteraf, achteraf ben je namelijk al te laat.
Ik bedoelde nu, preventief. Dat is een bevoegdheid van markttoezichthouders, juist om te voorkomen dat je achteraf met gebakken peren zit.
Je komt er toch pas achter of er een verborgen kill-switch in zit, als die wort overgehaald?
Dat is waar. Maar als jij importeur bent en nú keihard moet zeggen “ik weet dat die er niet in zit” of het product van de markt moet halen (dus nu, per direct) dan ga je toch wel even zoeken lijkt me.
Ja, en dan antwoordt je als importeur:
‘We hebben X ingenieurs Y dagen laten zoeken en niets gevonden. Dus als er iets in zit, dan is het heeeeeeeeeeeel goed verborgen, op het niveau van state-sponsored hackers.
Wij zullen vragen aan de BVD of ze ons willen helpen, want dat gaat ons petje technisch gezien te boven, maar we verwachten geen antwoord, gezien het budget van de BVD en de algemene hoge mate van geheimzinnigheid die zij betrachten.
Als we iets horen van de BVD zullen we het laten weten. Oh nee, toch niet, want jullie zijn beide Overheid en hebben ons niet nodig als brievenbus’
Maar dat weet je als importeur nooit je heb kennis over een systeem maar je weet nooit of er een killswitch in zit. Daarbij als je dit nu doet dan zijn er al systemen verkocht waar het mogelijk al inzit. Daarom heb je een systeem nodig die het onderzoekt en gelijk actie kan ondernemen. Maar hier komt het geldt het voor iedereen op de Europese markt of alleen voor landen zoals China. Ook wat als een land zoals Nederland zegt in product x moet een killswitch zitten wat dan.
Even over het product van de markt halen wie gaat het betalen de importeur en geldt het ook voor al verkochte systemen en hoever terug in tijd gaan we een jaar twee, drie of 10 jaar. Wie is er verantwoordelijk voor bedrijven en particulieren die het gekocht hebben wie gaat hun schadeloos stellen.
Wat ik voorstelde kan namelijk ook achteraf je kan nieuwe software schrijven die de killswitch eruit haalt met of zonder medewerking van een bedrijf.
Ik weet dat er destijds wel een expliciete eis gesteld is aan slimme meters dat deze geen killswitch mochten hebben om grootschalig misbruik te voorkomen (een scenario dat Marc Elsberg in zijn boek Black Out beschrijft).
Of dat voor Omvormers ook geldt is maar zeer de vraag. Er zijn hele valide redenen om op grote schaal omvormers uit te zetten zonder toestemming van de eigenaar: de belangrijkste is het kunnen veiligstellen van een werkplek van een medewerker van de netbeheerder, om de electrocutie van hem/haar te voorkomen. De huidige omvormers zijn daarom wettelijk verplicht af te schakelen als de netfrequentie boven de 51Hz komt (teken van overproductie) of als de netfrequentie onstabiel/afwezig is (afgeschakeld net).
Dit ligt niet volgens mij niet vast in de CE markering. CE keurmerk gaat over veiligheid van gebruik voor mens en omgeving. Technisch gezien is dit geen veiligheidsding. Erger nog: een uitgeschakelde omvormer is een hele veilige omvormer. Dit is een beschikbaarheidsding wat typisch niet onder CE keurmerk valt. Als je dan over wetgeving praat, dan gaat het snel over de Europese en Nederlandse Netcode, en de energiewet. Die regelen namelijk de afspraken die de stabiliteit van het net moeten borgen.
Deze frequentiesturing is overigens heel ruw en onvoorspelbaar (in praktijk afhankelijk van de specifieke implementatie door de specifieke fabrikant). Een te hoge frequetie kan tot grootschalige afschakeling leiden die dan tot enorme tekorten kan leiden waardoor de boel helemaal in elkaar stort. Dit is in essentie het scenario dat Marc Elsberg in zijn boek beschrijft. Een beter stuurbaar mechanisme, bijvoorbeeld door een API aan te bieden zou dan heel valide zijn, waardoor een afgemeten aantal panelen op strategische plekken kan afschakelen. Dit noemen we ook wel Smart Grids of Smart Micro Grids. Het is de ambitie om daar naartoe te gaan, dus deze functionaliteit kan er al inzitten als voorbereiding op die situatie, en dan is verbieden extreem lastig.
Wat je beschrijft (afschakelgedrag zonnepaneelomvormers bij afwezigheid/instabiliteit van netspanning) is bij uitstek een onderdeel van de hele CE-regelgeving. Het is letterlijk waar “CE” voor staat: Conform Europese regelgeving.
En dat kan over veiligheid gaan, maar ook over milieu (Geen lood in soldeer) of zelfs functionaliteit (Meetapparatuur).
Daar zit een wonderlijke tegenstrijdigheid. – De fabrikant is wettelijk verplicht onvolkomenheden in het product te verbeteren als er onvolkomenheden zijn. Dat betekent dat de fabrikant toegang tot het product moet hebben dan wel krijgen. – Een onvolkomenheid kan ook zijn dat apparaat goed functioneert dan is de verbetering dat het niet meer functioneert. Het is maar net wat de context is.
Maar er hoeft toch helemaal geen verborgen functionaliteit te zijn? Elk apparaat met OTA firmware updates kan een firmware gepushed krijgen die alles met het apparaat kan doen wat de fabrikant wil. Dat is gewoon beschreven functionaliteit. En dat is ook functionaliteit die we schijnbaar accepteren, want ‘elk’ apparaat heeft het tegenwoordig. Maar als een zonneomvormer-fabrikant slecht in de zin heeft pushed het gewoon een malafide firmware. Daar heeft het helemaal geen verborgen functies voor nodig.
Dit. Zet voorop de doos dat er automatisch remote updates kunnen worden doorgevoerd en er wordt schijnbaar voldaan aan de informatieplicht.
Blogpost op deze site waar wordt gesuggereerd dat het wel moet kunnen om remote functies te verwijderen: https://blog.iusmentis.com/2020/11/09/mag-ziggo-mijn-mediabox-opnames-verplaatsen-naar-de-cloud/ wat 1 stapje minder is dan bricken.
Is dit overigens anders voor puur software? Als in: mag Mozilla Firefox bricken in een geforceerde update, Microsoft Windows?
Dat er remote updates kunnen worden uitgevoerd, betekent niet dat je eender welke update mag pushen en dat de consument dat moet accepteren. In de context begrijpt de consument dat als security updates en logisch te verwachten uitbreidingen van functionaliteit. Een remote kill uitvoeren en dan zeggen “ook dit is een update” is juridisch écht niet in orde.
Maar ik claim ook niet dat het mag, ik claim dat het kán zonder verborgen functionaliteit te gebruiken. Ik denk niet dat als China kwaad in de zin heeft ze zich er zorgen om maken of het mag of niet. Hoe ga je dat oplossen? OTA updates verbieden?
En daar gaat de minister dus nat, want een gedocumenteerde mogelijkheid tot (security-) updates is gewoon toegestaan.
Dat die misbruikt kan worden als kill-switch is niet te voorkomen (Cloudflare iemand?).
Overigens gaat een verbod hier natuurlijk ook niet werken, want als China (of een willekeurig ander buitenland) ruzie wil, en daarom de kill-switch activeert zullen ze ook niet onder de indruk zijn van een NL of EU wet die dat zou verbieden.
En verhalen van de schade op de importeur is leuk op papier, maar van een kale kip kun je niet plukken
Misschien ben ik te cynisch hoor, maar dit soort dingen zijn het gevaar volgens mij helemaal niet. De juridische gevolgen van al dan niet bewust gemaakte foutieve updates zijn leuk om te bespreken maar dat gaat er van uit dat we uiteindelijk een of andere fabrikant hebben die we er op aan kunnen spreken. In het scenario waarvoor ik denk dat die verborgen kill-switches in die apparatuur zitten hebben we geen advocaat met een blafbrief nodig, maar een soldaat met een geweer of beter nog een zwaarbewapende vloot.
Stel je het volgend scenario voor: De druk op de Chinese Communistische Partij (CCP) om te hervormen blijft groeien, door een combinatie van economische stagnatie, ernstige vergrijzing, sociale ontwikkelingen in China zoals de “lying flat” beweging, de kollosale schuldenproblematiek van regionale overheden en de vastgoedsector en de verminderende acceptatie in China van de lezingen van de CCP. Jinping (wiens positie al lang onder druk staat als gevolg van een interne machtstrijd in de CCP, onder andere van de aanhangers van de inmiddels overleden Jiang Zemin) besluit een oude truuk uit de kast te halen (het creeeren van een nieuwe gemeenschappelijke vijand) en tegelijkertijd zijn belofte tot unificatie met Taiwan waar te maken. De Chinese strijdkrachten (internationaal meestal PLA voor People’s Liberation Army genoemd) vallen niet onder de staat, maar direct onder de CCP en hebben al enkele jaren geleden de opdracht gekregen om voor 2028 gereed te zijn om Taiwan militair in te lijven (of bevrijden of vereenigen, afhankelijk van aan welke kant je staat). Al jaren heeft de CCP beloofd dat Taiwan “verenigd” zal worden met China, en sinds een paar jaar hebben ze ook meermaals heel expliciet gezegd dat als dit niet goedschiks kan het met militaire middelen zal gaan plaatsvinden.
Delen van de Amerikaanse derde vloot varen in die buurt en oefenen al lang met Japanse, Filipijnse en andere regionale partners (als je je vorig jaar af vroeg wat de Zr Ms Tromp deed in de straat van Taiwan, welnu dit is het, vlagvertoon). Dit vormt de grootste bedreiging voor een succesvolle amfibishe aanval, troepentransportschepen zijn kwetsbaar tijdens de oversteek. China opent daarom de strijd met een grootschalige aanval op Japanse, Zuid-Koreaanse, Filipijnse en Amerikaanse bases en marinestrijdkrachten in dit gebied. De aanval op de VS initieert een grootschalig militair conflict. De VS vraagt andere NAVO landen om assistentie.
Dit is het scenario waar militaire planners rekening mee houden. China zou, in zo’n scenario, die ingebouwde kill-switches kunnen gebruiken om onze infrastructuur lam te leggen. We moeten niet naief zijn, zo’n killswitch zit niet in de apparatuur om een eventueel conflict over een verlopen licentie uit te vechten; zo’n killswitch zit in die apparatuur om ze te kunnen gebruiken voor strategische doeleinden als de CCP dat wil. De bedreiging is niet “Jan ging niet akkoord met nieuwe voorwaarden van de leverancier van zijn zonnepanelen dus nu zijn ze op afstand uit gezet, mag dat?”, de dreiging is “China wil Taiwan hebben, en alle Europese apparatuur die uit China komt, van netwerkrouters tot transformatoren, van zonnepanelen tot 5G-masten, van kabelmodems tot deurbelcamera’s, worden nu gemilitariseerd en gebruikt om ons zoveel mogelijk schade toe te brengen en om het ons moeilijk te maken effectief in te grijpen of bij te dragen”. Dit is waarom er al jaren een discussie speelt over netwerkapparatuur van Huawei en andere Chinese fabrikanten. Het is namelijk niet nieuw, dit soort remote backdoors c.q. killswitches zitten niet puur toevallig in al die Chinese apparatuur; AL die grote techbedrijven opereren onder de paraplu van de CCP en doen uiteindelijk wat die CCP hen opdraagt. De CCP gaat echt niet daarmee stoppen omdat onze minister heeft gezegd dat het hier niet mag.. China is zich heel duidelijk aan het voorbereiden op een grootschalig militair conflict met de VS en haar bondgenoten; iedereen die zich een beetje verdiept in die materie weet dat. Dat onze minister in de kamer zegt dat het niet mag van onze wet leidt in China slechts tot bulderend gelach. We moeten ophouden met naief zijn, en Chinese apparatuur weren uit al onze kritische infrastructuur want het zal, misschien niet nu of volgend jaar maar zeer waarschijnlijk voor 2029, tegen ons gebruikt gaan worden.
Dit is natuurlijk geen juridische insteek.. maar goed, ik moest het even kwijt.
Je hoeft er geen scenario voor te bedenken: zoals je in dit bericht van Reuters kunt lezen heeft Rusland bij het begin van de grote aanval op Ukraine in 2022 een malafide over-the-air update gepusht naar de controlers van windturbines. Resultaat: de beheerders hadden geen controle meer over de windturbines en 11 GW electrisch vermogen was niet te regelen. In iedere turbine moest een hardware kaart vervangen worden, waarvoor er een monteur naar de turbine moest. Je begrijpt dat er niet genoeg reservekaarten op voorraad waren. Al met al heeft het meer dan drie maanden gekost voordat dit opgelost was. We hebben mazzel gehad dat er in die periode geen hevige storm was, het electriteitsnet in grote delen van centraal-Europa, ver buiten de grenzen van Ukraine, had plat kunnen gaan.
Natuurlijk kun je een wet maken die regelt dat niet alleen de updates zelf veilig moeten zijn, maar ook de update-procedure. Maar boeven houden zich niet aan regels en tegen een state-sponsored aanval gaat dat al helemaal niet helpen.
Maar China heeft hier toch helemaal geen verborgen ‘kill switch’ voor nodig? Een firmware update met firmware die de apparatuur onbruikbaar maakt (of juist iets laat doen wat niet de bedoeling is) is alles wat ze hoeven te doen. Dus ik snap het hele verhaal over ‘verborgen functies’ en ‘geheime communicatieapparatuur’ niet. Een firmware update is voldoende, en dat is vaak gewoon bekende en beschreven functionaliteit van apparatuur.
Geldt dit ook voor software ? hashtag stopkillinggames
Bij stopkillinggames is dit niet zo aan de orde. Daar is het probleem dat een serverside component stoppen de boel onbruikbaar maakt.
Een vergelijkbaar probleem geldt voor sommige “smart home” apparaten: Als de server er niet meer is, kun je de thermostaat niet meer instellen. Je zou dit een “externe kill switch” kunnen noemen. Dit omdat het niet zo moeilijk is de lokale knoppen en display actief te houden wanneer de server even (of permanent) onbereikbaar is.
Ik sta achter wat “stopkillinggames” wil bereiken, maar zou dat heel graag zien gelden voor alle software en ook voor apparaten met online component. Als je betaald hebt voor “eeuwigdurend” gebruik, mag de leverancier dat niet eenzijdig beperken.
“Daar is het probleem dat ze er een serverside component in stoppen dat de boel onbruikbaar maakt als ze de server uitzetten”.
ftfy