Het was vandaag een productieve dag op het Privacy & Identity Lab. Erik Poll legde helder uit hoe het slimme meter netwerk in Nederland er uit gaat zien. Hieronder mijn samenvatting.

De slimme elektriciteitsmeter heeft een display en registreert de volgende verbruiksgegevens (en slaat die ook op):

  • Het verbruik in de afgelopen 10 dagen, in intervallen van 15 minuten.
  • Het verbruik in de daar voor liggende 40 dagen, in intervallen van 1 dag.
  • Het verbruik in de daar weer voor liggende 13 maanden, in intervallen van 1 maand.

Iedere meter heeft een aansluiting identificatie code (EAN code). Daarnaast heeft de meter een viertal poorten voor data in- en uitvoer.

  • P1 (alleen uitgang) geeft fysieke (bijvoorbeeld via USB) toegang tot de huidige verbruiksgegevens, die iedere 10 seconden worden geupdate.
  • P2 (alleen ingang) is een aansluiting voor de gasmeter
  • P3 (in- en uitgang) geeft remote access (via het elektriciteitsnet zelf) tot de opgeslagen gebruiksgegevens (dus met een resolutie van ten hoogste 15 minuten).
  • P4 (in- en uitgang) is voor het lokaal configureren van de meter.

De hoeveelheid te leveren stroom kan ook afgeknepen worden, en de levering van elektriciteit kan zelfs helemaal afgesloten worden. Er is nog discussie of het afsluiten alleen lokaal via poort P4 of ook remote via poort P3 mogelijk moet zijn.

Poort P3 communiceert met een zogenaamde dataconcentrator. Deze zit in de grijze kastjes langs de straat, waarvandaan (een deel van) de straat van stroom wordt voorzien. Deze dataconcentrators zijn verbonden met de regionale netbeheerders (RNB). Alle RNB zijn gekoppeld via een nationale hub, Energie Data Services Nederland (EDSN). Energiebedrijven en overige dienstaanbieders (ODA) kunnen gegevens uit een slimme meter opvragen door hiervoor een verzoek, via EDSN, aan de regionale netbeheerders te sturen. Deze vragen de gegevens, in batch, op via de dataconcentrators uit de meters zelf en sturen het resultaat vervolgens terug. Normaal gesproken duurt dit een dag.

Tussen de slimme meter en de data concentrator is een bepaalde mate van beveiliging (er schijnt DES gebruikt te worden) toegepast. Dit moet ook wel omdat alle communicatie via het elektriciteitsnet zelf verloopt. Zonder die beveiliging kan iedereen in de straat het stroomverbruik van alle buren uitlezen.

Minder duidelijk is hoe de rest van de beveiliging is geregeld. Het systeem lijkt gestoeld te zijn op een grote mate van onderling vertrouwen. Stroomleverantiers mogen alleen gegevens van hun eigen klanten opvragen. Dit wordt ook gecontroleerd door de EDSN, die hiervoor een database hebben met de nodige gegevens. Overige dienstaanbieders worden geacht zich ook aan deze regel te houden, maar deze wordt niet afgedwongen. (Een kwaadwillende stroomleverantier kan zich dus aanmelden als overige dienstaanbieder en zo inzicht krijgen in het energieverbruik van de klanten van de concurrent.) Ook het aanmelden als klant van een overige dienstaanbieder laat te wensen over. Het is onduidelijk hoe deze controleert of ik werkelijk degene ben die ik claim te zijn, en of ik niet probeer het energieverbruik van een bekende nederlander te kapen. Mijn suggestie om dan bij aanvraag het EAN van de meter op te geven helpt niet om het veiliger te maken: die kun je gegeven een adres gewoon opzoeken op een publieke website.

Technisch gesproken zou dit veel strakker ingeperkt kunnen worden. De beperkte groep netwerkbeheerders, stroomleverantiers en overige dienstaanbieders zou voorzien kunnen worden van een digitaal certificaat dat alle slimme meters op echtheid kunnen controleren. Om toegang te krijgen tot de gegevens in een meter presenteert de vragende partij dit certificaat, de slimme meter controleert dit, zet vervolgens de naam van de vragende partij in het display van de meter en vraagt de gebruiker of deze partij toestemming krijgt tot de gevraagde gegevens (die ook in het display worden weergegeven). Deze toestemming kan eenmalig of voor een beperkte tijd afgegeven worden. De gevraagde gegevens worden versleuteld en van een handtekening voorzien zodat authenticiteit gegarandeerd is en alleen de partij die toestemming gekregen heeft de gegevens kan lezen.

Dit is absoluut geen rocketscience. Dus het verbaast me eerlijk gezegd wel dat er blijkbaar niet over dit soort oplossingen is of wordt nagedacht.