"We werken met man en macht aan het probleem en hopen het zo snel mogelijk op te lossen. We verwachten dat we er nog tot volgende week mee bezig zijn", vertelt woordvoerder Sabine Draaijer van Nuon. "Voor we de E-manager beschikbaar stellen, laten we de beveiliging nogmaals testen door een onafhankelijke partij, ook dat vergt enige tijd."

Een dag later direct afgesloten

In de tussentijd kunnen klanten niet bij de stroombeheerdienst, die sinds vorige week vrijdag effectief is afgesloten. Webwereld is door een lezer getipt over het gat. Op donderdag 10 oktober heeft Nuon naar eigen zeggen een mogelijk beveiligingsrisico met de E-manager gesignaleerd. Analyse wees een dag later uit dat kwaadwillenden zich toegang kunnen verschaffen tot de privégegevens van klanten.

Het energiebedrijf heeft vrijdag 11 oktober de gateways voor de E-manager geblokkeerd om diefstal van die klantgegevens te voorkomen. "Door dit te doen kunnen wij weer instaan voor de beveiliging van de klantgegevens." Draaijer laat weten dat Nuon geen aanwijzing heeft dat derden toegang hebben gehad tot de persoonlijke gegevens. "Er liggen dus geen klantgegevens op straat."

Schakelschema's en thermostaatprogramma's verstoord

Webwereld heeft ook vragen gesteld over de aard van de kwetsbaarheid, maar Nuon heeft daar nog geen antwoorden op gegeven. De energieleverancier is in ieder geval in gesprek met fabrikant Greenwave die de slimme energiemeter maakt. Het blokkeren van de gateways blijkt "in sommige gevallen" ook schakelschema's en thermostaatprogramma's te verstoren.

Draaijer noemt dit "een ongelukkige bijkomstigheid die we met bijna even hoge urgentie proberen op te lossen", maar zegt dat dit losstaat van het beveiligingsrisico. "In principe blijven alle schakelschema’s die actief zijn, actief. Ook het ingestelde thermostaatprogramma blijft actief. Er is ons echter een aantal gevallen bekend waarin dit niet het geval is."

Responsible disclosure

"Nuon is door een beveiligingsexpert op de hoogte gebracht van het mogelijke beveiligingsrisico", antwoordt Draaijer op vragen over hoe het lek is ontdekt. Zij benadrukt dat de melding serieus is genomen en gelijk onderzocht. Nuon heeft "de bevinding van de expert kunnen bevestigen".

"We zijn de expert zeer erkentelijk dat hij zijn bevindingen open en eerlijk met ons heeft gedeeld." Ze vult nog aan dat de E-manager op verzoek van Nuon regelmatig aan een externe security audit wordt onderworpen. Die beveiligingskeuring heeft echter niet het ontdekte en gemelde lek aan het licht gebracht.

Compensatie?

Klanten worden per mail geïnformeerd als het beveiligingsgat is gedicht en hun betaalde energiebeheerdienst weer naar behoren werkt. "We vinden het heel vervelend voor onze klanten en bieden onze excuses aan voor de overlast. We beraden ons over hoe wij de klanten kunnen compenseren."

UPDATE: Ter verduidelijking, het gaat dus alleen om de eigen 'slimme' oplossing van leverancier Nuon, en niet om de slimme meters zoals die door netbeheerders als Alliander, Stedin en Enexis in de meterkast zijn geïnstalleerd.

Nuon prijst zijn dienst aan: "Met de Nuon E-manager heeft u altijd en overal inzicht in uw energieverbruik". Maar nu even niet vanwege een privacylek: