Hidden reCAPTCHA on Novafos smart water meter

villefra · April 13, 2023, 6:09am

In Denmark, ‘Smart Water Meters’ are being rolled out. They offer connectivity to the water metering. kpoppel has created a ‘Novafos/Easy-Energy’ integration. Unfortunately, it cannot work automatically, due to a hidden reCAPTCHA. Please find more details in kpoppels github repository.

I wrote a message the the utility (Novafos) suggesting they modify the security concept of their system, to allow integrations in for example home assistant. Please find the communication below, for reference. It is in Danish, sorry, but this is the language to use in dialogue with Danish authorities. I wrote Novafos with cc to the mayor of Gladsaxe, who also happens to be in the board of Novafos.

I think it would be great if other also write Novafos about this, as I believe it would be good for them, us and the environment if they act on this problem.

Kind regards,

Rasmus.

Fra: Rasmus Villefrance <[r***@v***.***]>
Sendt: 6. april 2023 08:41
Til: Kunder (Postkasse) <[email protected]>
Cc: [email protected]; Trine Græse <[email protected]>
Emne: Manglende adgang til data fra smart vandmåler

Hej Novafos,

Jeg vil gerne bruge (mine egne) data fra min smarte vandmåler. Indtil nu har jeg brugt dem via Watts app’en og jeres hjemmeside, som fungerer fint.

Imidlertid vil (mine egne) data være mere værd for mig, hvis jeg integrerer dem med alle mine andre data i det såkaldte ‘Home Assistant’ system, som er et open source projekt bemandet af nørder i hele Europa. I dette system håndterer jeg i forvejen mine el data, data fra min elbil, indeklima data osv. Jeg bruger systemet til bl.a. at programmere elbil og vaskemaskine til at bruge strøm og vand når det er billigst.

Imidlertid har Novafos smarte løsning ‘låst’ mine data, så jeg kun kan få adgang til dem via Watts app’en eller hjemmesiden. Jeg har ikke mulighed for at få (mine egne) data på anden vis. Til sammenligning kan jeg godt få mine el data fra eloverblik.dk, som giver fri adgang til alle (egne) data.

Er det vigtigt?

Ja, jeg synes det er vigtigt. Danmark er et foregangsland inden for den grønne omstilling, og os ‘hobby energispare nørder’ er en vigtig del af dette. Der er mange flere som mig, der er ærgelige over denne begrænsning. Se mere her: GitHub - kpoppel/homeassistant-novafos: Homeassistant wrapper around the Novafos KMD water metering data warehouse.. Især i vores område med mange store ingeniør arbejdspladser og universiteter sker der rigtig meget inden for dette område - også på hobbyplan. For eksempel ligger Watts A/S her i regionen, og de har da skabt arbejdspladser og udvikling.

Os nørder er med til at sikre arbejdspladser, velstand og den grønne omstilling i vores land. Home Assistant (https://www.home-assistant.io) er et virkelig spændende open source projekt og community, som har potentiale til at gøre en forskel for os alle sammen.

Hvad bør Novafos gøre?

I min optik (og sammen med mig alle de andre nørder) bør Novafos bede leverandøren, KMD Data, fjerne begrænsningen på adgang til (egne) data. Den tekniske forklaring kan findes i linket ovenfor. Jeg har cc’et ‘mit’ byrådsmedlem, Christina Falkberg, og ‘min’ Novafos bestyrelsesrepræsentant, Trine Græse, på denne mail.

Jeg ved at I har modtaget mange mails som denne, for vi er mange der ønsker at bruge (egne) data fra vandmålerne. Jeg håber, at I vil lytte til os.

Bedste hilsner

Rasmus Villefrance

|Afsender|Kim Nysted Christophersen [email protected]|

Kære Rasmus

Tak for din henvendelse. Vi er altid meget interesserede i at høre om nye tiltag, der kan understøtte den grønne omstilling.

Dejligt at høre, at du bruger Watts app og følger op på vandforbruget, selvom det p.t. ikke kan integreres med data i dit ‘Home Assistant’ system.

Vi udleverer ikke krypteringsnøglen til vores fjernaflæste vandmålere. At vi ikke udleverer krypteringsnøglen, er ud fra den holdning, at en udlevering af krypteringsnøglen kompromitterer den it-sikkerhed, som Novafos ønsker for Novafos datatransport. Det gør det fordi krypteringsnøglen skal være unik og ikke må kunne anvendes af andre end den der har afregningsforholdet på en adresse. F.eks., kan vi ikke holde øje med om en datatransport skal afbrydes, hvis en kunde fraflytter adressen.

Vi har i dette projekt valgt en fælles løsning, hvor det også kan være muligt at tilgå data fra varme- og elforsyning. Denne løsning er vores kunder tilfredse med, og vi har til orientering ikke modtaget mange andre henvendelser vedrørende udlevering af krypteringsnøglen.

Din henvendelse er dog meget relevant, og vil gerne gemme den i forbindelse med det videre arbejde med vores system til aflæsning af målerdata, således at det på et tidspunkt måske bliver muligt at kunne anvende dataene i andre systemer end de nuværende.

Venlig hilsen

Kim Nysted Christophersen
Teamleder kunder
Administration
Kunder

asbjorn125 · October 8, 2023, 8:50am

@villefra Har også lige skrevet til dem for at få krypteringsnøglen, så mom ikke der sker noget, jo flere der skriver.

Thomas11 · January 23, 2024, 1:31pm

Har skrevet til Novafos i dag.

Mvh Thomas.

Thomas11 · January 30, 2024, 9:01am

@villefra @asbjorn125
Her er min mail til Novafos og deres svar (med enkelte ligegyldige detaljer fjernet).
Jeg har markeret det interessante med fed skrift.
Virker som om de overvejer noget på længere sigt, men det er tilsyneladende ikke startet endnu. Med kendskab til tunge selskaber kan jeg kun gætte på at der er 50% sandsynlighed for at der nogensinde sker noget på dette område, men måske gør der.

Jeg har også kontaktet Energistyrelsen, som tidligere tvang elselskaberne til at åbne op for privat aflæsning af elforbrug (bekendtgørelse om fjernaflæste elmålere og måling af elektricitet i slutforbruget (BEK nr 477 af 10/05/2023)) og spurgt dem om de har nogle tilsvarende tiltag på vej for at tvinge vand og evt. gas/fjernvarmeselskaberne til også at åbne op hvis de alligevel skal sætte fjernaflæste målere op. Hvis jeg får svar, skal jeg prøve at huske at poste det her.

MIN MAIL TIL NOVAFOS

Hej Novafos,

Jeg er opmærksom på at jeg kan se mit vandforbrug på jeres hjemmeside og via Watts mobilapplikationen.
Men det er for mig tungt og ufleksibelt i forhold til det jeg ønsker, nemlig at samle mit forbrug (el, vand, varme) ét sted med det overblik, som det giver.
Det er efter min mening fremtiden i forhold til at kunne overvåge og ikke mindst minimere forbruget til glæde for planeten og alle os, som bor på den.
Jeg vil derfor spørge om der er nogen mulighed for at trække mit vandforbrug ud fra enten jeres hjemmeside (evt. via et tilgængeligt API) eller fra Watts mobil-appen så man kan samle data i fx Home Assistant, som jeg bruger?

(…)

Så jeg håber I enten har denne mulighed (som fx elselskaberne tilbyder) eller at I arbejder på sagen.

Med venlig hilsen

Thomas Holmgaard.

SVAR FRA NOVAFOS

Hej Thomas

Tak for din henvendelse. Vi har selvfølgelig forståelse for dit ønske om at skabe overblik over dit forbrug ét sted.
På nuværende tidspunkt, er der dog ikke mulighed for at hente forbrugsdata om vandforbrug via et API til dit Home Assistant – system.

På sigt åbner vi mulighed for at hente forbrugsdata via et API, men hvornår dette projekt starter op, er der fortsat ikke truffet beslutning om.

Vi har i Novafos valgt, at den it-sikkerhed, der medfølger når en måler ikke har tovejskommunikation, ikke må blive kompromitteret – det er både af hensyn til din sikkerhed for at forbruget på din adresse kun er kendt af dig selv og af Novafos. Men også et hensyn overfor vores andre kunder, at de trygt kan skifte ejendom uden at skulle bekymre sig om tidligere tilsluttede enheder på ejendommens energimålere.

Der findes mange systemer på markedet til at følge et energiforbrug. Novafos har valgt at tilbyde, at du kan følge dit forbrug i Watts app, hvor du også kan følge dit el-forbrug.

Har du flere spørgsmål, er du meget velkommen til at kontakte os igen.

God dag,

Venlig hilsen

(…)
Kunderådgiver
Administration
Kunder

Novafos

HotBlack · February 23, 2024, 7:39am

Hej, fik du nogensinde svar fra Energistyrelsen? Kan du fortælle hvad de har at sige?

Thomas11 · March 4, 2024, 9:55am

@asbjorn125 @villefra @HotBlack

Hej.

Jeg lovede at vende tilbage hvis jeg fik svar fra Energistyrelsen omkring om de havde planer om at tvinge vandforsyningerne til at åbne op for data på samme måde som de havde gjort med deres bekendtgørelse til elselskaberne.

TLDR: Der er en bekendtgørelse på vej indenfor vandforsyningsområdet med henblik på at vandforsyningerne skal informere forbrugerne om bla. vandforbrug, men de kan selv vælge hvordan de vil gøre det (fx ved brug af et tilgængeligt API, men også ved brug af gammeldags post eller en proprietær (lukket) app som WATTS).
Dvs. så længe de sender en regning engang imellem hvor der står forbrug kommer de til at leve op til den kommende bekendtgørelse.
Desværre ikke det jeg håbede på.
På gasmålerområdet kommer der ingen initiativer da gas skal udfases inden 2035.

Her er kommunikationen i den fulde længde:

Kære Thomas Holmgaard

Tak for din henvendelse til Energistyrelsen den 24. januar 2024 vedr. fjernaflæsning af målere.

Tak for din opbakning til bekendtgørelse nr. 477 af 10. maj 2023, samt dit engagement i den grønne omstilling.

Ift. vandmålerområdet kan vi oplyse, at Miljøministeriet netop har fremsat et lovforslag om implementering af drikkevandsdirektivet, hvor vi fra Energistyrelsen og Klima-, Energi- og Forsyningsministeriet har bidraget til delen om artikel 17: Lovforslag nr. L 102, Folketinget 2023-24, Forslag til Lov om ændring af lov om vandforsyning m.v., byggeloven og lov om produkter og markedsovervågning (Gennemførelse af dele af drikkevandsdirektivet, herunder risikobaseret tilgang til vandsikkerhed, minimumskrav til hygiejne for materialer, der kommer i kontakt med drikkevand, minimumskrav til behandlingskemikalier og filtermedier, der kommer i kontakt med drikkevand, adgang til drikkevand og oplysninger til offentligheden) (ft.dk)

Her kan vi henvise til afsnit 3.6. på side 59 og frem, der omhandler tilgængeligheden af oplysninger til offentligheden om drikkevandskvalitet og til forbrugerne om kvaliteten af det leverede drikkevand, forbrug og pris m.v.

I høringsnotatet til lovforslaget på s. 35-36, er der en bemærkning fra TEKNIQ Arbejdsgiverne, som relaterer sig til dit spørgsmål (L 102 Bilag 1 Bilag Høringsnotat for lovforslag vedr drikkevandsdirektivetpdf (ft.dk))

Her bemærker TEKNIQ Arbejdsgiverne, at informationer om den leverede vandkvalitet og andre væsentlige parametre, som fx vandtryk er værdifulde for VVS’ere og bygningsejere ved planlægning af installationsarbejde, herunder valg af materialer og dimensionering m.v.

TEKNIQ Arbejdsgiverne foreslår derfor, at indhentning af oplysninger om drikkevandet skal kunne tilgås via et standardiseret digitalt format, fx API.

Klima-, Energi- og Forsyningsministeriet og Miljøministeriet oplyser, at det ikke følger af lovforslaget eller direktivet, at oplysninger skal kunne stilles til rådighed via f.eks. API’er, men at lovgivningen i øvrigt ikke er til hinder for, at der laves digitale platforme.

Det er derfor planen, at vi i Energistyrelsen udsteder en bekendtgørelse om, at vandforsyningen skal informere forbrugerne om vandforbrug, men vandforsyningen kan vælge at anvende forskellige kommunikationsformer, f.eks. i form af faktura eller ved hjælp af digitale midler (f.eks. mail, Digital Post, app eller brev). Vi har også skrevet i høringsnotatet, at lovforslaget ikke er til hinder for, at vandforsyningen etablerer andre digitale midler til videregivelse af oplysninger.

Ift. gasmålerområdet kan vi oplyse, at der ikke er nogen særskilt bekendtgørelse om fjernaflæste målere på gasområdet. Dertil er der ikke planer om at indføre fjernaflæste målere for private gasforbrugere (husholdninger), idet det er politisk besluttet og økonomisk støttet (gennem afkoblingsordning mv.), at private husholdninger ikke skal bruge gas efter 2035.

Vi håber, at du finder vores besvarelse relevant. Hvis du har yderligere spørgsmål om evt. ny lovgivning om fjernaflæsning af vandmålere, kan vi henvise til Social-, Bolig- og Ældreministeriet, da dette falder under deres, og ikke vores, ressort.

Med venlig hilsen / Best regards

Katrine
Team for Borgerhenvendelser
Kommunikation

Danish Energy Agency - www.ens.dk

part of The Ministry of Climate, Energy and Utilities
Energistyrelsen er ansvarlig for behandlingen af de personoplysninger, vi modtager om dig. Du kan læse mere om, hvordan vi behandler dine personoplysninger på vores hjemmeside https://ens.dk/om-os/energistyrelsens-behandling-af-personoplysninger

Til: Energistyrelsen ([email protected])
Titel: Spørgsmål til bekendtgørelse omkring fjernaflæste vandmåleere/elmålere/gasmålere|
Sendt: 24-01-2024 17:09

Hej.

Jeg har med stor interesse læst jeres bekendtgørelse om fjernaflæste elmålere og måling af elektricitet i slutforbruget (BEK nr 477 af 10/05/2023).

Særligt:

§ 7. Det skal være muligt for forbrugeren efter åbne standarder at tilkoble eksterne enheder til den fjernaflæste elmåler og løbende udtage forbrugsrelevante data, jf. § 5.

Stk. 2. Overførsel af data eller adgang til data skal være sikret via kryptering eller lignende.

Stk. 3. Tilkobling af eksterne enheder skal kunne foretages af lægmand uden at bryde plomber eller lignende. Netvirksomheden kan beslutte, at aktivering skal foretages eksternt af netvirksomheden. Dette må ikke påføre forbrugeren unødige ekstraomkostninger.

Stk. 4. Udtagning af data må ikke være til gene for netvirksomheders brug af den fjernaflæste elmåler.

Vi er en voksende skare af borgere, som går meget op i den grønne omstilling og i at samle vores forbrug (el, vand, varme) og evt. elproduktion (fx fra solceller) mm. ét sted så vi bedre får et overblik og kan lave ændringer for at minimere forbruget og regningen.

Det er derfor med stor tilfredsstillelse at jeg kan få adgang til de data min fjernaflæste elmåler producerer flere gange i timen.

Så mange tak for den bekendtgørelse. Den virker og Radius er meget behjælpelige med krypteringsnøgler.

Så vidt jeg ved findes der ikke nogen lignende bekendtgørelse på fx vandmålerområdet og vandleverandører stritter imod når vi borgere prøver at få dem til at åbne op for data så de kan samles ét sted i stedet for i individuelle løsninger hvor man fx har én app til det ene og en anden app til noget andet.

Vi har fx en automatisk timeaflæst vandmåler (fra Novafos) og det er synd og skam at de kun vil dele de data via enten deres egen hjemmeside eller via en tredje-partner’s app (Watts), som ikke taler sammen med andre løsninger (jeg har spurgt dem). Der stilles ingen API’er, krypteringsnøgler eller andet til rådighed for os borgere så vi kan få fat i vores egne forbrugsdata i real-tid og integrere dem i hvad end fællesløsning vi vælger. Jeg bruger selv smart home applikationen Home Assistant, som jeg kan tilgå fra hvor end jeg er på kloden, men andre bruger andre tilsvarende gode løsninger til at danne deres fælles overblik.

Jeg vil derfor høre om I i Energistyrelsen har planer om at lave en tilsvarende bekendtgørelse på vandmålerområdet og evt. også gerne gas/fjernvarmeområdet i de tilfælde hvor der enten er sat fjernaflæste målere op eller er planer om det. Det er klart det ikke kan gælde for fx gamle menneske-aflæste vandmålere eller gasmålere.

Og hvis ikke, så er dette en stor opfordring til at kigge nærmere på det.

Med venlig hilsen

Thomas Holmgaard.