Waarom zijn OPC-UA en Modbus kwetsbaar voor cyberaanvallen?
Modbus heeft geen eigen authenticatie of encryptie. Elk commando wordt in platte tekst verzonden en elk apparaat op het netwerk kan instructies naar elke PLC sturen. OPC-UA biedt beveiligingsfuncties zoals authenticatie op basis van certificaten en berichtversleuteling, maar deze worden zelden correct geïmplementeerd in productieomgevingen. Beide protocollen draaien op apparatuur die geen beveiligingsagenten kan installeren, waardoor inline isolatie de meest praktische methode is om ze te beschermen.
Elke fabriek die PLC’s, HMI’s of SCADA-systemen op een bedrijfsnetwerk aansluit, opent een pad dat aanvallers kunnen volgen van een phishingmail rechtstreeks naar een productielijn. OPC-UA en Modbus zijn de twee meest gebruikte industriële protocollen en beide zijn ontworpen in een tijdperk waarin cyberbeveiliging geen overweging was. De apparaten die deze protocollen gebruiken gaan tientallen jaren mee, kunnen niet eenvoudig worden gepatcht en bevinden zich op netwerken die steeds meer verbonden zijn met IT-infrastructuur. Deze gids laat zien waar elk protocol tekortschiet, hoe aanvallers de kloof tussen IT en OT uitbuiten en hoe inline isolatie de productie beschermt zonder dat er software nodig is op een industrieel apparaat.
Wat OPC-UA is en waar de beveiliging tekortschiet
OPC-UA (Open Platform Communications Unified Architecture) is de standaard voor interoperabiliteit in industriële automatisering. Het vervangt de oudere, Windows-afhankelijke OPC Classic door een platformonafhankelijk framework dat gegevens modelleert als objecten in een adresruimte. Twee communicatiemodellen domineren: client-server, waarbij een HMI verbinding maakt met een PLC om gegevens te lezen of te schrijven, en publish-subscribe (PubSub), waarbij een publisher gegevens naar meerdere subscribers tegelijk pusht.
Het protocol is ontworpen met ingebouwde beveiliging. Authenticatie op applicatieniveau maakt gebruik van X.509 certificaten. Beveiliging op transportniveau ondertekent en versleutelt berichten met AES en RSA. Gebruikersauthenticatie ondersteunt tokens, Kerberos en certificaten. Toegangscontrolelijsten bepalen welke acties een gebruiker kan uitvoeren op specifieke knooppunten.
Dat klinkt goed op papier. In de praktijk wordt het door drie problemen ondermijnd.
Ten eerste bestaat de specificatie uit 14 delen en is buitengewoon complex. Verschillende leveranciers implementeren het op verschillende manieren en inconsistenties tussen implementaties zorgen voor exploiteerbare gaten. Het Duitse Federale Bureau voor Informatiebeveiliging (BSI) analyseerde OPC-UA versie 1.04 en ontdekte dat de instelling “SecurityPolicy: None” instelling, bedoeld voor testen, vaak actief wordt gelaten in productie om compatibiliteitsproblemen of prestatie-overhead te voorkomen.
Ten tweede dwingt de specificatie de sterkte van wachtwoorden niet af. Brute force aanvallen op gebruikersaccounts blijven mogelijk in omgevingen waar standaard of zwakke wachtwoorden blijven bestaan.
Ten derde zorgt de complexiteit van de stack zelf voor kwetsbaarheden. Tussen 2022 en 2026 hebben onderzoeksteams van Claroty en Kaspersky kritieke fouten gedocumenteerd in OPC-UA implementaties van grote leveranciers. Deze omvatten denial-of-service-aanvallen via misvormde certificaatketens en chunk flooding, geheugencorruptie via misvormde UTF-8-verwerking en uitputting van bronnen door overmatige verzoeken voor het beveiligde kanaal. Elke kwetsbaarheid versterkt dezelfde conclusie: native beveiliging werkt alleen als de implementatie foutloos is en de configuratie strikt. Op een fabrieksvloer met verouderde firmware en beperkte OT-beveiligingsexpertise gaat die aanname zelden op.
Waarom Modbus nooit ontworpen is om veilig te zijn
Modbus is het oudste en meest gebruikte industriële protocol. De populariteit komt voort uit de eenvoud: het protocol leest en schrijft registers (16-bits waarden) en spoelen (1-bits waarden). Meer niet. Die eenvoud is ook de grootste zwakte.
Het protocol bestaat in drie hoofdvarianten. Modbus RTU communiceert via seriële verbindingen (RS-485 of RS-232) met behulp van slave-ID’s. Modbus ASCII is een minder efficiënte seriële variant die leesbare tekens gebruikt. Modbus TCP/IP verpakt Modbus frames in TCP pakketten over poort 502 en is de variant die het meest blootgesteld wordt aan netwerkgebaseerde aanvallen.
Geen van deze varianten bevat enige vorm van beveiliging. Geen enkele authenticatie verifieert of een commando afkomstig is van een geautoriseerd SCADA-systeem of van de laptop van een aanvaller. Geen versleuteling beschermt gegevens tijdens het transport, dus proceswaarden en besturingscommando’s worden in platte tekst verzonden. Aanvallers kunnen standaard functiecodes misbruiken om registers te schrijven, setpoints te wijzigen, motoren te stoppen of kleppen te openen. En omdat Modbus geen sessietracking of tijdstempels heeft, kunnen legitieme commando’s naar believen worden opgenomen en herhaald.
In 2018 introduceerde de Modbus-organisatie Modbus/TCP Security, dat het verkeer verpakt in een TLS-tunnel voor wederzijdse authenticatie en versleuteling. Adoptie in 2026 blijft minimaal. Veel PLC’s en RTU’s draaien op 8-bits microcontrollers met kilobytes geheugen, die fysiek niet in staat zijn om cryptografische TLS-bewerkingen uit te voeren. De latentie die TLS toevoegt is onacceptabel in real-time processen waar milliseconden van belang zijn. En het beheren van duizenden digitale certificaten op een fabrieksvloer zonder betrouwbare internetverbinding is een logistieke uitdaging waar de meeste OT-teams niet op zijn voorbereid.
Het resultaat: Modbus-apparaten die vandaag de dag worden verkocht, werken nog steeds standaard met de niet-versleutelde variant voor achterwaartse compatibiliteit.
Hoe aanvallers de IT-OT brug exploiteren
Het aanvalspad is consistent voor alle incidenten. Het begint in het IT-netwerk, niet op de fabrieksvloer.
Een aanvaller krijgt aanvankelijk toegang via phishing, diefstal van referenties of een kwetsbaar publiek systeem. Van daaruit bewegen ze zich zijdelings door de IT-omgeving totdat ze een systeem bereiken dat een brug vormt tussen IT en OT. Dit kan een engineering-werkstation zijn met dubbele netwerkverbindingen, een slecht geconfigureerde firewall of een VPN van een leverancier dat brede toegang verleent tot het productienetwerk. Eenmaal in het OT-segment maken het gebrek aan authenticatie in Modbus en de frequente verkeerde configuratie van OPC-UA protocolmanipulatie eenvoudig.
Gegevens uit de industrie ondersteunen dit patroon. Dragos meldt dat meer dan 75% van de OT-incidenten hun oorsprong vinden in het IT-netwerk, met laterale beweging als primaire techniek. De gemiddelde verblijftijd in OT-omgevingen, de periode dat een aanvaller onopgemerkt blijft, ligt rond de 42 dagen. Dat geeft aanvallers weken de tijd om processen in kaart te brengen, kritieke controllers te identificeren en hun aanval te plannen.
Europa is een primair doelwit geworden voor operationeel gemotiveerde aanvallen. Groepen als ELECTRUM hebben vernietigende operaties uitgevoerd tegen energie-infrastructuur in Oekraïne en Polen, gericht op warmte- en duurzame energiesystemen. Waterbedrijven in verschillende Europese landen hebben melding gemaakt van inbraken via aan het internet blootgestelde HMI’s met standaardgegevens of bekende Modbus-exploits. De verschuiving van spionage naar actieve verstoring betekent dat de gevolgen van een OT-inbreuk niet langer beperkt blijven tot diefstal van gegevens. Ze strekken zich uit tot fysieke schade, productieverlies en openbare veiligheid.
Hoe deze aanvalspaden in de praktijk werken, wordt nader besproken in onze IT-OT convergentiegids, waarin drie specifieke scenario’s worden besproken en de controlemechanismen die elk van deze scenario’s tegenhouden.
Huidige benaderingen en waarom ze tekortschieten
De meeste organisaties vertrouwen op een of meer van deze methoden om industriële netwerken te beschermen. Elke methode pakt een deel van het probleem aan.
| Benadering | Wat het doet | Beperking |
|---|---|---|
| VLAN-segmentatie | Scheidt netwerken in zones | Vlak binnen segmenten, geen protocolinspectie, geen controle op apparaatniveau |
| Industriële firewall (DPI) | Filtert OT-verkeer op opdrachtniveau | Duur per site, complex regelbeheer, voegt latentie toe, bypass hardware nodig voor failover |
| OT-bewaking (Claroty, Nozomi, Dragos) | Detecteert anomalieën via passieve netwerktap | Alleen reactief, kan een lopende aanval niet voorkomen |
| Gegevensdiodes | Dwingt eenrichtingsverkeer af | Blokkeert legitieme tweerichtingscommunicatie die nodig is voor veel OT-workflows |
| Jump-servers | Biedt een gecontroleerd toegangspunt tot OT | Single point of failure, geen isolatie per apparaat, brede toegang zodra aangesloten |
De kloof is duidelijk. VLAN-segmentatie en firewalls werken op netwerkniveau, maar kunnen geen beleid per apparaat afdwingen. OT-monitoringtools bieden zichtbaarheid maar geen preventie. Datadiodes zijn te beperkend voor omgevingen die tweerichtingscommunicatie nodig hebben. Jump-servers concentreren risico’s in plaats van de controle te verdelen.
Wat ontbreekt is een aanpak die preventie combineert met granulariteit per apparaat, die werkt zonder agents op het eindpunt en die past in een bredere beveiligingsarchitectuur in plaats van op zichzelf te staan. Voor context over waarom netwerksegmentatie alleen tekortschiet in 2026, behandelt de gekoppelde gids de evolutie van VLAN’s naar isolatie op basis van identiteit.
Hoe inline isolatie beschermt zonder agents
Inline isolatie heeft een fundamenteel andere benadering. In plaats van te proberen kwaadaardig verkeer te identificeren in een stroom van toegestane communicatie, wordt uitgegaan van nul vertrouwen: niets mag doorgelaten worden tenzij het expliciet is toegestaan.
De NIAC-hardware (Network Isolation Access Controller) van Jimber bevindt zich fysiek tussen het OT-apparaat en de netwerkswitch. Er is geen software nodig op de PLC, HMI of sensor. Het apparaat inspecteert en controleert al het verkeer dat er doorheen gaat op basis van expliciete toestemmingsregels. Een PLC die moet communiceren met een specifieke MES-server krijgt een beleid dat precies dat pad toestaat. Alle andere communicatie wordt standaard geblokkeerd.
Zie het als een sluizenstelsel in een kanaal. Verkeer stroomt alleen door gedefinieerde kanalen, in gedefinieerde richtingen, naar gedefinieerde bestemmingen. Al het andere komt door een gesloten poort.
De NIAC identificeert apparaten door middel van verkeersfingerprinting op basis van MAC-adres, communicatiepatronen en deep packet inspection-handtekeningen. Het leert normaal gedrag in de bewakingsmodus voordat het overschakelt naar handhaving. Deze gefaseerde aanpak betekent dat de productie nooit wordt onderbroken tijdens de implementatie. Een typische productievloer in het middensegment van de markt met 20 tot 50 kritieke apparaten kan volledig worden gedekt in dagen, niet in maanden.
Omdat NIAC deel uitmaakt van het uniforme SASE-platform van Jimber, beheert dezelfde console die ZTNA voor kantoorpersoneel en SWG-beleid voor webverkeer beheert, ook het isolatiebeleid voor fabrieksapparaten. IT- en OT-beveiliging bevinden zich op één plek. Dit is de IT-OT brug in de praktijk: geen standalone OT-beveiligingsproduct, maar een uitbreiding van dezelfde Zero Trust-architectuur die je IT-omgeving al beschermt.
Specifiek voor productieomgevingen behandelt de gekoppelde handleiding in detail de inzetpatronen voor PLC’s, HMI’s en productielijnen.
IEC 62443 en NIS2: wat naleving verwacht
Twee regelgevende kaders bepalen hoe Europese fabrikanten de beveiliging van industriële protocollen moeten benaderen.
IEC 62443 definieert een zone- en leidingmodel voor industriële automatiseringsbeveiliging. Activa worden gegroepeerd in beveiligingszones en alle communicatie tussen zones verloopt via gecontroleerde leidingen. Hoewel het niet wettelijk verplicht is in België, verwijst het CyberFundamentals (CyFun)-raamwerk naar de IEC 62443-principes en fabrikanten in gereguleerde sectoren zoals de farmaceutische industrie, de voedingsindustrie en de energiesector gebruiken dit raamwerk vaak als basis.
NIS2 is wettelijk bindend. De Belgische omzetting vereist dat essentiële entiteiten proportionele technische maatregelen voor risicobeheer implementeren, significante incidenten binnen 24 uur melden aan de CCB en aansprakelijkheid op bestuursniveau aanvaarden voor niet-naleving. Het CyFun-kader vertaalt deze verplichtingen in concrete controles.
Verschillende besturingselementen van CyFun maken direct gebruik van de bescherming die inline isolatie biedt:
| CyFun-besturing | Relevantie voor OPC-UA / Modbus | Hoe NIAC dit aanpakt |
|---|---|---|
| AC-3.2 Toegangscontrole | Beperken wie commando’s kan verzenden naar industriële apparaten | Alleen geautoriseerde systemen kunnen de PLC bereiken via de NIAC-grens. |
| PR.AC-4 Netwerkbeveiliging | Kritieke segmenten isoleren volgens IEC 62443 | Barrière op hardwareniveau tussen IT en OT, handhaving per apparaat |
| SC-7 Grensbeveiliging | Verkeer regelen op de IT-OT grens | NIAC fungeert als inline poortwachter voor alle grensoverschrijdende gegevensuitwisseling |
Essentiële entiteiten moeten hun eerste CyFun-zelfevaluatie op basis- of belangrijk niveau tegen april 2026 indienen. Voor veel productiebedrijven is het inzetten van een IT-OT bridge de snelste manier om te voldoen aan de eisen voor segmentatie en toegangscontrole zonder het bestaande netwerk opnieuw te ontwerpen. De gids voor apparaatpostuurcontroles laat zien hoe postuurverificatie kan worden gekoppeld aan aanvullende CyFun-controles voor beheerde eindpunten.
De gecentraliseerde logging van Jimber omvat het NIS2-audittraject voor OT-toegang. Elke verbindingspoging, elke beleidsbeslissing, elke geblokkeerde communicatie wordt vastgelegd in dezelfde console die IT-beveiligingsgebeurtenissen afhandelt. Wanneer auditors vragen om bewijs dat je microsegmentatiecontroles ook van toepassing zijn op industriële apparaten, kun je dit vanuit één interface aantonen.
Veelgestelde vragen
Kun je Modbus beveiligen zonder de PLC’s te vervangen?
Ja. Inline isolatie werkt op netwerkniveau, tussen de PLC en de switch. De PLC heeft geen nieuwe firmware, nieuwe software of enige aanpassing nodig. De NIAC-appliance dwingt de communicatieregels extern af, zodat de PLC precies zo blijft werken als voorheen. Alleen het verkeer dat kan worden verzonden en ontvangen verandert.
Voegt inline isolatie latency toe aan productieverkeer?
De vertraging die wordt toegevoegd door NIAC-hardware wordt gemeten in microseconden, niet in milliseconden. Voor de overgrote meerderheid van industriële processen, inclusief processen die Modbus RTU/TCP en OPC-UA gebruiken, is dit niet detecteerbaar. Realtime processen met vereisten van submilliseconden moeten worden getest tijdens de bewakingsfase voordat de handhaving wordt geactiveerd.
Waarin verschilt inline isolatie van een firewall?
Een firewall inspecteert het verkeer dat er doorheen gaat en probeert kwaadaardige patronen te identificeren. Het vereist complexe regelsets, introduceert meetbare latentie tijdens deep packet inspectie en faalt open of gesloten afhankelijk van de configuratie. Inline isolatie start vanuit een standaard-deny houding. Er gaat geen verkeer door tenzij er een specifieke allow regel bestaat. Het werkt per apparaat in plaats van per segment en het vereist geen regelsets die groeien met elke nieuwe toepassing of protocol.
Welke industriële protocollen worden door inline isolatie ondersteund?
NIAC werkt op netwerkniveau en is protocolagnostisch in zijn handhavingsmodel. Het regelt welke apparaten met welke bestemmingen kunnen communiceren, ongeacht of het verkeer gebruikmaakt van Modbus TCP, OPC-UA, BACnet, PROFINET, EtherNet/IP of bedrijfseigen protocollen. Protocol-specifiek beleid kan bovenop de isolatie op netwerkniveau worden gelaagd.
Heb ik OT-bewaking EN inline isolatie nodig?
Ze dienen verschillende doelen. OT-monitoringprogramma’s zoals Claroty, Nozomi of Dragos geven inzicht in wat er op het netwerk gebeurt en detecteren afwijkingen. Inline isolatie voorkomt dat onbevoegde communicatie überhaupt plaatsvindt. Monitoring vertelt je dat er iets ongewoons is gebeurd. Isolatie zorgt ervoor dat het een kritisch apparaat niet kan bereiken. De sterkste houding combineert beide: preventie door isolatie, detectie door monitoring.
Hoe past dit in een bredere SASE architectuur?
NIAC is een onderdeel van Jimbers SASE-platform. Dezelfde beheerconsole die ZTNA, SWG, FWaaS en SD-WAN beheert, beheert ook het NIAC-beleid. Dit betekent dat IT-teams geen aparte tool, aparte training of aparte rapportage nodig hebben voor OT-beveiliging. Fabrieksapparaten verschijnen naast kantoorapparaten in één policy engine, met uniforme logging voor compliance.
Klaar om Zero Trust uit te breiden naar de fabrieksvloer zonder agents, downtime of een netwerk herontwerp? Boek een demo en bekijk hoe NIAC in uw productieomgeving past.
