Omdat het standaard IEC 60870-5-104 protocol geen ingebouwde encryptie heeft, bespreken we in dit artikel specifiek hoe je jouw verbindingen toch veilig houdt.

EC 60870-5-104 beveiliging is een uitdaging als je installaties op afstand wilt beheren. Het protocol is ontworpen in een tijd dat OT-netwerken gesloten waren en security nauwelijks een rol speelde. Tegenwoordig hangt alles aan IP-netwerken en internet, en wordt remote toegang bijna standaard van je verwacht.

Hoe zorg je dan voor een veilige, versleutelde verbinding zonder je bestaande IEC 60870-5-104 installaties ingrijpend te hoeven aanpassen? In dit artikel nemen we je stap voor stap mee.

Wat is IEC 60870-5-104 en waarom is beveiliging een probleem?

Als je met IEC 60870-5-104 beveiliging aan de slag gaat, is het belangrijk om eerst te begrijpen hoe het protocol werkt en waar de zwakke plekken zitten.

IEC 60870-5-104 is een telecontrol-protocol voor communicatie tussen:

  • veldapparatuur (RTU’s, gateways, IED’s)
  • en centrale systemen (SCADA, dispatching centers)

-> Een uitgebreide technische beschrijving van het IEC 60870-5-104 protocol vindt je in onze IEC 60870-5-104 documentatie.

De ‘-104’ variant draait bovenop TCP/IP. Dat is handig voor integratie met moderne netwerken, maar het brengt direct een belangrijk nadeel met zich mee:

  • IEC 60870-5-104 heeft zelf geen ingebouwde versleuteling.
    Er is geen standaard TLS, geen integrale authenticatie of integriteitscontrole zoals je die kent van moderne IT-protocollen.

Gevolg:
Zodra je 104-communicatie buiten een strikt afgeschermd intern netwerk brengt (bijvoorbeeld naar de cloud of over het internet), moet je zelf extra beveiligingslagen toevoegen.

Dreigingen rond IEC 60870-5-104

Zonder aanvullende beveiliging loop je bij IEC 60870-5-104 onder meer deze risico’s:

  1. Afluisteren (sniffing)
    Verkeer is plain text. Een aanvaller die netwerkverkeer kan onderscheppen, kan meetwaarden, commando’s en soms zelfs configuratiegegevens uitlezen.
  2. Man-in-the-middle-aanvallen
    Verkeer kan worden gemanipuleerd en doorgestuurd, terwijl beide kanten denken met een legitieme partij te praten.
  3. Spoofing en ongeautoriseerde commando’s
    Zonder sterke authenticatie is het mogelijk dat een aanvaller zich voordoet als een remote station of controlecentrum.
  4. DoS/DDoS-aanvallen
    IEC 60870-5-104 apparaten zijn vaak niet ontworpen om grote hoeveelheden malafide verkeer af te handelen. Beschikbaarheid kan daardoor eenvoudig in gevaar komen.
  5. Laterale beweging in het OT-netwerk
    Zodra een aanvaller via een zwakke plek binnenkomt, kan hij zich soms vrij bewegen naar andere kritieke systemen.

Daarom is IEC 60870-5-104 beveiliging niet alleen een kwestie van “iets versleutelen”, maar van een complete beveiligingsarchitectuur.

Beveiligingsprincipes voor IEC 60870-5-104

Voordat we naar concrete oplossingen gaan, is het belangrijk om de basisprincipes te benoemen:

  1. Defense in depth
    Niet vertrouwen op één enkele beveiligingslaag (bijv. alleen een firewall), maar meerdere verdedigingslinies combineren.
  2. Segmentatie van OT en IT
    Houd controle-netwerken gescheiden van kantoor- en internetnetwerken, bijvoorbeeld met VLAN’s, firewalls en een DMZ.
  3. Least privilege & need-to-know
    Alleen toegang geven tot die systemen en functies die echt nodig zijn voor de taak.
  4. Zero trust-benadering
    Ga er niet vanuit dat verkeer binnen het “interne netwerk” automatisch betrouwbaar is; controleer identiteit en rechten actief.
  5. Monitoring en logging
    Zorg dat je afwijkingen in IEC 60870-5-104 verkeer en in login-activiteiten kunt detecteren en onderzoeken.

Opties voor een versleutelde verbinding

Omdat IEC 60870-5-104 zelf geen encryptie kent, moet de versleutelde verbinding buiten het protocol worden gerealiseerd. De twee meest gebruikte benaderingen:

1. VPN-tunnel rond IEC 60870-5-104

Een veel toegepaste oplossing is om IEC 60870-5-104 verkeer door een VPN-tunnel te sturen, bijvoorbeeld met IPsec of OpenVPN/WireGuard.

Werking in het kort:

  • Aan de veldzijde plaats je een industriële router/gateway met VPN-functie.
  • Aan de centrale zijde (datacenter of cloud) staat een VPN-concentrator / gateway.
  • Tussen die twee wordt een versleutelde tunnel (site-to-site of client-to-site) opgezet.
  • Binnen die tunnel loopt “gewoon” IEC 60870-5-104 verkeer.

Voordelen:

  • Sterke versleuteling (afhankelijk van de gekozen VPN-technologie).
  • Bestaande IEC 60870-5-104 apparatuur hoeft vaak niet aangepast te worden.
  • Schaalbaar: meerdere stations kunnen via één centrale VPN-terminatie ontsloten worden.

Aandachtspunten:

  • Beheer van certificaten en sleutels is cruciaal.
  • Zorg voor duidelijke segmentatie binnen de VPN (dus niet: “alles in één platte VPN-laag”).
  • Stel precieze firewallregels in: welk IP mag met welk station communiceren en op welke poorten?

2. End-to-end-versleuteling via gateways (bijv. TLS)

Een andere aanpak is om aan de rand van het OT-netwerk een security gateway te plaatsen die:

  • aan de veldkant IEC 60870-5-104 spreekt;
  • aan de andere kant versleuteld communiceert (bijvoorbeeld via TLS of een ander beveiligd protocol) richting SCADA of cloud.

Voordelen:

  • Je creëert een duidelijke scheiding tussen “onbeveiligd intern 104” en “beveiligd extern verkeer”.
  • Integratie met moderne IT- of cloud-oplossingen wordt eenvoudiger, omdat die vaak standaard TLS begrijpen.

Aandachtspunten:

  • De gateway wordt een cruciale beveiligingscomponent; hoge betrouwbaarheid en goed beheer zijn vereist.
  • Let op performance: encryptie kost rekenkracht.

Netwerkarchitectuur: zo beperk je het risico

IEC 60870-5-104 beveiliging is niet alleen techniek in de verbinding, maar ook hoe je het netwerk opbouwt.

Segmentatie en DMZ

Een veelgebruikt patroon:

  1. OT-netwerk
    Hier zitten de IEC 60870-5-104 apparaten (RTU’s, stations, etc.). Dit netwerk is strikt afgeschermd.
  2. DMZ (demilitarized zone)
    Hier plaats je onder andere:

    • VPN-terminatie
    • Security gateways
    • Historian/collectors die data doorzetten naar de IT-wereld
  3. IT-netwerk / kantoor / cloud
    Gebruikers, dashboards, rapportages, enzovoort.

Tussen deze zones zitten strikt geconfigureerde firewalls met:

  • alleen noodzakelijke poorten open (zoals TCP-poort 2404 voor 104, indien nodig);
  • whitelisting van IP-adressen waar mogelijk;
  • inspectie en logging.

Authenticatie en toegangsbeheer

  • Gebruik sterke authenticatie voor remote operators en engineers (bij voorkeur 2FA).
  • Zorg voor rolgebaseerde toegang (operator, engineer, beheerder) met duidelijke rechten.
  • Documenteer wie toegang heeft tot welke installatie en via welke weg.

Stappenplan: IEC 60870-5-104 beveiliging in de praktijk

  1. Inventariseer je omgeving
    • Welke IEC 60870-5-104 apparaten heb je?
    • Waar staan ze (locaties, netwerken)?
    • Hoe loopt de communicatie nu (paden, routers, firewalls)?
  2. Bepaal de gewenste use cases voor remote toegang
    • Alleen monitoring?
    • Ook besturing (commando’s)?
    • Onderhoud door externe partijen?
  3. Kies je beveiligingsarchitectuur
    • VPN-tunnel + segmentatie
    • Security gateways met versleutelde uplink
    • Of een combinatie
  4. Implementeer versleuteling en segmentatie
    • Richt VPN- of TLS-verbindingen in.
    • Scheid OT-, DMZ- en IT-netwerken met firewalls.
    • Stel strikte regels in voor wie met wie mag praten.
  5. Test met een beperkt aantal installaties
    • Valideer performance (latency, bandbreedte).
    • Verifieer dat alle benodigde functies (alarmering, commando’s, tijdsynchronisatie) blijven werken.
  6. Rol gefaseerd uit en borg beheer
    • Patchmanagement voor gateways en routers.
    • Certificaatbeheer en rotatie van sleutels.
    • Monitoring en logging inrichten.

Veelgemaakte fouten bij IEC 60870-5-104 beveiliging

Enkele valkuilen die je beter kunt voorkomen:

  • IEC 60870-5-104 rechtstreeks op internet publiceren
    Bijvoorbeeld door simpelweg poort 2404 te forwarden naar een RTU. Dit is extreem risicovol.
  • Geen scheiding tussen OT en IT
    Eén groot vlak netwerk maakt het een aanvaller heel gemakkelijk zich lateraal te verplaatsen.
  • VPN zien als enige beveiliging
    Een VPN zonder goede segmentatie, logging en toegangsbeheer is slechts een gedeeltelijke oplossing.
  • Geen aandacht voor beheer
    Verlopen certificaten, nooit geüpdatete firmware en onbekende configuratiewijzigingen zijn op termijn een groot risico.

Conclusie: IEC 60870-5-104 beveiliging is haalbaar, mits goed doordacht

IEC 60870-5-104 beveiliging vraagt om een combinatie van:

  • versleutelde verbindingen (bijvoorbeeld via VPN of TLS-gateways);
  • netwerksegmentatie en firewalls tussen OT, DMZ en IT;
  • strak toegangsbeheer en monitoring.

Het goede nieuws:
In veel gevallen kun je je bestaande IEC 60870-5-104 installaties blijven gebruiken en de beveiliging eromheen organiseren. Zo maak je remote toegang veilig, zonder een complete vervanging van je veldapparatuur.

Wil je:

  • Je eigen omgeving laten beoordelen?
    Vraag een (gratis) IEC 60870-5-104 security quickscan aan.
  • Zien hoe wij dit bij andere klanten oplossen?
    Lees onze cases over OT- en IEC 60870-5-104 projecten.
  • Eerst meer over ons weten?
    Maak kennis met ons team en onze achtergrond op de pagina Over ons.

Kies wat nu het beste bij je past; je zit nergens aan vast.

In dit artikel

Categorieën: IEC 60870-5-104

Meer artikelen van Remote

Meld je aan voor de nieuwsbrief