Remote Access naar OT: Hoe doe je dat veilig?

Leer hoe je veilige remote toegang tot OT inricht met Zero Trust, Identity Management en alternatieven voor VPN & TeamViewer – inclusief Azure-oplossingen.

Operational Technology
Roel van den Bleek
10/7/2025

Remote toegang tot OT (Operational Technology) is voor veel bedrijven een actueel onderwerp. Industriële systemen op afstand kunnen monitoren of onderhouden biedt grote voordelen in efficiëntie en responstijd. Tegelijk brengt het serieuze risico's met zich mee als het onveilig wordt ingericht. In dit artikel bespreken we de uitdagingen en risico’s van traditionele remote access zoals TeamViewer of directe VPN-verbindingen, belichten we veilige alternatieven en leggen de link met Zero Trust architectuur en Identity Management

Uitdagingen en Risico’s bij Remote Toegang tot OT

OT-systemen (bijv. DCS, SCADA, PLC’s) zijn ontworpen voor betrouwbaarheid en fysieke veiligheid, vaak zonder sterke ingebouwde IT beveiliging. Wanneer deze industriële netwerken ineens extern toegankelijk worden gemaakt, neemt het "aanvalsoppervlak" toe. Hierbij zijn de belangrijke uitdagingen en risico’s:

  • Wildgroei aan remote access tools: In de praktijk worden OT-netwerken vaak toegankelijk gemaakt met een allegaartje van tools (TeamViewer, VNC, OEM-tools, etc.). Een analyse van 50.000 OT-apparaten liet zien dat 55% minstens vier verschillende remote access tools had draaien. Deze "wildgroei" creëert kwetsbaarheden in de security, zeker als tools geen enterprise-grade security bieden. Veel van deze tools missen basismaatregelen als multi-factor authenticatie (MFA) of RBA (rolgebaseerde rechten).
  • TeamViewer en soortgelijke tools: Gebruiksvriendelijke remote desktop tools zijn populair, maar staan op de radar van hackers. Zo waarschuwde Kaspersky al in 2020 voor aanvallen via TeamViewer op OT-systemen/ICS. In 2023-2024 werden er al incidenten gerapporteerd waarbij malware werd geïnstalleerd via misbruik van TeamViewer. Zo werd er in Florida geknoeid met een waterinstallatie door iemand die onbedoelde toegang kreeg door Teamviewer.
  • Directe VPN-toegang: Traditionele VPN’s creëren vaak een “alles-of-niets” verbinding. Eenmaal verbonden krijgt een externe gebruiker vaak breed netwerktoegang, iets wat je natuurlijk het liefst niet hebt, omdat het in strijd is met het least 'privileges principe' uit de Zero Trust filosofie. Bovendien zijn diefstal van VPN-credentials en misconfiguraties bekende oorzaak van incidenten (bv. de Colonial Pipeline-hack in 2021 begon met een gestolen VPN-wachtwoord). Kortom, VPN’s geven te brede toegang, wat ze een doelwit maakt voor ransomware.
  • Gebrek aan monitoring en logging: Veel remote sessies in OT worden niet of nauwelijks gelogd. Onderzoeksteam Claroty Team82 benadrukt in een whitepaper de meeste legacy tools geen sessie monitoring of auditing hebben maar dat dit wel erg belangrijk is. Zonder inzicht in wie op afstand inlogt en wat er gebeurt, kunnen veranderingen relatief onopgemerkt blijven (totdat het uiteraard misgaat). Zo krijg je nooit grip op incidentrespons en compliancy, die beiden beginnen met maar één ding: inzicht.
  • Third-Party en OEM-access: OT omgevingen vertrouwen op vele externe leveranciers/monteurs voor onderhoud. Het beheren van honderden contractors die remote inloggen is complex en risicovol. Zonder centraal en actief beheer kunnen wachtwoorden gedeeld worden of accounts blijven actief zelfs als een contract afloopt. Ook dit vergroot de kans op misbruik.

Ongecontroleerde of verouderde remote access methoden laten OT-systemen kwetsbaar voor aanvallers. Nu is de tijd voor organisaties om te beseffen dat remote toegang een van de meest gevaarlijk kwetsbaarheden is in de OT.

Even inzoomen: Waarom TeamViewer en traditionele VPN tekortschieten

Laten we iets dieper ingaan op de twee veelgebruikte oplossingen – TeamViewer-achtige tools en VPN – en waarom ze in een moderne OT-securitystrategie tekortschieten:

TeamViewer (en soortgelijke tools)

Deze tools zijn handig om op afstand in te loggen, maar ze zijn vaak niet veilig genoeg. Ze draaien op het apparaat zelf (zoals een bedieningspaneel) en zijn soms de enige laag tussen het internet en een belangrijk systeem. Dat is gevaarlijk: als de TeamViewer-client op een HMI (Human-Machine Interface) bijvoorbeeld niet up-to-date is of slecht geconfigureerd, kan een aanvaller deze overnemen en directe controle krijgen over het systeem. Bovendien vertrouwen deze tools vaak op vaste ID’s of wachtwoorden.

Zo is een veelvoorkomende bad practice: het delen van één TeamViewer-account voor meerdere technici, wat helaas vaak voorkomt uit praktisch oogpunt. Ook is de monitoring vaak beperkt: zonder sessierecording weet je achteraf niet welke wijzigingen een technicus heeft gedaan. Tot slot lopen deze tools achter in het toepassen van Zero Trust principes, waarbij je uitsluitend bij de delen kan waar je wat te zoeken hebt, én je ook herhaald moet bewijzen dat jij het daadwerkelijk bent. Om nog even te refereren naar de hack van de waterinstallatie in Florida; die had zo voorkomen kunnen worden.

Directe VPN-toegang

Traditionele VPN’s zijn lange tijd de standaard geweest, maar ze passen niet goed bij OT omgevingen. Zoals eerder genoemd schenden ze netwerksegmentatie en least privilege principes. Ook operationeel zijn er nadelen: VPN-verbindingen blijven vaak lang openstaan, ook als de gebruiker ze niet actief nodig heeft. Hiermee staat er een poort open die door aanvallers misbruikt kan worden (denk aan kwetsbare, ongepatchte VPN-servers). Daarnaast zorgt een VPN ervoor dat al het verkeer van de  gebruiker het (OT-)netwerk in kan stromen – inclusief potentiële malware, wat productieprocessen kan verstoren of veiligheidsmechanismen kan uitschakelen.

Kortom; er is brede consensus dat “gewoon een VPN’tje openzetten” niet voldoet voor een sterke OT-security.

Veilige Alternatieven en Best Practices voor OT Remote Access

Gelukkig zijn er inmiddels diverse veilige alternatieven voor TeamViewer of directe VPN, die beter aansluiten bij OT. Deze oplossingen hanteren principes als Zero Trust Network Access (ZTNA), least privilege, sterke identiteit- en toegangscontrole, en uitgebreide logging. Belangrijke pijlers van een veilige OT remote access aanpak:

1. Zero Trust Network Access (ZTNA) in plaats van VPN

Zero Trust is het beveiligingsprincipe van “nooit vertrouwen, altijd verifiëren”. Toegang wordt niet verleend op basis van netwerkpositie (zoals via VPN), maar per sessie op basis van identiteit, context en continu valideerbare criteria. Voor remote OT-toegang betekent dit concreet:

  • Specifieke toegang per applicatie of asset: In plaats van een heel OT-netwerk beschikbaar te maken via VPN, biedt ZTNA alleen toegang tot specifieke OT-systemen of applicaties waarvoor de gebruiker geautoriseerd is. Bijvoorbeeld: een leverancier heeft enkel toegang tot het HMI-systeem van lijn 3, niets anders. Dit beperkt de impact van een eventuele hack drastisch.
  • Micro-segmentatie & “invisibility”: ZTNA zorgt ervoor dat OT-systemen niet zichtbaar zijn voor onbevoegden. Apparaten zoals applicaties of PLC’s zijn niet direct bereikbaar vanaf het internet. Een gebruiker moet eerst inloggen via de ZTNA-broker. Pas daarna wordt er een veilige verbinding opgezet naar dat ene apparaat. Hierdoor is er minder kans op aanvallen, omdat kwaadwillenden in de eerste instantie niets kunnen vinden om aan te vallen.
  • Continue verificatie: Waar een VPN meestal éénmaal bij inloggen authenticatie vereist, blijft Zero Trust je de hele sessie door controleren. Bij elke actie wordt gekeken of die veilig en toegestaan is. Bijvoorbeeld: je krijgt een extra MFA-check bij gevoelige handelingen, of het systeem merkt afwijkend gedrag op en blokkeert direct de sessie.
  • Contextuele policies: Zero Trust kan devices en context meewegen. Alleen een vooraf-geautoriseerde, veilige laptop mag de OT-omgeving in. Zo kun je eisen dat externe verbindingen uitsluitend komen van laptops met actuele patches, encryptie, antivirus etc. Dit voorkomt dat een onbeveiligd device vol malware toegang krijgt.

Kortom, een Zero Trust aanpak biedt een veel veiliger alternatief voor VPN. Diverse oplossingen bieden dit, zoals Palo Alto Prisma Access, Cloudflare Access, maar ook Microsoft’s eigen Azure AD Entra Private Access. Deze oplossingen zorgen ervoor dat remote gebruikers alleen bij de strikt nodige OT-bronnen kunnen, via een beveiligde verbinding. Praktisch gezien: zelfs al zou een aanvaller de inloggegevens van een leverancier bemachtigen, hij kan daarmee niet zomaar rondzwerven door het OT-netwerk.

2. Identity & Access Management (IAM)

Identiteit staat centraal in Zero Trust, niet IP-adressen. Voor veilige OT-remote access betekent dit:

  • Unieke accounts + rolgebaseerde toegang: Geen gedeelde logins meer. Elke gebruiker krijgt een persoonlijk account met toegang tot alleen wat nodig is (least privilege).
  • MFA verplicht: Externe toegang altijd via MFA en versleutelde verbinding.
  • Leveranciersbeheer: Gebruik guest accounts of federated identity (bv. Azure AD B2B) om externe partijen veilig toegang te geven.
  • Just-In-Time access: Tijdelijke toegang op aanvraag, automatisch verlopen na gebruik.
  • Sterk beleid op apparaten/netwerk: Gebruik Conditional Access om toegang te koppelen aan device status, tijd, locatie, etc.

Met integratie van IAM in OT-remote access wordt “OT-beheer op afstand” een gecontroleerd en centraal beheerd verlengstuk van je bestaande securitybeleid. Geen losse VPN-accounts meer die blijven hangen na een project: je CISO en IT-beheer beheren alles vanuit één centrale plek.

3. Netwerksegmentatie

Een sterke, goed gescheiden netwerk-architectuur voorkomt dat een aanvaller vrij spel heeft als 'ie eenmaal binnen is. De best practices op een rij:

  • IT/OT-scheiding via DMZ: Gebruik een dubbele firewall met "DMZ/landingszone" tussen IT en OT. Remote access moet eerst landen in deze bufferzone, niet direct op OT.
  • Jump servers / secure gateways: Laat externen niet direct inloggen op OT-assets, maar via een beveiligde tussenstap. Deze jump host moet sterk beveiligd zijn (MFA, patching, logging). Zo beperk je toegang, log je alles en isoleer je sessies.
  • Aparte managed netwerken: Laptops van bijvoorbeeld monteurs mogen niet rechtstreeks in OT. Ze verbinden eerst met een apart beheernetwerk en gaan via jump servers naar OT. Zo voorkom je besmetting van OT vanuit een ongecontroleerd device.
  • Protocol-isolatie & minimale rechten: Geef alleen toegang tot wat echt nodig is. Zo beperk je risico op misbruik of ongewenste tools.

Een goed gesegmenteerd netwerk is als een modern kantoorpand met badge-toegang per verdieping: je komt alleen op de verdieping waar je moet zijn, en alle andere deuren blijven dicht. Zo blijft toegang beperkt en is de impact van een inbraak minimaal.

4. Monitoring, Logging en Auditing van Remote Sessions

Veiligheid begint bij inzicht. Je kunt immer niet beveiligen wat je niet kunt zien. Hoe doe je dat het best?

  • Log alles: Registreer wie wanneer wat doet tijdens remote OT-toegang. Gebruik tools met session recording om acties vast te leggen voor (latere) audits.
  • Active monitoring: Koppel logging aan je SOC of SIEM voor detectie van verdachte activiteiten, zoals ongebruikelijke firmware-updates of brute-force pogingen.
  • Periodieke reviews: Evalueer elk kwartaal wie toegang heeft, of dat nog nodig is, en trek overbodige rechten in. Zero Trust en Least privilege vereisen simpelweg actief beheer.
  • Leveranciersbeheer: Leg in contracten vast dat externe partijen alleen via jouw beveiligde toegangskanaal werken, MFA gebruiken en jouw beleid volgen. Controleer dit via periodieke audits en door zelf accounts uit te geven.

Conclusie

Remote toegang tot OT vereist een combinatie van Zero Trust-principes, sterke identiteit- en toegangscontrole, netwerksegmentatie en continue monitoring. Traditionele tools zoals VPN of TeamViewer schieten tekort in inzicht en beveiliging. Moderne oplossingen faciliteren beperkte toegang tot het strikt noodzakelijke, controleren sessies en zorgen via MFA, logging en jump servers voor grip en inzicht. Daarmee sluiten ze beter aan bij de huidige dreigingen én regelgeving.

Geschreven door:

Roel van den Bleek, Sales & Marketing Manager Aumatics

Roel van den Bleek

Sales Manager

Roel is verantwoordelijk voor de Sales en Marketing binnen Aumatics. Met een rijke ervaring en een passie voor IT geeft Roel adviezen precies op maat.

Benieuwd hoe we jouw organisatie verder kunnen helpen?

Neem vrijblijvend contact met ons op. Wij inventariseren jouw IT omgeving, en kijken graag en vrijblijvend wat we voor jou kunnen betekenen.

Microsoft Gold Partner
24/7 beveiliging
Breed partnernetwerk

Boek vandaag nog een vrijblijvend adviesgesprek!

Benieuwd hoe we jou kunnen helpen?

We nemen binnen 1 werkdag contact met je op!
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.