De aandacht voor cyber security is nog steeds stijgende; in de media, binnen het publieke domein, maar vooral binnen bedrijven. De aanvallen worden steeds geavanceerder. In het begin waren vooral ‘nerds’ en ‘hackers’ actief, maar nu cyber security steeds meer verweven zit in onze maatschappij, zijn ook bedrijven, niet alleen de grote maar ook mkb-bedrijven, en burgers betrokken bij dit onderwerp. Recent was bijvoorbeeld nog in het nieuws dat data van bedrijven in Nederland als het ware was gegijzeld door ransomware.
Dit laat maar weer zien dat het beveiligen van organisaties er niet makkelijker op geworden is in de afgelopen jaren. Technologische ontwikkelingen gaan razendsnel en per dag worden er duizenden devices aan het internet gekoppeld (internet of things). Deze vervullen vaak een essentiële functie in onze kritische infrastructuur en communiceren regelmatig met elkaar zonder tussenkomst van natuurlijke personen. Organisaties zijn, door deze ‘instrumented & interconnected’-wereld, complexer geworden en hebben moeite om alle ontwikkelingen bij te houden. Ook het beveiligen van deze digitale organisaties is in de loop der jaren niet gemakkelijker geworden.
Verschillende producten aanschaffen
Het is namelijk zo dat om verschillende beveiligingsproblemen op te lossen organisaties verschillende security producten aanschaffen. Dit heeft als gevolg dat organisaties gemiddeld meer dan dertig totverschillende cyber security producten draaien, die niet met elkaar communiceren en zeker niet geïntegreerd zijn tot één overzichtsbeeld. Hierdoor ontstaan kwetsbaarheden in organisaties en krijgen aanvallers, zoals blijkt uit het recente voorbeeld eerder genoemd, een kans van slagen. Bovendien is het huidige cyber security landschap gebaseerd op het principe van ‘trust but verify’. Dit gaat ervan uit dat werknemers zelf goed kunnen besluiten welke informatie zij nodig hebben en daar ook verantwoordelijk mee omgaan. De organisatie zelf controleert dan de acties van de werknemers om fouten recht te trekken. Deze aanpak werkt echter niet omdat de verificatie in de meeste gevallen niet wordt uitgevoerd.
Naar mijn mening moeten wij een ander, simpel concept als de standaard zetten, namelijk zero trust. Zero trust is een strategie waarbij als basis wordt uitgegaan van een ‘untrusted world’. Het is dan ook een beveiligingsbenadering die is ontworpen om inbreuken te voorkomen door het elimineren van vertrouwen in de digitale wereld. 80 procent van datalekken worden namelijk veroorzaakt door het misbruik van toegang door gebruikers blijkt uit onderzoek.
Zero trust werkt door middel van drie principes:
- Alle middelen zijn op een veilige manier toegankelijk, ongeacht de locatie;
- Toegangscontrole is op need-to-know-basis en wordt strikt gehandhaafd;
- Inspecteer en log al het verkeer op het netwerk.
Kroonjuwelen
De beste manier om het zero trust-concept in de organisatie te implementeren, is door te beginnen met het vaststellen van de ‘most value assets’, ofwel de kroonjuwelen van de organisatie. In plaats van naar een dreiging van buitenaf te kijken, moet een organisatie een risico assessment doen van binnenuit. Wat zijn mijn kroonjuwelen, waar bevinden die zich en wie heeft hier toegang tot? Externe dreigingen zijn een gegeven omdat we leven in een ‘untrusted world’ en om deze kroonjuwelen goed te beschermen moet alle belangrijke assets in de organisatie gelogd en gemonitord worden. Vanuit de risico-analyse kun je vervolgens je zero trust-netwerk gaan ontwikkelen rondom je meest belangrijke data zodat je een goed overzicht krijgt van het gehele it-landschap van je organisatie. Wees niet bang, je bestaande beveiligingsnetwerk hoeft niet volledig vervangen te worden, want je kan starten met zero trust vanuit het netwerk dat je al hebt.
Als organisatie moet je dus je beveiliging met compliance in gedachten gaan ontwikkelen van binnenuit. Inspecteer en log al het verkeer dat in een netwerk plaatsvindt en zorg ervoor dat security in het dna van het netwerk vastligt. In het huidige cybersecurity-landschap kunnen wij de basis niet meer bouwen op het principe van ‘trust and verify’, maar zal de overstap gemaakt moeten worden naar ‘verify and never trust’. Door middel van het gebruik van de zero trust strategie bescherm jij je meest belangrijke data en verminder je de cybersecurity risico’s over jouw netwerk, endpoints en cloud.
