In de digitale wereld kunnen we niet meer klakkeloos uitgaan van het vertrouwen in de medemens. Elk bericht dat je ontvangt via e-mail, WhatsApp, LinkedIn en andere sociale-mediakanalen moeten we controleren op de identiteit van de afzender. We nemen een argwanende houding aan die we aanduiden als zero-trust. Wantrouwen is soms lastig. Zowel privé als zakelijk zijn we gewend om dingen op informele wijze snel voor elkaar te krijgen.
Ook als we iemand als persoon goed kennen, zullen we nog steeds moeten verifiëren of diens digitale identiteit hoort bij het ontvangen bericht. Zero-trust is geen cybersecuritygereedschap. Je kan het niet als product kopen. Het is de gedachtegang achter een beleid om medewerkers, organisaties en processen veilig digitaal te laten (samen)werken. Zero-trust kent drie algehele uitgangspunten:
- Nooit vertrouwen, altijd verifiëren;
- Zo min mogelijk privileges creëren bij het toekennen van toegangsrechten;
- Ga ervanuit dat een cyberaanval zich hoe dan ook gaat voordoen.
Je kunt deze uitgangspunten hanteren in zowel je privé-situatie als op je werk. Ze gelden voor kleine en grote bedrijven.
Vliegvelden
Is zero-trust nieuw? Nee, feitelijk passen alle vliegvelden wereldwijd dit principe al toe sinds 11 september 2001. Bij de vertrekbalie maakt een passagier als eerst zijn identiteit kenbaar met een vliegticket en een paspoort. Beide documenten worden gecontroleerd op echtheid van de houder en diens recht op een zitplaats. Daarna moet de passagier zichzelf en zijn handbagage via scanning laten controleren. Voor de vlucht verzamelen de passagiers zich in een aparte ruimte. Camera’s houden iedereen in de gaten. Bij het aan boord gaan vindt er wederom een controle plaats op de identiteit (paspoort plus boardingpas of qr-code op smartphone).
De metafoor over het vliegveld kunnen we perfect ‘plotten’ op het bedrijfsleven, bijvoorbeeld bij het inloggen op het bedrijfsnetwerk of een applicatie. De aanpak van zero-trust is namelijk soortgelijk. Stel je voor dat je een vlucht wilt maken, je arriveert op het vliegveld, parkeert je auto en loopt naar de ingang. Daar aangekomen moet je je allereerst kenbaar maken door middel van het overleggen van je gegevens zoals het paspoort en je reisbescheiden. Wanneer je eenmaal bent geïdentificeerd mag je je vervolgens naar de bagagecontrole begeven. Dit gedeelte is een mooie vergelijking met authenticatie (wie ben je?). Direct wordt je bagage gecontroleerd op afwijkingen die niet mee het vliegtuig in mogen. Hetzelfde gebeurt met het apparaat waarmee je digitaal je data of dienst mee wilt benaderen. Denk aan zaken als: is je antivirus nog actueel, staat je firewall aan en zijn er geen afwijkingen gedetecteerd in de afgelopen periode?
Na deze controle mag je door naar de wachtruimte waar je vliegtuig beschikbaar komt. Tijdens deze reis worden alle stappen die je neemt feilloos geregistreerd en vastgelegd. Mocht je hier afwijkend gedrag vertonen, kan je er zeker van zijn dat je door mannen in lange jassen, donkere zonnebrillen en norse blikken wordt aangesproken. Dit is identiek aan microsegmentatie. Je mag doen wat is toegestaan, maar ook niet meer. Anders staan hier repercussies tegenover. Wanneer je je netjes blijft gedragen mag je aansluiten in de rij naar je vliegtuig. Hier word je nogmaals geverifieerd, idem aan het overleggen van je tweede factor op je telefoon. Indien dit succesvol is, mag je aan boord en uiteindelijk je reis naar het zonnige vakantieoord voortzetten. Lees: je krijgt toegang tot je device of applicatie, maar wel pas nadat zeker is dat jij het bent.
Zoals je aan de hand van dit voorbeeld ziet, zijn we al geruime tijd gewend aan het concept van zero-trust als we op vakantie gaan. Waarom dan nog niet in de digitale wereld?
Vinkjes
Het grote voordeel is, veel van de techniek om zero-trust-maatregelen te nemen hebben organisaties al in huis. Het is al voorhanden in de gangbare besturingssystemen van servers, desktops en laptops. Vaak volstaat het zetten van vinkjes op de juiste plaats in het instellingenscherm om beveiligingsfuncties te activeren. Maar dat moet dan wel overal gebeuren, dus bij de servers, op de werklocatie of in de cloud en bij alle client apparaten, dus zowel desktops, laptops als mobiele apparaten. Als je het zero trust principe binnen je organisatie gaat hanteren, neem dan ook de data onder de loep. Wie heeft toegang tot welke data en waarom? De tijdsduur van toegang is bovendien begrensd. Bij een functiewijziging dient dit opnieuw beoordeeld te worden en treedt iemand uit dienst, dan dient na de ontslagdatum de toegang tot applicaties en bestanden te worden geblokkeerd.
Ratrace
Het invoeren van zero-trust-maatregelen is niet eenmalig. Nieuwe toepassingen, nieuwe gebruikers, andere omstandigheden… Ze vereisen telkens aanpassing van het beleid en dus ook om aanpassing van de zero-trust-maatregelen. Alleen op die manier krijgen we grip op de ratrace tussen de verdedigers van onze belangrijke digitale voorzieningen en de criminele aanvallers.