De zero-trust-aanpak staat al lange tijd in de schijnwerpers als een cruciaal aspect van cybersecurity. Echter loopt Europa achter als het aankomt op de implementatie van deze benadering vergeleken met de VS. Hoe komt het nu dat Europa zero-trust niet volledig omarmt?
Om dit te begrijpen, kunnen we kijken naar de Hype Cycle van Gartner, een conceptueel model dat de typische levenscyclus van een technologie of innovatie beschrijft, vanaf het moment van introductie tot volledige integratie in de samenleving en industrie. Deze levenscyclus kent verschillende stadia.
Vijf stadia
Het eerste stadium heet de ‘innovation trigger’, waarbij een nieuwe technologie veelbelovend wordt geïntroduceerd. zero-trust is geïntroduceerd als een veelbelovende aanpak voor cybersecurity door onze voormalige senior vp cybersecurity strategy, John Kindervag, toen hij voor Forrester werkte. Gezien de eerste zero-trust-initiatieven in de VS plaatsvonden kreeg het concept logischerwijs in eerste instantie meer aandacht daar dan in Europa.
Nadat zero-trust bekend werd gemaakt kwam de aanpak in het volgende stadium terecht: de ‘peak of inflated expectations’, waarin de media-aandacht piekt en mensen en organisaties hoge verwachtingen hebben. In de VS kreeg zero-trust veel aandacht, gezien de overheid al meer aandacht besteedde aan cybersecurity en geavanceerde beveiligingsmethoden. In Europa werd destijds veel minder gesproken over zero-trust.
Na deze piek van awareness volgt de fase van de ‘trough of disillusionment’ waarbij een zeker mate van teleurstelling optreedt omdat de technologie of aanpak niet meteen aan de hoge verwachtingen voldoet. Bij zero-trust was dit ook het geval; het betreft hier immers veel meer dan een technologie installeren. Het is een set gereedschappen en een strategie om cybersecurity effectief en meetbaar vorm te geven. Het legt een verband tussen welke data ‘heb ik’ en welke data zijn het belangrijkst. Daarnaast bepaalt het welk beleid, zoals wet- en regelgeving, je kunt of moet toepassen en hoe je dit beleid vervolgens vertaalt naar operationele maatregelen. Voor organisaties kan dit overweldigend zijn. Ondanks dit gegeven, behield de Amerikaanse overheid vertrouwen in zero-trust, wat heeft bijgedragen aan de voortdurende ontwikkeling en acceptatie ervan.
De ‘slope of enlightenment’ is het volgende stadium, waar de werkelijke toepassingen en voordelen van de technologie duidelijker worden. In Amerika heeft inzet op educatie en bewustwording geholpen om professionals en organisaties vertrouwd te maken met de voordelen van zero-trust. Een vroegtijdig bewustzijn van de voordelen en toepassingen van zero-trust heeft bijgedragen aan de acceptatie ervan in de VS. Daar werd bijvoorbeeld geïnvesteerd in een ondersteunende infrastructuur voor zero-trust. Instanties zoals CISA (Cybersecurity and Infrastructure Security Agency) en DOD (Department of Defense) hebben gedetailleerde stappenplannen en modellen ontwikkeld om organisaties te begeleiden bij de implementatie van zero-trust. Deze gestructureerde begeleiding vergemakkelijkt de overgang naar nieuwe technologieën. Daarnaast hebben ze ook financiële middelen beschikbaar gesteld om organisaties te ondersteunen bij de implementatie van zero-trust. Dit financiële steuntje in de rug kan organisaties aanmoedigen om de stap te zetten naar deze nieuwe benadering van beveiliging.
Het laatste stadium is het ‘plateau of productivity ‘, waar de technologie op grote schaal wordt geaccepteerd en geïntegreerd. De Amerikaanse overheid heeft actief stappen ondernomen om de acceptatie van zero-trust te bevorderen. Door middel van een Executive Order is zero-trust verplicht gesteld voor overheidsinstanties. Dit heeft geleid tot een gestructureerde aanpak en implementatie van de technologie. Zulke dwingende maatregelen van de overheid kunnen een aanzienlijke invloed hebben op de acceptatie van nieuwe technologieën. Dat zero-trust al is geïmplementeerd in overheidsinstanties heeft mogelijk ook een positief effect gehad op de particuliere sector. Dit kan hebben bijgedragen aan de versnelling van de acceptatie van zero-trust aan de overkant van oceaan.
Nog niet zover
In Europa zijn we nog niet zover omdat factoren zoals verschillen in regelgeving, een gebrek aan beleidsdruk, financiële overwegingen en een gebrek aan bewustzijn en educatie bijgedragen aan een langzamere acceptatie van zero-trust. Desalniettemin kunnen organisaties alvast de nodige stappen nemen.
De vijfstappenmethode van zero-trust, aanbevolen door het NCSC, is een gestructureerde aanpak om het zero-trust-securitymodel te implementeren. Het omvat het definiëren van zogeheten protect surfaces, het in kaart brengen van transactiestromen, het opbouwen van een zero-trust-architectuur, het creëren van een zero-trust-beleid en het monitoren en onderhouden van het netwerk (inclusief xdr).
Met de juiste inzet en groeiend bewustzijn zal ook Europa uiteindelijk het gewenste ‘plateau of productivity’ voor het zero-trust-securitymodel bereiken. De voordelen die dit model met zich meebrengt, waaronder het minimaliseren van beveiligingsrisico’s, het waarborgen van gegevensbescherming en het opbouwen van een sterk vertrouwen, zijn van zodanig vitaal belang dat ze niet over het hoofd kunnen worden gezien. De omarming van zero-trust in Europa heeft alleen meer tijd nodig.
Basis van wantrouwen past niet zo goed in een maatschappij welke grotendeels gebasseerd is op vertrouwen want het creëren van een zero-trust-beleid gaat tenslotte om de controle. Het waarborgen van de gegevensbescherming ten koste van de privacy is tenslotte een slecht ruil en een kritische houding aangaande de omarming lijkt me daarom gerechtvaardigd. Kortom, het in kaart brengen van de transactiestromen gaat om het classificeren van de gegevens want niet alles is waardevol.
De strateeg die eerder voor Forrester werkte vergeet dat beleid en technologie nog twee verschillende dingen zijn. Desillusies zoals gebruik van een eigen e-mail server door Hillary Clinton maakte namelijk duidelijk dat er eerst draagvlak bij de gebruiker moet zijn want zoals ik al zei kent de uitruil tussen privacy en controle op transactiestromen nog veel weerstand.
Het vertrouwen van een Amerikaanse overheid in zero-trust lijkt me dan ook misplaatst, een gezond wantrouwen lijkt me beter want de overheid lost geen problemen op maar subsidieert ze.