Steeds meer bedrijven en organisaties stappen van traditionele beveiligingsmodellen tegen cyberdreigingen over op toekomstbestendige Zero Trust-principes. ‘Wat de toekomstige ontwikkelingen ook zijn, Zero Trust is er klaar voor.’
‘Met Zero Trust kun je veel gerichter investeren in cybersecurity maatregelen’
Cybersecurity een typisch IT-onderwerp? Vergeet het maar, zegt Matthijs van der Wel-ter Weel, strategisch adviseur bij Orange Cyberdefense. ‘We zien nog vaak genoeg dat er bij directies weerstand is om met het onderwerp aan de slag te gaan, dat het om heel moeilijke techniek draait die thuishoort op het bordje van de IT’ers. Maar het is chefsache, de digitale veiligheid van een bedrijf of organisatie moet je niet alleen maar overlaten aan de technische deskundigen, het is echt een verantwoordelijkheid op directieniveau.’
‘We zien dat cybersecurity gelukkig ook steeds vaker op de agenda van de directie staat,’ zegt Erik Peeters, commercieel directeur bij Orange Cyberdefense. ‘Vroeger legde je bij wijze van spreken een slotgracht om je bedrijf, nu ga je eerst kijken: Welke bedrijfsprocessen wil ik beschermen?’ Van der Wel-ter Weel: ‘Zero Trust is een bepaalde manier van denken, een filosofie over hoe je met cybersecurity omgaat. In eerste instantie gaat het dan nog niet om het toepassen van techniek, maar om een denkproces. Met welke bedrijfsprocessen verdien je je geld? En welke systemen mogen dus absoluut niet in gevaar komen? Vergelijk het met NIS2-richtlijn die ook uitgaat van een risico gebaseerde aanpak.’
Zero Trust in 3 stappen
Weten wat je wilt beschermen, zegt Van der Wel-ter Weel, is stap 1: ‘Stap twee is: ‘trust, but verify’. Alles en iedereen die toegang tot een systeem of bedrijfsproces heeft, moet worden geverifieerd. Niet omdat je medewerkers niet vertrouwt, maar omdat je niet wilt dat kwaadwillenden misbruik maken van het account van je medewerkers – denk aan bijvoorbeeld phishingmail – om een systeem binnen te dringen.’ Stap drie, zegt Van der Wel-ter Weel, ligt in het verlengde daarvan: ‘Geef medewerkers alleen toegang tot systemen of bestanden die voor hun werkzaamheden echt nodig zijn. ‘least privilege’ noemen we dat.’ Peeters: ‘We doorliepen die stappen onlangs met een grote online retailer. In de discussie over de kern van hun bedrijfsvoering, het meest kwetsbare onderdeel, kwamen we uit bij dat hele grote magazijn van ze. Als daar in het systeem wordt binnengedrongen, dan raakt het dat bedrijf onmiddellijk.’ Dan is het dus van het allergrootste belang, zegt Peeters, dat alleen medewerkers voor wie dat echt noodzakelijk is geverifieerd toegang krijgen tot dat systeem. Van der Wel-ter Weel: ‘Dat vraagt echt om pro-actieve communicatie met sturing van bovenaf. Je moet een boodschap uitdragen aan je medewerkers. Dat het er niet om gaat dat je ze niet vertrouwt, maar dat je de impact wil beperken als het misgaat, dat een kwaadwillende dan niet plotseling overal bij kan komen.’ Peeters: ‘Het is ook een bescherming van de medewerkers zelf, het maakt hun account minder kwetsbaar en ze zijn dan ook minder snel een doelwit.’
Toekomstbestendig
Dat steeds meer organisaties de Zero Trust-filosofie omarmen, heeft volgens Van der Wel-ter Weel ook te maken met de toekomstbestendigheid ervan: ‘We zien bijvoorbeeld de opkomst van AI en we gaan straks met quantum computing te maken krijgen. Van belang voor je organisatie is een security strategie die daarop is voorbereid. Wat de toekomstige ontwikkelingen ook zijn, Zero Trust gaat altijd uit van dezelfde stappen: kernprocessen aanwijzen, trust but verify, least privilege. Uiteindelijk breng je de risico’s daarmee significant naar beneden.’ Peeters: ‘En als je eenmaal weet op welke plekken in je organisatie cybersecurity van het grootste belang is én hoe je met je mensen moet omgaan, kun je ook veel gerichter investeren in cybersecurity maatregelen.’