Hoe Zero Trust organisaties helpt cyberrisico’s te beperken

• Security en compliance

Zero Trust is een modern beveiligingsconcept waarbij niets of niemand automatisch wordt vertrouwd. Ofwel: ‘never trust, always verify’. In de praktijk houdt dat in dat alle communicatie binnen je IT-omgeving moet worden geverifieerd en gemonitord. We bekijken in deze blog hoe Zero Trust je helpt cyberrisico’s te beperken en hoe identity & access management daar een rol in speelt.

Wat is Zero Trust?

De voortdurende controle binnen Zero Trust verschilt fundamenteel van de beveiliging in traditionele on-premises bedrijfsnetwerken. Daar ligt het zwaartepunt immers op het inloggen op het netwerk. Eenmaal ‘binnen’ worden gebruikers impliciet vertrouwd en is er relatief veel ruimte voor zogeheten 'lateral movement'. Een hacker komt bijvoorbeeld binnen via een e-mailaccount en kan van daaruit andere systemen benaderen.

Zo’n ‘perimeterbeveiliging’ heeft dus z’n beperkingen, en in cloudomgevingen ontbreekt zo’n netwerkgrens sowieso. Applicaties en gegevens kunnen in principe overal worden gehost en zijn via internet direct bereikbaar: altijd, vanaf elke locatie en op verschillende devices. Ook kunnen applicaties zelfstandig gegevens uitwisselen.

Dat vraagt dus om een compleet andere benadering. Je wilt alle communicatie van begin tot eind controleren. Tussen gebruikers en systemen, én tussen systemen onderling. Ook mogen ze uitsluitend de rechten krijgen die nodig zijn voor de voorgeschreven taken. Dit staat bekend als het ‘Principle of Least Privilege’.

Waarom Zero Trust nu relevant is

De relevantie van Zero Trust is direct terug te voeren op de grootschalige adoptie van clouddiensten. Cloudomgevingen worden ook steeds complexer, omvangrijker en daarmee kwetsbaarder. Volgens het CBS maakte in 2024 al 71 procent van de Nederlandse bedrijven met meer dan 10 personen gebruik van clouddiensten. Bij de grotere bedrijven liggen die percentages nog hoger: 75% bij bedrijven met meer dan 50 personen en zelfs 91% bij bedrijven met meer dan 250 personen.

Bij de beveiliging daarvan volstaat die traditionele netwerkbeveiliging dus allang niet meer. De aandacht zal steeds meer moeten worden gericht op het controleren van alle individuele schakels in de dienstverlening. Vrijwel iedere cyberaanval omvat tegenwoordig meerdere stappen die samen de ‘kill chain’ vormen. De meest recente datalekkenrapportage van de Autoriteit Persoonsgegevens toont bijvoorbeeld dat 42% van alle cyberaanvallen begint met een account-takeover. Dat gebeurt steeds inventiever met onder meer gebruik van slimme phishing trucs en kwetsbaarheden in de software. Eenmaal binnen fungeert zo’n overgenomen account vervolgens als springplank voor andere criminele activiteiten, zoals het uitrollen van ransomware in aangesloten systemen.

Alleen door alle onderlinge interacties te controleren en te monitoren, kun je zulke laterale aanvallen voorkomen of hun impact beperken. Daarom is Zero Trust als uitgangspunt tegenwoordig zo belangrijk.

Waarom Zero Trust belangrijk is in elke sector

Daarmee wordt zero trust feitelijk voor iedere branche of sector onmisbaar. Tegelijk zie je dat iedere branche daarin eigen aandachtspunten heeft.

Zorg

Binnen de zorg is Zero Trust van groot belang omdat je te maken hebt met gevoelige patiënt- en cliëntgegevens. Gegevens die direct beschikbaar moeten zijn voor zorgverleners als dat nodig is, maar die je tegelijkertijd optimaal wilt afschermen tegen misbruik. Dit speelt zich af in een hectische omgeving waarin uiteenlopende zorgverleners actief zijn — van vast personeel tot flexkrachten en stagiaires — en waarin bovendien intensief wordt samengewerkt tussen verschillende zorginstellingen. Zero Trust sluit hierop aan door iedere toegangspoging expliciet te verifiëren op basis van identiteit, rol en context. Zo krijgen zorgprofessionals alleen toegang tot de gegevens die zij op dat moment nodig hebben voor de behandeling van hun patiënten of cliënten. Bovendien ondersteunt Zero Trust betere logging en auditing, wat essentieel is voor de naleving van normen zoals NEN 7510 en AVG.

Overheid

Bij overheidsorganisaties sluiten de traditionele beveiligingsmodellen steeds slechter aan op de complexe en versnipperde digitale omgeving waarin medewerkers hun werk moeten doen. Overheden werken met grote hoeveelheden gevoelige burger- en bedrijfsgegevens, terwijl de toegang verdeeld is over ministeries, gemeenten, uitvoeringsorganisaties en externe ketenpartners. Daardoor ontstaan risico’s zoals ongeautoriseerde toegang, verouderde rechten en onvoldoende inzicht in wie welke gegevens raadpleegt, en waarom. Zero Trust helpt deze risico’s in te perken, door uit te gaan van continue verificatie van gebruikers, apparaten en toegangsrechten, ongeacht waar iemand zich bevindt of vanuit welke organisatie wordt gewerkt. Bovendien ondersteunt Zero Trust de eisen rondom compliance, auditing en verantwoording die binnen de overheid zwaar wegen.

Onderwijs

Ook binnen de onderwijssector is de traditionele beveiligingsaanpak inmiddels te beperkt. Onderwijsinstellingen zijn dynamisch. Leerlingen en studenten stromen periodiek door naar een volgend jaar, semester of een andere opleiding. Ook docenten en ondersteunend personeel wisselen regelmatig van rol, combineren vaak meerdere functies en instellingen maken regelmatig gebruik van gastdocenten en vervangers. Die hectiek verhoogt het risico op verouderde accounts, te ruime autorisaties en ongecontroleerde toegang tot persoonsgegevens of onderzoeksdata. Zero Trust helpt deze risico’s te verkleinen door niet automatisch te vertrouwen op basis van netwerktoegang, maar iedere gebruiker, sessie en apparaat continu te verifiëren. Dit is extra relevant in een omgeving waarin faculteiten en opleidingen relatief zelfstandig opereren, en vaak ad hoc gebruikmaken van nieuwe cloudapplicaties.

De belangrijkste voordelen van Zero Trust

Met een Zero Trust benadering zijn organisaties dus beter voorbereid op een steeds verdergaande digitalisering, met intensief gebruik van cloudtoepassingen die overal en via allerlei devices toegankelijk zijn. Zero Trust levert daarbij een aantal belangrijke voordelen:

1. We verbeteren de authenticatie en toegangsbeveiliging. Dat doen we met methodes als Multi-Factor Authenticatie, passkeys en digitale certificaten, ondersteund door contextinformatie zoals informatie over het gebruikte device, het toegangsnetwerk en verdere gebruikersomstandigheden. De toegang wordt veiliger zonder in te leveren op gebruiksvriendelijkheid.

2. We zullen steeds meer adaptief werken. Als verkeer, toegang en gedrag continu worden gemonitord en geanalyseerd, vallen afwijkingen sneller op en kunnen we tijdig reageren. Zo kunnen we zelfs tijdens een gebruikerssessie activiteiten onderbreken of een extra verificatiestap starten.

3. We beperken de impact van cyberincidenten. Als mensen alleen toegang krijgen tot strikt noodzakelijke functionaliteit en gegevens, wordt het lastiger om bijvoorbeeld grote hoeveelheden gegevens ongemerkt buit te maken. Of vanuit één gemanipuleerd systeem ransomware te verspreiden naar omliggende systemen.

4. We ontwikkelen onze identity governance. Elke toegangspoging en beleidsbeslissing wordt vastgelegd. Dat helpt niet alleen bij audits en de compliance met bijvoorbeeld ISO 27001, NIS2, AVG/GDPR of DORA. We kunnen de informatiebeveiliging ook voortdurend verbeteren aan de hand van de laatste data.

Uitdagingen bij implementatie

Het is belangrijk om te beseffen dat Zero Trust niet de uitrol van één product betreft. Het is een beveiligingsstrategie waarbij toegang continu wordt gecontroleerd op basis van identiteit, context en minimale rechten. De implementatie ervan raakt meerdere onderwerpen, maar ons eigen focuspunt is natuurlijk het identiteits- en toegangsbeheer. Daarvoor verzamelden we hier een aantal concrete tips:

• Organiseer je identity lifecycle management. Zero Trust verwacht dat gebruikers op ieder moment de juiste rechten hebben, afhankelijk van de rol die ze op dat moment vervullen. Je rechtenbeheer moest daarom ook steeds worden aangepast aan rolwijzigingen. Met user provisioning kun je die lifecycle automatiseren, vanaf iemands onboarding tot en met de beëindiging van het dienstverband.

• Hanteer het ‘Principle of Least Privilege’ bij het opstellen van business rules om user provisioning te automatiseren. Met hulpmiddelen als  role mining kun je een rollenmodel zo samenstellen dat iedereen gedurende de hele lifecycle precies de juiste rechten heeft. Je voorkomt zo dat mensen overprivileged worden.

• Pas Segregation of Duties (SoD) toe. Op organisatieniveau hanteer je dit mechanisme om te voorkomen dat mensen individueel te veel rechten hebben, of dat er onvoldoende controle is op hun werkzaamheden. Met toxic policy management kun je op vergelijkbare wijze ook binnen je rollenmodel de uitgifte van conflicterende toegangsrechten voorkomen.

• Beheer uitzonderingen zorgvuldig. Niet alle toegangsrechten kun je automatisch verstrekken aan de hand van business rules. Met behulp van service automation zorg je ervoor dat ook individuele wijzigingsverzoeken goed worden beheerd. Niet alleen de aanvraag en afhandeling, maar ook het periodiek hercertificeren van zulke rechten.

• Ruim je rechtenbeheer periodiek op. Zelfs bij een goed georganiseerd rechtenbeheer kan vervuiling ontstaan. Soms is dat ‘historie’ uit de tijd dat het account- en rechtenbeheer nog niet was gestroomlijnd. Maar het kan ook gewoon een vergeten testaccount zijn. Met gereedschappen als reconciliation werk je ook aan een ‘Zero Trash’ beleid.. 😉.