Vertrouw niemand: hoe zero trust je bedrijf beschermt

Een firewall eromheen: zo beveiligden we lange tijd onze netwerken. Maar nu internet ons allemaal heeft verbonden, zijn de muren lek. Tijd voor een netwerkbeveiliging die ook werkt als de hacker al binnen is. 2 securityexperts van onderzoeksorganisatie TNO praten me bij over zero trust.

In mijn vakantie wil ik nog wel eens een kasteel bezoeken: liefst middeleeuws, met dikke muren, een slotgracht en een ophaalbrug. Zo een waar je alleen binnenkwam als je de poortwachter het geheime wachtwoord kon geven. Netwerkbeveiliging werkte lange tijd ook op die manier, zegt Robert Seepers. Hij werkt als onderzoeker cybersecurity bij TNO. “Het idee was: ik zet een grote muur om mijn netwerk, een firewall, en zolang die goed werkt ben ik veilig.”

Meer ingangen

Je voelt ‘m vast aankomen: alleen zo’n muur om je netwerk is in 2022 eigenlijk niet meer genoeg, volgens Seepers. “We zien allerlei supergave technologische ontwikkelingen. Er zijn meer en meer online digitale diensten die je bedrijf aan het internet linken. Hierdoor ontstaan steeds meer ingangen in je netwerk. Je hebt dus niet meer 1 ophaalbrug, maar heel veel verschillende manieren om je kasteel binnen te komen.” Zie die maar eens allemaal te bewaken … Daar komt bij dat de dreiging van cybercrime alleen maar toeneemt, waardoor ook je medewerker zó op een schadelijk linkje klikt.

Zero trust gaat ervan uit dat een aanvaller sowieso binnenkomt, via welk gat in de muur dan ook

Nieuwe strategie

Het is dus tijd voor een nieuwe strategie om je bedrijfsnetwerk te beveiligen. Seepers en zijn collega Mark Buningh onderzoeken voor TNO de mogelijkheden van zero trust. “Zero trust gaat er eigenlijk van uit dat een aanvaller sowieso binnenkomt, via welk gat in de muur dan ook”, legt Seepers uit. “Dat gebeurde bijvoorbeeld in de zomer van 2021 toen cybercriminelen toegang kregen tot naar schatting 100 Nederlandse bedrijven via 1 grote ransomware-aanval op IT-dienstverlener Kaseya.” Het doel van zero trust is: met extra maatregelen voorkomen dat de aanvaller als hij eenmaal binnen is, direct kan doorlopen naar de schatkamer. Ook het Nationaal Cyber Security Centrum (NCSC) raadt deze tactiek aan.

Is dat niet een beetje cynisch?

Wat is zero trust

‘Vertrouw niemand, check alles’ is het motto van zero trust. Je gaat ervan uit dat iedereen die in je netwerk zit dat netwerk potentieel bedreigt. Is dat niet een beetje cynisch? “Het is een gezonde manier om naar de werkelijkheid te kijken, denk ik”, zegt Seepers. Mark Buningh vult aan: “Vroeger kon een dief met een loper in 1 nacht een hele straat afgaan, zeg 100 sloten. Tegenwoordig kun je als inbreker digitale deuren scannen. Dan doe je er 10 miljoen per seconde, wereldwijd. Dus: cynisch of somber, dat weet ik niet. Ik ben het met Robert eens dat dit de realiteit is.”

3 kernprincipes

Zero trust is dus een manier om de schade door cybercrime te beperken. Het idee is gebaseerd op 3 kernprincipes, leggen Seepers en Buningh uit.

1. Scherm af

Zorg voor een afzonderlijke plek, noem het de schatkamer, waar je waardevolle spullen in bewaart. Oftewel, zorg dat je allerbelangrijkste bedrijfsgeheimen of data apart staan van de rest. In computertermen heet dat segmentatie. Geef die kamer een extra slot, bijvoorbeeld in de vorm van een extra wachtwoord.

2. Beperk toegang

Beperk de toegang tot de schatkamer. Alleen de mensen die dat écht nodig hebben krijgen toegang tot de belangrijkste data. Een willekeurige kasteelbewoner, oftewel een willekeurige medewerker, kan dus niet meer zomaar vanuit het marktplein de schatkamer binnenkomen. Geef mensen alleen de sleutels of wachtwoorden op het moment dat ze die nodig hebben.

3. Controleer beweging

Zorg dat je weet wie op welk moment in je netwerk is, en dat je weet wat ze daar precies doen. Of ze zich aan jouw regels houden, dus. Dat doe je door loggegevens vast te leggen en te checken. Daarvoor is software te koop, die je bijvoorbeeld via je IT-beheerder kunt aanschaffen. Bedenk wel dat je je medewerkers niet zomaar mag controleren.

Uitgaande stroom

“Beweging controleren is belangrijk”, benadrukt Buningh. “Als je eenmaal binnen bent, is er in zo’n kasteel vaak geen mechanisme dat de uitgaande stroom controleert. Denk aan Hugo de Groot, die in een boekenkist uit een kasteel wist te ontsnappen. Er zijn bedrijven waar hackers als legitieme medewerker in dienst komen. Tijdens hun proefperiode kunnen ze overal bij. Bij die bedrijven is geen mechanisme om te zien of iemand grote hoeveelheden data downloadt en er dan mee vandoor gaat.”

Verweven

Buningh en Seepers onderzoeken vooral hoe zero trust complexe systemen veiliger maakt, want geen enkele organisatie staat meer op zichzelf. Een voorbeeld daarvan is de kaas-hack in 2021, waarbij een leverancier van Albert Heijn werd getroffen door ransomware. Dat had grote gevolgen voor de supermarktketen: er lag dagen geen kaas meer in de schappen.

Die verwevenheid maakt kwetsbaar, volgens Buningh. “Je kunt als organisatie je eigen veiligheid op orde hebben, maar je bent onderdeel geworden van een groter geheel. Stel, cybercriminelen vallen een bedrijf aan. Dan kan de storing of uitval in het netwerk of de dienstverlening die daardoor bij die partij ontstaat, leiden tot storing of uitval bij een ander bedrijf.” Goede  netwerkbeveiliging is dus niet alleen belangrijk voor je eigen zaak, maar ook voor bedrijven met wie jij nauw samenwerkt.

Tips

Hoe pas je als zelfstandige of mkb’er het principe van zero trust toe? De onderzoekers geven 2 adviezen.

Apart account

Het idee van een schatkamer realiseer je relatief eenvoudig. Zorg bijvoorbeeld dat je belangrijkste documenten of applicaties niet vanuit je dagelijkse gebruikersaccount te benaderen zijn. Maak daarvoor een apart account. Om dan bij gevoelige informatie te komen of bijvoorbeeld betalingssystemen, moet je inloggen op dat aparte account. Als een cybercrimineel dan toegang krijgt tot je dagelijkse account, kan hij niet bij je gevoeligste gegevens. Je kunt er ook voor kiezen om gevoelige informatie op een externe harde schijf te plaatsen, of een deel van je informatie op te slaan in een cloudomgeving.

Wees voorbereid

Zero trust gaat ervan uit dat de aanvaller een keer binnenkomt. Dan is het belangrijk dat je een plan hebt voor als het misgaat. Wees voorbereid. Zorg bijvoorbeeld voor een offline back-up van je data. En bedenk wat je moet doen als je geraakt bent. Is cybersecurity abracadabra voor je? Dan is het volgens Seepers slim je veiligheid uit te besteden aan een IT-partij.

Game over

Tot slot stelt Buningh mij een beetje gerust. “Een incidentele hack of datalek hoeft niet vreselijk te zijn.” Niet elke aanval betekent gelijk dat al je schatten gestolen worden of je kasteel in puin ligt. “Maar het punt met cybercrime is, dat er soms een ‘game-over’ scenario is. Omdat je bedrijf helemaal wordt leeggehaald, of de reputatieschade te groot is. Daarom is het wel belangrijk om stappen te zetten.” Een eerste stap is dus: vertrouw niemand, check alles, en zorg dat niemand bij die schatkist kan.