Bedrijven moeten hun werknemers door de uitbraak van het coronavirus plots massaal van thuis laten werken. Hierdoor lopen ook de infrastructuur en data van een organisatie een verhoogd risico op online virussen. Intussen is wel duidelijk dat onze traditionele beveiligingsmechanismen, hoe goed ze ook geïmplementeerd zijn, niet volstaan om een onderneming optimaal te beschermen. Ooit geraakt iemand er via een achterpoortje toch doorheen. Daarom zouden bedrijven best het principe van zero trust toepassen: niemand vertrouwen en mensen enkel toegang geven tot zaken waar ze de rechten voor hebben.
Zero trust is al enkele jaren een bekende term in cybersecurity, maar veel bedrijven passen het concept nog niet toe. Toch lijkt dit in de toekomst de enige manier om echt zeker te zijn dat je bedrijfsinformatie voldoende beschermd is. Er bestaat jammer genoeg geen oplossing die je 100% zekerheid biedt, maar met zero trust heb je alles gedaan wat mogelijk is.
Wat is zero trust dan precies? Eerst en vooral is het belangrijk te beseffen dat zero trust geen product is dat je kant-en-klaar kunt kopen. Het is een
principe dat in alle lagen van je organisatie aanwezig moet zijn. Enkel gebruikers die je vertrouwt, krijgen toegang tot informatie. Het vertrouwen in die gebruikers moet ook telkens weer bevestigd worden wanneer ze om toegang vragen. Zonder identificatie van wie je bent en wat je komt doen, geraak je dus nooit binnen.
Zero trust geldt bovendien voor iedereen: zowel externe als interne gebruikers. De mens is immers altijd de zwakste schakel in de keten. Zo ontstaan de meeste data breaches in organisaties via een enkele persoon. De meerderheid van de besmettingen komt domweg via een e-mail binnen en infecteert na een tijdje het volledige systeem. Zeker nu werknemers door de impact van het coronavirus plots massaal thuis werken, moeten bedrijven hun infrastructuur en data nog beter beveiligen. Helaas zal de komende weken ook het aantal online virussen sterk toenemen, omdat niet elke organisatie hier klaar voor is.
Niemand vertrouwen
Wanneer we hier even over nadenken, lijkt het eigenlijk niet meer dan logisch dat bedrijven zo’n streng principe zouden hanteren. Thuis doen we onze deur toch ook enkel open voor mensen die we kennen en vertrouwen? Pas wanneer die bezoeker concreet uitlegt wat hij of zij komt doen, geef je toegang tot je huis. Als je iedere onbekende persoon zomaar in je woonkamer zou loslaten, hoeft het niet te verbazen dat er uiteindelijk dingen zouden verdwijnen. Toch hebben we in IT altijd het omgekeerde gedaan: eerst iedereen binnen laten en eventuele problemen nadien oplossen.
Natuurlijk klinkt het idee van zero trust niet echt nieuw, maar de meeste bedrijven werken nog steeds op de klassieke manier. Ze hebben voor ieder domein een apart beleid: eentje voor intern werk, eentje voor de externe website, voor communicatie met partners, etc. Bij het toepassen van zero trust zouden de regels overal hetzelfde zijn. Niemand wordt zomaar vertrouwd, waardoor bedrijven verplicht zijn om te reflecteren over wie ze toegang tot bepaalde gegevens verschaffen. Hoe ze dat precies moeten doen, is in ieder bedrijf verschillend. Zo zit een industrieel bedrijf uiteraard anders in elkaar dan een bank.
Implementatie van zero trust is bijgevolg niet altijd even eenvoudig. De meeste bedrijven zijn organisch gegroeid en zitten in situaties die veel werk vragen om alle systemen te harmoniseren. Eerst moeten ze hun policy herschrijven en vervolgens moet dat nieuwe beleid overal in het bedrijf worden uitgerold. Tijd- en geldgebrek zijn de redenen waarom een groot deel van die uitrolprogramma’s nooit wordt gerealiseerd.
Zero trust-certificaat
Hoewel het dus begrijpelijk is dat veel bedrijven zero trust nog niet toepassen, moeten we wel beseffen dat het in de toekomst eerder de norm dan de uitzondering zal worden. Wie zero trust correct implementeert, is bovendien goed op weg om in overeenstemming te zijn met de GDPR-regels. Natuurlijk gaat GDPR nog verder dan zero trust, maar voor bedrijven zou het alvast een grote stap betekenen.
In het kader hiervan, en gewoon omdat security steeds belangrijker wordt, kunnen we ervoor pleiten om een soort ‘zero trust’-label in te voeren. Een certificaat dat alleen wordt toegekend aan bedrijven die al het mogelijke hebben gedaan om hun beveiliging te optimaliseren. Om die beoordeling mogelijk te maken, moeten we een checklist opstellen met alles wat bedrijven moeten doen om zero trust te implementeren.
Zo’n certificaat kan een bedrijf ook een extra duwtje in de rug geven om zero trust in te voeren. Veel organisaties denken immers nog altijd onterecht dat hen toch niets kan overkomen. Security vraagt vaak veel inspanningen en financiële investeringen, maar dat stelt allemaal heel weinig voor als je kijkt naar de kosten die slachtoffers van malware moeten ophoesten. Zero trust zal op lange termijn echt elke eurocent waard blijken. En wie het vandaag al toepast, zal de komende weken en maanden tijdens de coronacrisis toch iets beter slapen.