Nee, tenzij. Dat is het uitgangspunt bij Zero Trust. Als IT-manager richt je jouw beveiliging dan zo in, dat ongewenste handelingen bij voorbaat zo moeilijk mogelijk, of liever, onmogelijk worden gemaakt.
Hoeveel risico neem je? Een IT-manager is tenslotte ook maar een mens. Je wilt jouw collega’s het leven niet onnodig moeilijk maken. Dus sta je dingen toe, zo lang er geen misbruik van gemaakt wordt.
Maar in de IT is dat een recept voor ellende. Want er kan zó ontzettend veel misgaan. En je merkt het pas als het te laat is. Want cybercriminelen worden steeds professioneler. Zwakke plekken in jouw security weten ze steeds beter te vinden en te misbruiken. Wat doe je? Wachten tot het misgaat?
Of kies je voor veiligheid?
Dan moet je zorgen dat op jouw netwerk alleen díe dingen mogelijk zijn die inderdaad mógen gebeuren, en alleen in de juiste context. Dat noemen wij zero trust.
Breed beveiligen
In feite is dat normaal in de IT. Elke goed geschreven app maakt alleen dingen mogelijk die de programmeur erin wilde hebben. Een app als Sharepoint staat voortdurend in contact met databases die bepalen wat een bepaalde gebruiker mag zien en doen, en die alles blokkeren wat niet mag. Het systeem houdt bij wat de gebruiker doet en wanneer. Als er toch iets ontoelaatbaars gebeurt, gaan meteen de alarmbellen af.
Als IT-manager kun je zero trust echter op veel meer lagen toepassen. Een voorbeeld is de versleutelde harddisk in jouw laptop: daarmee bescherm je de gegevens rechtstreeks. Een andere laag is de toegang tot databases: ook die kun je afgrendelen en monitoren.
En dan is er het verkeer op jouw netwerk. Door segmentatie voorkom je dat bezoekers doordringen op plaatsen waar ze niet mogen komen. Dat doe je door schotten te plaatsen en na te denken over verkeerspaden: in welke gevallen wil je bepaalde schotten tijdelijk openzetten?
Centrale controle
Een ander onderdeel zijn applicaties. Die hebben vaak hun eigen toegangscontrole. Maar het is geen doen om overal aparte wachtwoorden voor te beheren: niet voor jou als IT-manager en ook niet voor jouw gebruikers. Dat leidt alleen maar tot slordigheid en risico’s.
Een goede oplossing is één centrale toegangscontrole. Iedereen heeft daar een profiel waarin is vastgelegd wat zijn of haar toegangsrechten zijn. Wanneer iemand ergens bij wil, wordt dat gerouteerd langs die centrale server: is dit inderdaad die persoon? En mag hij bij deze app of database? Uiteraard noteert de server ook waar en wanneer aan deze persoon toegang wordt verleend.
Hiervoor is het nodig om te weten wie de gebruiker is. Dat is handig te bepalen met Single Sign-On (SSO): dan hoeft de gebruiker maar één maal in te loggen. De rest van de werksessie gaat de controle bij de centrale server achter zijn rug om. Dan kun je die ene inlog dus gemakkelijk extra veilig maken. Bijvoorbeeld met een extra verificatiestap via een authenticatie-app op de mobiele telefoon.
Werk in uitvoering
Dit zijn een hoop maatregelen. En de lijst is niet eens volledig. Moet je dat nou werkelijk allemaal doen? Dat hangt van het soort organisatie af. Bij grote banken is echt alles dichtgetimmerd. Maar een klein bedrijf met minder kostbare of gevoelige data zal minder ver hoeven te gaan. Het principe van zero trust is echter helder: streng bewaken, volgens strakke regels en concrete meetpunten.
Op veel plaatsen is dat werk in uitvoering. Kijk naar de overheid: gemeenten wisselen allerlei data uit met het rijk. Sommige datastromen zijn héél goed afgeschermd, maar andere nog nauwelijks.
En soms is het gewoon ingewikkeld. Neem de logistiek. Een expeditiebedrijf kan zijn data heel secuur bewaren in een datawarehouse, met allerlei maatregelen om ongeoorloofde toegang te voorkomen. Maar ondertussen moet het data uitwisselen met allerlei ketenpartners: van verladers tot douanes en belastingdiensten in allerlei landen. Ook hier geldt dat een keten zo sterk is als zijn zwakste schakel.
Hulp van buiten
Het is geen wonder dat zero trust nog geen gemeengoed is. Kun je het zonder hulp van buiten implementeren? In één woord: nee. Er zijn voorlopig nog weinig panklare oplossingen voor op de markt. En de oplossingen die er zijn, lossen slechts een deel van de uitdaging op. Om het geheel te realiseren heb je allerlei specialismen nodig: cryptografie, netwerksegmentatie, software-development, monitoring, authenticatie, noem maar op. Organisaties met eigen IT huren hiervoor consultancy in. Werk je met IT in de cloud, dan kun je de oplossingen van jouw cloudprovider toepassen. Als dit complex wordt kun je ook hiervoor experts in de arm nemen.
Wat je ook doet, bewaking is nodig. Die krijg je met Managed Security Monitoring door een Security Operations Center. Zo’n SOC houdt van buitenaf 24/7/365 in de gaten of activiteiten in jouw IT-landschap volgens de afgesproken regels lopen. Hiervoor installeer je sensors in jouw netwerk en maak je logfiles beschikbaar van belangrijke databases of webservers.
Als er iets afwijkt, onderzoekt een SOC-analist de activiteit. Wanneer die kwaadaardig lijkt, trekt het SOC aan de bel. Desgewenst kan het meteen ingrijpen, bijvoorbeeld door een netwerksegment of een endpoint af te sluiten.
Noodknop
Kun je ook te ver gaan in je toepassing van zero trust? Jazeker. Dat bewees Facebook recentelijk. Meer dan drieënhalf miljard mensen wereldwijd zaten vijf uur lang zonder hun sociale media door een fout tijdens onderhoud. Of liever: een fout in de opzet van de beveiliging. Want door de storing gingen de datacentra letterlijk op slot voor de eigen IT’ers van het bedrijf.
Wat Facebook miste, was een noodknop voor de beveiliging. Of, op z’n Engels, een Break Glass-optie. Dit was een falen van de business continuity. Uiteindelijk is het doel van IT immers om de business beter te laten lopen. Een Break Glass-optie is ook normaal in sectoren als de essentiële infrastructuur en de zorg. Werkzaamheden worden door de IT tot in detail gecontroleerd. Maar in een noodgeval kunnen medewerkers zelf die beveiliging uitschakelen om rechtstreeks in te grijpen.
Dat lijkt riskant, maar het is zelden nodig. En uiteraard legt het systeem precies vast wie er op de knop gedrukt heeft, wanneer dat was en wat de medewerker vervolgens gedaan heeft.
Achterdeur
Uit het bovenstaande zal duidelijk zijn dat zero trust veel dimensies heeft. Ze zijn soms lastig te beheersen. Maar uiteindelijk heb je geen keus: wil je IT op een grootschalige manier inzetten, dan moet je onvoorwaardelijk kiezen voor veiligheid. Je laat jouw achterdeur toch ook niet open staan?
