Zero Trust: cybersecurity begint bij wantrouwen

Tekst: Nadeem de Vree, VP Networking & Security bij KPN

De adoptie van het Zero Trust-model onder Nederlandse bedrijven neemt gestaag toe, maar bevindt zich nog in verschillende stadia van implementatie. Volgens diverse onderzoeken is het aantal organisaties wereldwijd dat Zero Trust toepast gestegen richting de 60%. In Nederland beschikt minder dan de helft van de bedrijven over infrastructuur die Zero Trust of VPN ondersteunt voor een veilige hybride werkomgeving.

Traditionele IT-beveiliging gaat uit van een duidelijk binnen en buiten: het bedrijfsnetwerk als veilige haven, beschermd door een firewall. Zodra je ‘binnen’ bent, wordt je vertrouwd. Deze aanpak – vaak beschreven als het ‘kasteelmodel’ – werkte in een tijd waarin data zich fysiek op kantoor bevond en iedereen vanaf een vaste werkplek werkte. Maar dat is voorbij. Werknemers loggen nu in vanaf keukentafels, hotelkamers en treinen. Applicaties draaien in de cloud, op servers van derde partijen, verspreid over continenten. En dan zijn er nog leveranciers, klanten, en freelancers die toegang nodig hebben. Het traditionele model kan de snelle groei van digitale assets en endpoints niet meer bijhouden. Volgens recente cijfers bestaat meer dan 95% van het internetverkeer van bedrijven uit verkeer naar en van clouddiensten – veel daarvan zonder IT-beheer.

Zero Trust: wantrouwen als uitgangspunt

Het aanvalsoppervlak van organisaties is hierdoor exponentieel gegroeid. Interne datalekken, onveilige toegang op afstand, shadow IT, SaaS-wildgroei, laterale aanvallen binnen netwerken en security-complexiteit door toolchaos kunnen catastrofale gevolgen hebben. Dat bleek in 2021, toen duizenden privégegevens uit coronasystemen in handen vielen van callcentermedewerkers die deze illegaal verkochten op platforms als Telegram en Snapchat. De dreiging kwam dus van binnenuit – en het klassieke model had daar geen antwoord op. Zero Trust draait deze logica om: vertrouw niemand, ook niet binnen het netwerk. Elke gebruiker, elk apparaat en elke datastroom moet zich opnieuw bewijzen. Toegang wordt pas verleend als aan vooraf vastgestelde voorwaarden is voldaan. Dit model gaat er niet vanuit dat alles binnen het netwerk veilig is, maar erkent juist dat indringers zich al binnen de muren kunnen bevinden.

Drie kernprincipes staan centraal:

1. Minimale toegang – geef gebruikers alleen toegang tot wat ze strikt nodig hebben en stel gesegmenteerde (virtuele) netwerken op om compromitteren te verkleinen.
2. Altijd verifiëren – authenticatie en autorisatie worden continu geëvalueerd.
3. Continue monitoring – gedrag van gebruikers en systemen wordt permanent gevolgd om afwijkingen te detecteren.

AVG

Voor het bedrijfsleven betekent dit concreet: minder kans op datalekken, controle over wie wat doet met welke data, en meer grip op de beveiliging – zelfs met een kleine IT-afdeling. Hoewel Zero Trust klinkt als iets voor multinationals met gigantische securitybudgetten, is het ook voor kleinere bedrijven een kans om slimme, schaalbare beveiliging te implementeren. Moderne oplossingen zijn cloudgebaseerd, modulair en vaak als dienst beschikbaar. Bovendien helpt Zero Trust bij compliance met wetten als de AVG en (aankomende) EU-regelgeving zoals de NIS2-richtlijn, die strengere eisen stelt aan digitale weerbaarheid – ook voor kleinere organisaties die deel uitmaken van vitale ketens. Voor veel ondernemers, CEO's en hoger management stijgt cybersecurity in belang. Eén succesvolle aanval kan leiden tot klantverlies, reputatieschade of zelfs bedrijfsbeëindiging. Zero Trust biedt een realistische, toekomstbestendige aanpak die meebeweegt met hoe we vandaag de dag werken. In het digitale domein is wantrouwen inmiddels voor veel organisaties het nieuwe vertrouwen.