Er zijn altijd wel sceptici die alles op het gebied van cyberveiligheid uit hun context rukken. Er is een beweging die aangeeft dat ZERO TRUST niet heiligmakend is. Deels treed ik dat bij. Net zoals MFA, IAM en een Firewall zonder opvolging en onderhoud of die niet opgezet zijn naar de regels van de kunst is ZERO TRUST van géén meerwaarde als het niet begrepen en juist toegepast wordt.
Als een IT security vendor met het label begint te gooien mag je hem NIET vertrouwen, jou beleid moet in staat stellen om na te gaan of dit ook zo is. Bij NIS2 is ZERO TRUST de TEC 7, superlijm of cement van framework voor cyberbeveiliging beheer een logisch denkend controle systeem.
We sommen eerst even deze 7 verschillende controle gebieden op:
- DIGITALE ASSETS – De data die je wilt beschermen – Je digitaal vermogen – je digitale kroonjuwelen
- DATA BEVEILIGING – Je digitale kogelvrije vesten – je afweerschild
- Applicatie – software – Alle software die je nodig hebt om je zakendoen efficiënt , winstgevend en veilig te houden.
- Endpoint beveiliging – Alle toestellen computers, servers, smartphones, printers, enzomeer die gegevens verwerken.
- Netwerk beveiliging – Alle methodes die je gebruikt en de hardware Firewalls, switchen, VLAN opzet …
- Perimeter beveiliging – Alle Fysieke en digitale methodes die gebruikt om hackers buiten te houden, alsook domme voorspelbare fouten van werknemers die je bewaakt
- Mensen – Elke controle op een fout die kan leiden tot hacking – het stelen van gegevens door hebberige of ontevreden medewerkers – het labelen en verzegelen van data – Identiteitscontrole
In deze 7 controle gebieden is de strikte toepassing van ZERO TRUST vereist. Het vraagt kennis en kunde om deze te eiken. Dat is ook een reden waarom NIS2 te certificeren bedrijven auditors zullen inhuren met praktijkervaring. Deze bundelen fouten die ze tegenkomen en die leiden tot een inbreuk op cyberbeveiliging. Ze gebruiken ook filterlagen van meerdere seriële beveiliging hardware. Zo is in mijn opzet het inzetten van HPT4U onze droid die de hackers lokt een zeer belangrijk wapen. Behoudens het management heeft zelfs internal IT geen macht of toegang tot deze hacker verleider. Onze pentesters bouwden de perfecte HPT4U. Deze zal als een rusteloze baby op alles reageren en om perimeter controle vragen. Simpel en efficient.
Ze brengen alle risico gebieden en GAPS in kaart. Een onmisbaar onderdeel hier is het opzetten van een ISMS systeem. Een framework dat alle lagen en toepassing oplijst en de aanbevelingen hiertegenover zoals NIST en CIS. Een goede basis is het ISO 27001:2022 en ISO 27005:2022 framework met als eindoefening een COBIT 19
We kunnen besluiten dat ZERO TRUST geen onhackbare technologie is. Dit zou niet logisch zijn om aan te nemen aangezien tegen de tijd dat NIS2 Essentiele bedrijven zich gaan dienen te certificeren er maar Quantum computers beschikbaar zijn door bijvoorbeeld Russische hacking elites die alle huidige beveiliging kunnen kraken. Wij als experten tellen al af naar 6/2024 maar weten dat een nog complexer gegeven ondertussen ons pad zal kruisen. Om onze digitale kroonjuwelen buiten het bereik te houden van de Quantum technologie BIG BLUE of Dark RED let een hamer en sikkel zijn Quantul agoritmes nodig. Cryptografie ten goede die tig dimensies verder gaat dan de huidige.
Ook hier vraagt ZERO TRUST een kritisch denken en testen in Labo’s en zullen kritieke gegevens nog meer in digitale atoomschuilkelder geplaatst worden. Een vereenvoudiging en volledig andere opbouw van databases zal het gevolg zijn.
