"We werken volgens Zero Trust." Je hoort het overal. En eerlijk gezegd is Zero Trust nog steeds een sterke en noodzakelijke beveiligingsaanpak. Maar in één specifiek en steeds vaker voorkomend gebruiksscenario schiet het in de praktijk vaak tekort: wanneer informatie van OT naar IT moet stromen, zonder dat IT ooit iets terug kan sturen. We praten over dit onderwerp met Willemijn Rodenburg, Government Relations bij Sentyron Troy Gratama, Partner Manager bij Sentyron.
Wat is Zero Trust-architectuur?
Willemijn is duidelijk over wat Zero Trust wel en niet is: “Zero Trust is geen product. Het is een manier van werken. In de praktijk betekent dit dat je er niet vanuit gaat dat iets veilig is, alleen omdat het zich binnen het netwerk bevindt. In plaats daarvan wordt elke toegangsaanvraag een beslissing op basis van de context: wie vraagt er toegang, vanaf welk apparaat, tot welk systeem of welke gegevens, en onder welke voorwaarden. Voor mij is Zero Trust een interessant uitgangspunt. Maar daar houdt het niet op.”
Troy beschrijft de onderliggende motivatie als het alternatief voor werken zonder zichtbaarheid. "Als je de toegangspaden niet controleert en bewaakt, heb je geen zicht op wat er gebeurt. Zero Trust zorgt ervoor dat je wel die zichtbaarheid hebt en kunt aantonen wie wat heeft gedaan en waarom toegang werd verleend."
Belangrijkste principes van Zero Trust
- Vertrouw nooit standaard. Het oude idee dat binnen gelijk staat aan veilig, gaat niet meer op, vooral omdat aanvallen ook van binnenuit kunnen komen.
- Controleer expliciet. Valideer elk verzoek aan de hand van identiteit en context, zoals MFA, apparaatstatus, locatie en gedrag.
- Toegang met minimale rechten. Het gaat om meer dan alleen minimale rechten. Het gaat ook om wie toegang krijgt tot wat, hoe u dit onderhoudt en hoe ver een aanvaller kan komen als er iets gecompromitteerd raakt.
- Ga uit van een inbreuk. Ontwerp alsof er al een aanvaller binnen is en richt je op het beperken van de schade.
- Beperk zijwaartse bewegingen door segmentatie. Als iemand binnenkomt, is de vraag hoe ver hij kan komen.
- Continue monitoring en verbetering. Als u vertrouwt op controles, moet u deze blijven valideren, omdat u anders weer het overzicht kwijtraakt.
Waarom Zero Trust in de praktijk vaak faalt
Willemijn benadrukt dat Zero Trust krachtig kan zijn, maar ook veeleisend: "Als je echt naar Zero Trust wilt gaan, is dat behoorlijk complex. Het zorgt voor veel operationele druk. Organisaties zijn het misschien eens met de principes, maar hebben niet altijd de capaciteit om ze op het vereiste niveau te implementeren en te handhaven."
Troy brengt het terug naar de basis: "Zero Trust blijft afhankelijk van mensen en hygiëne. Als een organisatie zwakke wachtwoorden toestaat, MFA overslaat of accounts deelt, dan kan iemand via een vertrouwd account binnenkomen en kan de aanvaller zich nog steeds door de organisatie bewegen. Als ransomware zich nog steeds door het bedrijf kan verspreiden, zit je nog steeds in de problemen, zelfs als je van plan was om een Zero Trust-model te gebruiken."
De realiteit in kritieke omgevingen: OT wordt vaak getroffen via IT
In industriële en kritieke infrastructuur omgevingen komt Troy steeds weer terug op één patroon: “Het probleem begint vaak bij IT en verspreidt zich vervolgens naar OT. Phishing, gestolen inloggegevens, een gecompromitteerde leverancier, een geïnfecteerd eindpunt. Zodra de IT-kant gecompromitteerd is, wordt de OT-kant bereikbaar als er een retourpad is.”
Daarom is de kernvraag onvermijdelijk. Kan er ooit iets terugvloeien van IT naar OT? Als het antwoord in principe nee is, tenzij, dan is dat 'tenzij' precies wat aanvallers zullen uitbuiten.
Willemijn zoomt uit en noemt dit onderdeel van een bredere realiteit. “Zero Trust is een goed begin, maar er zijn bedreigingen die dit kunnen ondermijnen, zoals compromittering van de toeleveringsketen, slimmere aanvallers en de mogelijkheid dat iemand al gebruikmaakt van de privileges van een dergelijk account. Daarom moet het gesprek niet stoppen bij ‘we doen aan Zero Trust’. Het moet verder gaan met wat er nog meer escalatie voorkomt als er iets misgaat.”
Wat een DataDiode kan garanderen
Een DataDiode heeft maar één doel: een door hardware afgedwongen eenrichtingsgegevensstroom. Troy legt het uit als een eenvoudige, niet-onderhandelbare regel: "OT kan informatie naar IT sturen, maar IT kan nooit iets terugsturen. Niet per ongeluk, niet door een verkeerde configuratie en niet omdat een beveiligingstool faalt."
Hier verschuift het verhaal van risicobeperking naar het wegnemen van risico's. Zoals Troy het stelt: "Een DataDiode doet niets anders dan waarvoor hij is gemaakt, zonder uitzonderingen."
Het verschil wordt dus fundamenteel:
- Zero Trust vermindert risico's door middel van beleid, tools en operationele discipline.
- Een DataDiode verwijdert een hele reeks aanvalsroutes door middel van fysieke handhaving.
Vanuit OT- en IT-perspectief is het belangrijk dat de belofte absoluut wordt. Er mogen geen gegevens terugvloeien van IT naar OT, ongeacht of uw IT-beveiligingsstack perfect is geconfigureerd of volledig up-to-date is. In omgevingen waar beschikbaarheid, vertrouwelijkheid en continuïteit belangrijker zijn dan gemak, is die zekerheid van groot belang.
Waarom een DataDiode altijd veilig is
Veel vertrouwen in moderne beveiliging komt voort uit software en configuratie. Maar met een DataDiode is het een hardware-aanpak. Het is zo gebouwd dat de richting fysiek wordt afgedwongen, wat betekent dat er geen sprake is van dezelfde remote bypass-situatie die bestaat bij beleidscontroles en softwarelagen.
Willemijn en Troy zijn beiden voorzichtig om het niet als vervanging voor alles te positioneren. Troy zegt: "Het is het volledige plaatje. Je hebt alles nodig. De DataDiode is geen vervanging voor goede architectuur, hygiëne of firewalls. Het is een extra laag die betrouwbaar blijft, zelfs als iets anders faalt."
Wanneer is een DataDiode de beste of enige logische keuze?
De absolute garantie is het sterkst in het scenario waarbij OT naar IT gaat. Als de IT-omgeving alleen passief informatie hoeft te ontvangen, voor monitoring, dashboards, logboekregistratie of rapportage, en de OT-bron niet mag wijzigen, dan is de DataDiode de schoonste manier om aan die eis te voldoen.
Willemijn breidt de relevantie uit tot buiten OT en IT alleen. Dezelfde gedachtegang geldt wanneer je kroonjuwelen zoals intellectueel eigendom of zeer gevoelige gegevensopslagplaatsen beschermt. Maar ze benadrukt het echte uitgangspunt: "Het begint met weten wat je kroonjuwelen zijn. Wat is cruciaal voor je organisatie? Welke gegevens en systemen moeten echt worden beschermd? Van daaruit volgt de logica. Minimaliseer de connectiviteit met die kroonjuwelen, pas het hoogste niveau van controle toe en zorg waar dat zinvol is voor een fysieke eenrichtingsstroom. Zero Trust vermindert risico's. Een DataDiode elimineert ze."
"We gaan voor Zero Trust." Wat moet je morgen anders doen?
Als een organisatie al fors investeert in Zero Trust, zegt Troy niet dat ze daarmee moeten stoppen. Zijn standpunt is juist het tegenovergestelde: "Het gaat om het totaalplaatje. Maar ik vind het wel goed dat organisaties anders gaan nadenken over wat ze willen bereiken voor hun meest kritieke activa. Wil je sneller detecteren en reageren, of wil je waar mogelijk aanvalsroutes volledig elimineren?"
Het praktische advies van Willemijn is om terug te gaan naar de architectuur. “Ken je kroonjuwelen, kijk hoe ze met elkaar verbonden zijn en vraag je af waar je de connectiviteit kunt verminderen en sterkere grenzen kunt opleggen. In OT-omgevingen, waar fouten simpelweg niet acceptabel zijn, betekent dat vaak dat er een laag moet worden toegevoegd die niet afhankelijk is van dagelijkse operationele perfectie.”
Beiden erkennen dat het correct implementeren van een DataDiode veel werk kan vergen. Nieuwe segmentatieroutes, opnieuw ontworpen gegevensstromen en zorgvuldige integratie. Maar het resultaat is precies wat veel organisaties zoeken in kritieke omgevingen: meer zekerheid, minder aanvalsroutes en uiteindelijk meer gemoedsrust.