Column Lotte de Bruijn: ‘Zero Trust’
Een van de best bekeken pagina’s op de website van NLdigital is een artikel over privacy by design. Onze juristen leggen uit hoe de privacyrichtlijn Avg bedrijven verplicht om invulling te geven aan dit principe. Dat kan door zo vroeg mogelijk technische maatregelen te treffen, of afspraken te maken binnen je organisatie om de bescherming van gegevens te verzekeren. Het is namelijk veel makkelijker om dit van begin af aan al te doen dan achteraf, als alle processen en software al bestaan.
Ik moest hieraan denken tijdens de Kamerdebatten over het enorme datalek bij de GGD een paar weken terug. Ik weet natuurlijk niet precies wat er bij de GGD is gebeurd, maar uit de berichtgeving kun je opmaken dat ze hun systemen niet volgens privacy by design hebben ingericht. Het is natuurlijk onacceptabel dat gevoelige persoonsgegevens zo makkelijk en op zo’n grote schaal in verkeerde handen vallen. Toch heb ik ergens wel begrip voor de situatie: de GGD stond onder grote druk en moest razendsnel schakelen. Dan liggen fouten op de loer. Ongeveer een jaar geleden zaten veel bedrijven in hetzelfde schuitje. We moesten ineens noodgedwongen massaal thuiswerken. Over dit grote thuiswerkexperiment is al veel gezegd en geschreven. De meeste politieke partijen hebben in hun verkiezingsprogramma’s opgenomen dat er een recht op thuiswerken moet komen, omdat de voordelen van niet elke dag naar kantoor hoeven groot zijn. Maar we hebben ook geleerd dat het behoorlijk wat vraagt van ons aanpassingsvermogen. Al sinds het begin van de Coronacrisis waarschuwen experts dat thuiswerkende medewerkers een dankbaar doelwit zijn voor criminelen. Ik kan me voorstellen dat dit voor veel CISO’s en systeembeheerders een flink hoofdpijndossier is geweest. Heb je net je bedrijfsnetwerk aan alle kanten dichtgetimmerd, verplaatst iedereen zich ineens naar buiten de digitale muren van je bedrijf. Het is een prachtig voorbeeld van hoe digitalisering ons steeds opnieuw dwingt om oude modellen los te laten en nieuwe te omarmen. Je zag afgelopen jaar dan ook een opleving van het Zero Trust-model voor cybersecurity. Zoals het soms gaat in onze sector werd het al gauw een buzzword en waarschuwden mensen voor de hype. Maar ik kan me voorstellen dat het voor veel bedrijven een interessante manier is om hun security toekomstbestendig te maken. Een van de basisprincipes van Zero Trust is: ga altijd uit van een datalek. Daarmee wordt niet de filosofie van minister De Jonge bedoeld. Hij zei in het Kamerdebat: “Iemand die echt kwaad in de zin heeft, daar is geen kruid tegen gewassen.” Daar kwam hij een week later terecht op terug. Want uitgaan van een lek, betekent niet dat je je erbij neerlegt. Integendeel: je zorgt dat je vooraf zo veel mogelijk doet om de impact van een potentieel lek te beperken. Wat dat betreft had de GGD dus wel wat Zero Trust kunnen gebruiken. Deze column is in maart 2021 verschenen in ICT Magazine.