Het Nationaal Cyber Security Centrum raadt Nederlandse ondernemingen aan zich voor te bereiden op een zerotrustmodel voor hun beveiliging. Volgens de instantie is dat een veiligere manier van systeembeveiliging en een die in de toekomst populairder gaat worden.
Het NCSC heeft een document opgesteld met tips voor ciso's en andere securitymanagers. In het document staat ook achtergrondinformatie en praktische tips voor hoe bedrijven alsnog authenticaties kunnen uitvoeren onder een zerotrustmodel. Het document is opgesteld door de Dienst ICT Uitvoering van de Rijksoverheid en het Nationaal Bureau voor Verbindingsbeveiliging, maar ook door Schuberg Philis en KPN.
Volgens het Nationaal Cyber Security Centrum wordt het zerotrustprincipe 'steeds populairder' en stijgt de noodzaak ervan. "Technologische ontwikkelingen hebben de traditionele kijk op security en het beveiligingsbeleid van veel organisaties ingehaald. Organisaties die Zero Trust omarmen zijn minder vatbaar voor externe aanvallen en dreigingen van binnenuit", schrijft de instantie.
Concrete tips die het NCSC geeft zijn om bij het verplaatsen naar een cloudomgeving direct een zerotrustmodel in te bouwen, eindgebruikers te betrekken en samen te werken met ict-leveranciers. Ook raadt het NCSC bedrijven aan het model eerst toe te passen op kleine omgevingen en van daaruit uit te bouwen, en dat people-centered security moet worden gevolgd om te voorkomen dat gebruikers beveiligingen proberen te omzeilen. Het document geeft daarnaast tips voor netwerksegmentatie, authenticatieprotocollen, monitoring en logging, en automatiseringen.
Zero trust is een bestaand beveiligingsmodel dat ook internationaal steeds meer gevolgd wordt. Een zerotrustmodel is een manier voor een organisatie om bijvoorbeeld te bepalen welke apparaten of personen met een netwerk of elkaar kunnen verbinden. In tegenstelling tot een 'trust, but verify'-model wordt onder zerotrust niets toegelaten tenzij het aan bepaalde eisen voldoet. Met de opkomst van cloudomgevingen en werken op afstand levert dat bestaande 'trust, but verify'-model vaak beveiligingsrisico's op. Het maakt het bijvoorbeeld makkelijker voor aanvallers om horizontaal door een systeem te bewegen.