Waarom Zero Trust de nieuwe standaard is voor IT-beveiliging

en medewerker van een middelgroot IT-bedrijf klikt op een e-mail. Het lijkt van HR. Binnen 48 uur liggen de klantdata van 12.000 bedrijven op straat. Het was geen geavanceerde aanval. Het was een gestolen wachtwoord en een netwerk dat te veel vertrouwde.

Dit scenario herhaalt zich wekelijks. Volgens het Verizon Data Breach Investigations Report 2024 begint 68% van alle datalekken bij gecompromitteerde inloggegevens. Niet bij geavanceerde zero-day exploits. Bij een gebruiker die te veel toegang had.

Vertrouwen als kwetsbaarheid

Traditionele netwerkbeveiliging werkt als een kasteel met een slotgracht: wie binnen is, wordt vertrouwd. VPN, firewalls, een beveiligde perimeter — en daarbinnen relatief vrije beweging. Dat model werkte toen medewerkers op vaste werkplekken zaten en applicaties op eigen servers draaiden.

Die wereld bestaat niet meer. Hybride werken, SaaS-applicaties, cloudinfrastructuur en externe leveranciers hebben de perimeter opgelost. Er ís geen binnenkant meer.

Zero Trust is het antwoord op die realiteit. Het principe is simpel: vertrouw niemand automatisch, verifieer altijd, beperk toegang tot wat strikt noodzakelijk is. Niet één keer bij inloggen, maar continu — bij elke sessie, elke applicatie, elke bestandstoegang.

Van concept naar standaard

Zero Trust bestaat als concept al since 2010, toen John Kindervag het formuleerde bij Forrester Research. Maar de adoptie versnelde pas na twee gebeurtenissen: de SolarWinds-aanval in 2020 — waarbij aanvallers maandenlang onopgemerkt door Amerikaanse overheidsnetwerken bewogen — en de executive order van de Amerikaanse president Biden in 2021, die Zero Trust verplicht stelde voor alle federale overheidssystemen.

Europa volgde. De NIS2-richtlijn, die in oktober 2024 van kracht werd in EU-lidstaten, verplicht organisaties in kritieke sectoren tot aantoonbare maatregelen rondom toegangsbeveiliging, monitoring en incidentrespons. Zero Trust is geen specifieke vereiste in de richtlijn — maar het is wel het kader dat de meeste compliance-consultants adviseren om eraan te voldoen.

Wat implementatie werkelijk betekent

Zero Trust is geen product dat je koopt. Het is een architectuurprincipe dat door meerdere lagen van je IT-omgeving heen moet worden doorgevoerd. Identity & Access Management, endpoint-beveiliging, netwerksegmentatie, monitoring en logging — al deze componenten moeten op elkaar aansluiten.

Microsoft Entra ID, Zscaler, CrowdStrike, Palo Alto Networks — dit zijn de leveranciers die in de praktijk het meest worden ingezet. Maar de keuze voor tooling is pas stap twee. Stap één is begrijpen welke data en systemen het meest kritisch zijn, wie er toegang toe heeft en of die toegang gerechtvaardigd is.

Veel organisaties ontdekken bij die inventarisatie iets onaangenaams: tientallen accounts met te ruime rechten, ex-medewerkers die nog actief zijn in systemen, applicaties die jaren geleden zijn ingericht en nooit opgeruimd.

De businesscase

IBM's Cost of a Data Breach Report 2024 becijferde de gemiddelde kosten van een datalek op 4,88 miljoen dollar wereldwijd. Voor Europese organisaties lag dat lager, maar inclusief boetes onder GDPR, reputatieschade en herstelkosten kom je snel in de miljoenen.

De vraag is niet of Zero Trust duur is. De vraag is wat het kost om het niet te doen.

Voor organisaties die nu starten, is de aanbeveling consistent: begin niet met de technologie, begin met de inventarisatie. Wie heeft toegang tot wat — en waarom? Dat antwoord bepaalt de architectuur. De rest volgt.