‘Detectie is niet langer genoeg; het is tijd om security opnieuw te ontwerpen’
De aanval op de Poolse energie-infrastructuur in 2025 duurde niet lang. Aanvallers gebruikten blootgestelde remote access-verbindingen om door te dringen tot de communicatie- en controlelagen van gedistribueerde energiebronnen. Geen spraakmakende zero-day en geen maandenlange voorbereiding. Gewoon een slecht beveiligde verbinding en een aanvaller die wist wat hij zocht.
TEKST: Troy Gratama BEELD: Sentyron
Dit incident illustreert iets wat al jaren sluimert maar zelden hardop wordt uitgesproken: we hebben het beveiligingslandschap decennialang gebouwd op de aanname dat we aanvallers kunnen zien binnenkomen. En die aanname klopt niet meer.
De architectuur die we bouwen, beschermt niet wat we denken te beschermen
Jarenlang was het beveiligingsparadigma helder: je bouwde een perimeter, je zette monitoring neer en je reageerde op alerts. EDR, SIEM, SOC’s en incident response teams zijn allemaal variaties op dezelfde basisfilosofie: detecteer en reageer, zie het aankomen en grijp in.
Dat model is langzaam uitgehold. De traditionele perimeter bestaat niet meer: cloud, remote access en een groeiend ecosysteem van leveranciers en ketenpartners hebben de grens tussen ‘binnen’ en ‘buiten’ onherkenbaar gemaakt. Iedere verbinding met een externe partij is een potentieel aanvalspad. SolarWinds liet dat in 2020 al pijnlijk zien: een kwaadaardige update via een vertrouwde softwareleverancier gaf aanvallers toegang tot tientallen Amerikaanse overheidsinstanties, terwijl detectiesystemen niets opmerkten omdat alles via een vertrouwd kanaal binnenkwam.
AI verandert de schaal, snelheid en onzichtbaarheid van aanvallen
Aanvallen worden bovendien sneller, persoonlijker en moeilijker te onderscheiden van legitiem verkeer. AI stelt aanvallers in staat om op grote schaal reconnaissance te doen, phishingcampagnes te automatiseren die op individueel niveau overtuigend zijn, en aanvalspatronen te genereren die bewust afwijken van wat traditionele detectiesystemen als verdacht herkennen.
De implicatie is ongemakkelijk: als detectie afhankelijk is van het herkennen van afwijkend gedrag, maar aanvallers steeds beter worden in het nabootsen van normaal gedrag, dan is detectie structureel aan het verliezen. Niet omdat het slecht is uitgevoerd, maar omdat de aanname waarop het rust niet meer geldt.
“
Een firewall biedt beleid, een datadiode biedt garantie
Laterale beweging tegenhouden vraagt om ontwerp, niet om alerts
Daar komt bij dat de meest schadelijke fase van een aanval doorgaans niet de binnenkomst is, maar wat erna gebeurt. Zodra een aanvaller eenmaal binnen is, via een gestolen credential of een gecompromitteerde leverancier, begint het zoeken naar bredere toegang. Laterale beweging, het stap voor stap doorbewegen van systeem naar systeem op zoek naar waardevollere bestemmingen, is wat een inbreuk verandert in een incident.
In te veel infrastructuren is dat doorbewegen nog verrassend eenvoudig, omdat netwerken historisch zijn ingericht op connectiviteit en niet op containment. Wie laterale beweging serieus wil tegenhouden, moet de architectuur zo inrichten dat doorbewegen technisch onmogelijk wordt: harde segmentatie, strikte controle op wat tussen segmenten mag stromen, en encryptie die ook binnen het interne netwerk blijft gelden.
Architectuur als beveiligingsinstrument
De vraag die toezichthouders steeds vaker stellen, is dan ook niet of je gesegmenteerd hebt, maar of je aantoonbaar kunt maken dat die segmentatie waterdicht is. Dat vereist security als onderdeel van de architectuur zelf, in plaats van als laag erbovenop. Startpunt is steeds dezelfde vraag: welke informatiestromen zijn absoluut noodzakelijk, en wat is de meest beperkte, controleerbare manier om die mogelijk te maken?
In OT-omgevingen, waar productieprocessen afhankelijk zijn van sensoren en systemen die niet blootgesteld mogen worden aan schrijftoegang vanuit IT, is de datadiode de meest vergaande uitwerking: geen firewall die verkeerd geconfigureerd kan worden, maar een hardware-afdwingbare eenrichtingsverbinding. Een firewall biedt beleid, een datadiode biedt garantie. Datzelfde principe geldt voor encryptie: end-to-end-versleuteling tussen domeinen, over clouds en leveranciersketens heen, verschuift de bescherming van de verbinding naar de data zelf. Zelfs als een aanvaller toegang krijgt tot de infrastructuur, blijft de informatie ontoegankelijk.
“
De vraag wie er werkelijk toegang heeft tot onze data, wordt niet beantwoord met een verwerkersovereenkomst, maar met architectuur
Er is nóg een dimensie die zwaarder gaat wegen: digitale soevereiniteit. De CLOUD Act geeft Amerikaanse autoriteiten het recht om data op te vragen bij Amerikaanse cloudproviders, ongeacht waar die fysiek is opgeslagen. EU Data Act, NIS2 en nationale soevereiniteitskaders gaan in dezelfde richting: contractuele afspraken zijn geen garantie meer, alleen technische controle is dat. De vraag “wie heeft er werkelijk toegang tot onze data?” wordt niet beantwoord met een verwerkersovereenkomst, maar met architectuur.
Wat dit betekent voor de beveiligingsstrategie
Geen van het bovenstaande betekent dat monitoring en detectie overboord kunnen. Beide blijven nodig, maar de verhouding verschuift. De vraag is niet langer alleen hoe snel we het zien, maar ook: wat kunnen aanvallers doen als ze al binnen zijn, en hoe beperken we dat structureel?
Het antwoord vereist een verschuiving van een reactief naar een architectureel beveiligingsmodel, waarbij gevoelige systemen beschermd zijn door ontwerp, segmentatie aantoonbaar is en encryptie doorloopt tot in de data zelf. Voor vitale sectoren is dat geen abstracte ambitie, maar wat NIS2 vraagt en wat de dreigingsontwikkeling vereist.
De perimeter bestaat niet meer. Het is tijd om te stoppen met hem te verdedigen.
Troy Gratama werkt bij Sentyron, specialist in high-assurance beveiligingsoplossingen voor overheid, defensie en kritieke infrastructuur.
