Identiteitslekken ontstaan zelden door een geniale hacker in een donkere kamer. Dat beeld is hardnekkig, maar meestal onjuist. In de praktijk begint het met iets veel prozaïscher: iemand die op een verkeerde link klikt, een oud account dat “ooit nog nodig kon zijn”, of een beheerder die al jaren structureel te veel rechten heeft. Geen zero-day, geen Hollywood, gewoon dagelijkse routine.
Natuurlijk zetten we daar techniek tegenover. MFA bijvoorbeeld. Dat voelt veilig, want er staat een vinkje. Maar wie ooit gedacht heeft dat MFA menselijk gedrag corrigeert, overschat mensen en onderschat gemak. Wie klakkeloos op “toestaan” drukt omdat die melding toch wel weer weg moet, helpt de aanvaller vriendelijk naar binnen. Push-moeheid is geen theorie, het is wat er gebeurt als je beveiliging botst met werkdruk.
Daarbovenop komt de structurele chaos die we normaal zijn gaan vinden. Accounts die blijven bestaan “voor de zekerheid”. Rechten die ooit logisch waren, maar dat al lang niet meer zijn. Koppelingen met leveranciers en API’s waar niemand echt eigenaar van is, maar die wel volledige toegang hebben. Aanvallers hoeven niet creatief te zijn; ze hoeven alleen maar te kijken waar niemand meer kijkt.
Wat hier vaak ontbreekt, is grip. En nee, dat begint niet bij nóg een tool. Grip betekent weten welke identiteiten er zijn, menselijk en niet-menselijk, intern en extern. Weten wie toegang heeft tot wat, en vooral waarom. En dat niet één keer bij een audit, maar continu. Zodra die “waarom”-vraag ongemakkelijk wordt, zit je meestal goed.
MFA, firewalls en logging zijn nuttig, daar is geen discussie over. Maar zonder structureel beheer van identiteiten, rechten en gedrag blijft het dweilen met de kraan open. Sterker nog: extra techniek kan de illusie van controle versterken, terwijl de onderliggende rommel rustig blijft liggen.
De ongemakkelijke conclusie is dat identiteitsbeveiliging minder een technisch probleem is dan we graag doen voorkomen. Het is een organisatievraagstuk. Over eigenaarschap. Over discipline. Over durven opruimen. En ja, dat is minder sexy dan een nieuw platform aanschaffen.
Hoe houden jullie grip op identiteiten, binnen én buiten de organisatie?