Als je securitynieuws volgt, krijg je het idee dat elke organisatie op het randje van de afgrond balanceert door een onbekende, ongepatchte kwetsbaarheid waar een geavanceerde actor misbruik van gaat maken. Zero days hebben een bijna mythische status gekregen. Ze zijn zeldzaam, technisch indrukwekkend en perfect voor headlines.
Bestuurders horen het woord en denken: dit is geavanceerd. Dit is serieus. Dit is waarom we moeten investeren.
Maar als je eerlijk kijkt naar incidenten in organisaties, dan zie je zelden een hypermoderne zero day als hoofdoorzaak. Wat je wél ziet, zijn systemen die al jaren niet geüpdatet zijn. Applicaties waar niemand meer eigenaar van is. Accounts die nooit zijn opgeschoond. Netwerken die organisch zijn gegroeid zonder dat iemand nog het overzicht heeft.
Het echte risico heet niet zero day. Het heet veroudering. Complexiteit. Onvoldoende eigenaarschap.
Zero days zijn sexy omdat ze extern zijn. Ze komen van buiten. Ze zijn moeilijk te voorspellen. Ze geven ons een verhaal waarin wij het slachtoffer zijn van iets uitzonderlijks. Legacy daarentegen is pijnlijk, want dat is van onszelf. Dat is het resultaat van jaren keuzes: projecten boven onderhoud, innovatie boven consolidatie, snelheid boven architectuur.
En laten we eerlijk zijn: legacy is niet alleen technologie. Het is ook governance. Wie is eigenaar van dit systeem? Wie mag dit beslissen? Waarom draait deze applicatie nog? Waarom weten we het eigenlijk niet zeker?
Organisaties investeren liever in tooling tegen geavanceerde dreigingen dan in het opruimen van oude rommel. Want tooling is zichtbaar. Een nieuw platform kun je presenteren. Een opgeschoond landschap niet. Dat is stil werk. Ondankbaar werk.
Toch zit daar de grootste reductie van risico. Niet in het jagen op het onbekende, maar in het beheersen van het bekende. Niet in het najagen van de perfecte bescherming tegen het uitzonderlijke, maar in het structureel verkleinen van je aanvalsoppervlak door eenvoud.
Zero days bestaan. Ze zijn relevant. Ze kunnen schade veroorzaken. Maar ze zijn zelden het startpunt van structurele kwetsbaarheid. Die kwetsbaarheid ontstaat in jaren van technische schuld die niemand echt wil adresseren omdat het geen prestigeproject is.
Misschien moeten we onszelf een ongemakkelijke vraag stellen. Als morgen alle zero days zouden verdwijnen, hoeveel van onze risico’s zouden dan echt weg zijn? En hoeveel zouden gewoon blijven bestaan omdat onze basis niet op orde is?
Security-volwassenheid gaat minder over het bestrijden van het spectaculaire en meer over het beheersen van het saaie. Patchmanagement. Lifecyclebeleid. Rationalisatie van applicaties. Heldere eigenaarschap. Architectuurdiscipline.
Dat levert geen spectaculaire LinkedIn-post op. Het levert wel minder incidenten op.
Zero days zijn het verhaal dat we elkaar vertellen om te rechtvaardigen dat security complex is. Legacy is het verhaal dat we vermijden omdat het vraagt om lange adem, bestuurlijke keuzes en soms pijnlijke sanering.
Misschien is de echte volwassen stap niet investeren in nóg een detectietool tegen het onbekende, maar de moed hebben om te erkennen dat onze grootste kwetsbaarheid al jaren in de kelder staat te draaien.