CISO’s in de publieke sector beschikken over goed uitgewerkte Zero Trust-maatregelen. Maar de Zero Trust-architectuur is een toegangsmodel, geen integriteitsmodel – en dat zijn twee verschillende dingen. Hier ligt de kloof, en hier is een gedecentraliseerd mechanisme om die te dichten.
Je hebt de migratie naar de cloud goedgekeurd. Je hebt een Zero Trust-architectuur geïmplementeerd. Je identiteitsbeheer is goed op orde, je toegangsbeleid is streng en je raad van bestuur is ingelicht. Vanuit het perspectief van de beveiligingsperimeter is het risico onder controle.
Dit is wat die architectuur je niet biedt: enige cryptografische garantie dat de gegevens in de infrastructuur van je cloudprovider zijn niet stiekem gewijzigd nadat je ze daar hebt opgeslagen. Niet door een externe aanvaller. Niet door een onder druk gezette beheerder. Niet door de provider zelf op grond van een rechtsinstrument waarvan je nooit op de hoogte bent gesteld.
Toegangscontrole en gegevensintegriteit zijn niet dezelfde architecturale eigenschap. Bij de meeste cloudimplementaties in de publieke sector worden ze behandeld alsof dat zo is – en die verwarring is een van de meest ingrijpende blinde vlekken die een CISO binnen de overheid kan hebben.
Here, the boundary between the two is defined, it explains the threat profile that makes this distinction critical in public sector environments specifically, and walks through the mechanism - blockchain-anchored cryptographic fingerprinting - that closes the gap. It maps the compliance obligations that make addressing this gap a regulatory requirement rather than a discretionary architecture decision.
Toegangscontroles op basis van Zero Trust controleren de inhoud niet
De Zero Trust-architectuur is gebaseerd op een principe NIST SP 800-207 stelt ondubbelzinnig vast: er wordt geen impliciet vertrouwen geschonken aan activa of gebruikersaccounts op basis van hun fysieke of netwerklocatie. Elk toegangsverzoek wordt geauthenticeerd, geautoriseerd en voortdurend gevalideerd. Het is een rigoureus, duidelijk omschreven model om te bepalen wie wat mag raadplegen, onder welke voorwaarden en voor hoe lang.
Het is geen model om te controleren wat die bron precies bevat.
Het verschil is van architectonische aard, niet van semantische aard. Wanneer je ZTA-beleidsengine vaststelt dat een geauthenticeerde, geautoriseerde gebruiker op dinsdag om 14:23 uur toegang heeft gekregen tot een document, heeft deze precies gedaan waarvoor hij is ontworpen. Er is geen mechanisme om vast te stellen of dat document dezelfde inhoud bevat als toen het oorspronkelijk werd opgesteld. De vraag – of deze gegevens tussen het moment waarop ze voor het laatst correct waren en nu zijn gewijzigd – valt volledig buiten het beheergebied van de ZTA.
NIST SP 800-207A, dat de Zero Trust-principes uitbreidt naar cloud-native en multi-cloud-omgevingen binnen de overheid, wijst op een verdere structurele beperking: in veel overheidsarchitecturen, waaronder air-gapped systemen en gefedereerde omgevingen waarin meerdere instanties samenwerken, is één enkel, uniform besturingsvlak onhaalbaar. ZTA-handhavingspunten kunnen simpelweg niet alle bewerkingen op infrastructuurniveau waarnemen – met name die welke plaatsvinden binnen het opslagsubstraat dat door uw cloudprovider wordt beheerd.
Dat is de grens. Uw cloudprovider beschikt over de technische mogelijkheden, in veel standaardconfiguraties, tot toegang krijgen tot of wijzigingen aanbrengen in opgeslagen gegevens zonder dat er ook maar één ZTA-beleidswaarschuwing wordt geactiveerd. Dit is geen beschuldiging van wangedrag door de provider. Het is een architectonisch gegeven van het model van gedeelde verantwoordelijkheid – en juist deze leemte maakt een afzonderlijke integriteitscontrolaar nodig die onafhankelijk is van het beheerdomein van uw cloudprovider.
Het dreigingsprofiel van de publieke sector is niet algemeen
Elke organisatie loopt het risico op bedreigingen van binnenuit. Voor organisaties in de publieke sector gelden hierbij gevolgen die veel verder reiken dan de eigen bedrijfsvoering van de organisatie.
Een gemanipuleerd aanbestedingsdossier stelt een instantie niet alleen bloot aan auditbevindingen – het kan ook een aanbestedingsbeslissing ondermijnen die gevolgen heeft voor honderden miljoenen aan overheidsuitgaven. Een gewijzigd beleidsdocument leidt niet alleen tot interne inconsistenties – het kan een wetgevings- of regelgevingsproces ongeldig maken. De integriteit van burgergegevens is geen kwestie van commerciële aansprakelijkheid. Het is een kwestie van publiek vertrouwen, waaraan democratische verantwoording verbonden is.
De Verizon-rapport over onderzoeken naar datalekken 2024 plaatsen het openbaar bestuur als de sector waarin de meeste niet-kwaadwillige bedreigingen door insiders plaatsvinden. In alle sectoren speelde bij 68% van de datalekken een menselijke factor een rol – een fout, misbruik van toegangsrechten of social engineering – waarbij een deel van de gelekte gegevens zich in meerdere cloudomgevingen bevond. Overheidsimplementaties, die doorgaans zowel eigen infrastructuur op locatie als één of meer openbare cloudproviders tegelijk omvatten, vallen volledig binnen dit blootstellingsprofiel met meerdere omgevingen.
De tijdlijn van de ontdekking verergert de blootstelling. De Het wereldwijde rapport van het Ponemon Institute over de kosten van interne risico’s in 2025 schat de gemiddelde periode tussen detectie en beheersing van bedreigingen van binnenuit op 81 dagen, waarbij cloudomgevingen als een van de punten van zorg worden aangemerkt. In een overheidscontext betekent 81 dagen onopgemerkte manipulatie dat er gedurende 81 dagen mogelijk gecorrumpeerde gegevens worden gebruikt voor beleidsbeslissingen, ter ondersteuning van aanbestedingsprocessen, bij het beantwoorden van vragen van het parlement of het congres, en in de omgang met burgers. Elke verdere handeling die wordt uitgevoerd op basis van gemanipuleerde gegevens, neemt dit integriteitsprobleem over.
De financiële kant zorgt voor nog meer druk. Het aantal incidenten met kwaadwillende insiders bedraagt nu gemiddeld $ 779.707 per incident, waarbij de totale jaarlijkse kosten van incidenten met voorkennis per organisatie oplopen tot $8,8 miljoen. Voor overheidsinstanties komen deze kosten niet alleen ten laste van de overheidsmiddelen, maar brengen ze ook politieke verantwoordelijkheid met zich mee.
De gedecentraliseerde integriteitslaag: wat het is en wat het doet
Het mechanisme is conceptueel eenvoudig en cryptografisch robuust. Het belangrijkste is dat uw document op geen enkel moment in het proces uit uw bezit hoeft te raken.
Voor elk document of gegevensobject dat u wilt beveiligen, wordt op basis van de inhoud ervan een cryptografische hash – een unieke digitale vingerafdruk – gegenereerd met behulp van een algoritme zoals SHA-256. De hashfunctie neemt het document als invoer en produceert een uitvoerreeks van vaste lengte, ongeacht of het brondocument een briefing van twee pagina’s is of een regelgevingsdossier van 10.000 pagina’s. Dat de uitvoer wordt wiskundig afgeleid uit elk bit van de inhoud van het document op dat specifieke moment. Als je ergens één teken verandert – een decimaalteken, een zinsdeel, een tijdstempel in de metagegevens – is de resulterende hash totaal anders.
Deze vingerafdruk wordt vervolgens vastgelegd op een blockchain: een onveranderlijk, gedistribueerd grootboek waarover geen enkele partij de controle heeft. De registratie is voorzien van een tijdstempel en is dankzij de structurele opzet van het grootboek fraudebestendig. Wat in de keten wordt vastgelegd, is de vingerafdruk, niet het document zelf. De inhoud van het document, de geheimhoudingsclassificatie, de betrokken partijen, de voorwaarden – niets daarvan wordt bekendgemaakt. Het grootboek weet alleen dat er op tijdstip T een document met precies deze inhoudstoestand bestond.
Verificatie is de omgekeerde bewerking. Wanneer je aan een auditor, toezichthouder of tegenpartij moet aantonen dat een document niet is gewijzigd sinds het is verzegeld, genereer je een nieuwe hash van het huidige document en vergelijk je deze met het on-chain-record. De vaststelling is binair en wiskundig zeker. Als de hashes overeenkomen, is het document identiek aan de geregistreerde versie. Als dat niet het geval is, is de inhoud gewijzigd – en één enkel teken dat ergens is gewijzigd, leidt al tot een geheel andere hash. Er is geen onduidelijkheid, geen ruimte voor interpretatie en er hoeft niet te worden vertrouwd op de garantie van de aanbieder.
De fraudebestendigheid van het grootboek is structureel. De hash van elk blok bevat de hash van het voorgaande blok. Het wijzigen van een historisch record vereist dat elk volgend blok opnieuw wordt berekend en dat er gelijktijdig consensus wordt bereikt binnen het gehele gedistribueerde netwerk – wat computationeel onhaalbaar is bij elke gevestigde blockchain. Dit is geen vertrouwensmodel. Het is een wiskundige beperking op de mogelijkheid van stille, onopgemerkte wijzigingen.
Bij implementaties in de publieke sector wordt doorgaans gebruikgemaakt van een permissioned blockchain – waarbij Hyperledger Fabric het meest gangbare bestuursmodel voor bedrijven is – waarbij de deelname aan het netwerk wordt gecontroleerd en bepaald door het consortium. Een hybride architectuur voegt een tweede laag toe door de root-hash van de permissioned blockchain periodiek te verankeren aan een openbare blockchain zoals Ethereum. Deze ‘hash-of-hashes’-verbinding houdt in dat zelfs als het permissioned netwerk gecompromitteerd zou raken, de openbare blockchain levert een onafhankelijk verifieerbaar bewijs met een wereldwijde tijdstempel. De inhoud van uw document blijft de hele tijd binnen uw gecontroleerde omgeving – alleen de hash wordt verzonden, niet het bestand zelf.
Dit is precies de architectuur die Port of Trust productiemiddelen. Port of Trust vormt de cryptografische kern van de Truth Enforcer framework – een op blockchain gebaseerde integriteitslaag die is ontworpen om elk bestand, elk record of elke gebeurtenis te voorzien van een cryptografische vingerafdruk en het bewijs daarvan op openbare blockchains op te slaan, zonder dat er ooit gevoelige gegevens uw omgeving verlaten. Alleen de hash wordt op de blockchain opgeslagen. Het originele document blijft onder uw controle. De verificatie kan op elk moment onafhankelijk worden uitgevoerd - inclusief de jaren na de oorspronkelijke verzegeling - met volledige transparantie en controleerbaarheid, en zonder dat de verifiërende partij systeemtoegang of inloggegevens nodig heeft. Voor organisaties in de publieke sector die deze mogelijkheid nodig hebben zonder de extra kosten van een maatwerkimplementatie, Truth Enforcer biedt een productieklaar systeem voor het operationeel verzegelen van bestanden, met een bijbehorende Truth Verifier-tool waarmee auditors, toezichthouders en controle-instanties de authenticiteit van documenten kunnen verifiëren via een openbare interface – zonder dat daarvoor toegang tot het interne systeem nodig is. Het integriteitsbewijs is van jou. Het is onafhankelijk verifieerbaar. En het bevindt zich volledig buiten het beheersbereik van je cloudprovider.
Waarom dit goedkoper is dan het alternatief
Bij het in kaart brengen van de kosten voor een CISO in de publieke sector spelen twee gelijktijdige verantwoordingskanalen een rol die in de particuliere sector niet in dezelfde vorm bestaan: financiële kosten en kosten in verband met publieke verantwoordingsplicht. Beide situaties doen zich voor wanneer gemanipuleerde gegevens onopgemerkt blijven.
Op financieel vlak lopen de kosten het snelst op tijdens de detectiefase. De IBM-rapport over de kosten van een datalek 2024 stelt een detectiepremie van $980.000 vast tussen inbreuken die door de aanvaller openbaar worden gemaakt en die welke intern worden vastgesteld – wat betekent dat elke extra dag van Onopgemerkte manipulatie houdt een meetbaar financieel risico in. Bij de door Ponemon gehanteerde gemiddelde detectietermijn van 81 dagen is die meerprijs geen theoretisch gegeven.
Op operationeel niveau is de ‘archiveringsverplichting’ het risico dat in cloudprogramma’s van de overheid het meest stelselmatig wordt onderschat. Documenten in het archief worden minder vaak gecontroleerd en er wordt uitgegaan van stabiliteit. Wanneer die veronderstelling niet opgaat – tijdens een onderzoek door de toezichthouder, een verzoek om openbaarmaking van informatie, een parlementair onderzoek of een bewijsgaring in het kader van een rechtszaak – de integriteitsfout wordt op het slechtst mogelijke moment ontdekt, met de grootst mogelijke gevolgen.
De implementatiekosten van een integriteitslaag op basis van een permissioned blockchain, die als gedeelde dienst binnen een instantie of departement wordt beheerd, zijn aanzienlijk lager dan de kosten van één enkel incident met een kwaadwillende insider – nog afgezien van de juridische, regelgevende, reputatie- en politieke risico’s. Het argument van soevereiniteit voegt een strategische dimensie toe: uw integriteitsbewijs bevindt zich buiten het administratieve domein van uw cloudprovider, blijft bestaan ongeacht uw contract met de provider en gaat met u mee bij heronderhandelingen, een migratie of beëindiging van het contract. Dat is een troef voor het programma, geen extra kostenpost.
Overwegingen bij de implementatie van architecturen in de publieke sector
Een op blockchain gebaseerde integriteitslaag is per definitie cloud-onafhankelijk. Of uw workloads nu draaien op AWS GovCloud, Microsoft Azure Government, een soeverein datacenter op eigen terrein of een hybride combinatie van deze drie, de hash-laag functioneert overal op dezelfde manier. Het leidende principe verandert niet naargelang de infrastructuur: Je integriteitsbewijs moet altijd ergens worden bewaard waar je cloudprovider er geen toegang toe heeft.
Bij implementatie in overheidsomgevingen is een op classificatie afgestemde werkwijze van groot belang. Documenten van het niveau OFFICIAL kunnen bij het schrijven worden voorzien van een vingerafdruk en op gezette tijden worden geverifieerd. Documenten met de classificatie „OFFICIAL SENSITIVE“ en hoger moeten bij elke toegang en bij elk uitgaand punt worden geverifieerd, waarbij de hash, het tijdstempel en de identiteit van de gebruiker als extra on-chain-record worden vastgelegd. Slimme contracten handhaven deze workflow automatisch: een in code gedefinieerd beleid dat zonder menselijke tussenkomst wordt uitgevoerd, toegangsverificatie omzetten van een procedurele handeling in een cryptografisch verslag dat niet achteraf kan worden gewijzigd.
Integratie met de bestaande infrastructuur is op architecturaal niveau eenvoudig. Het genereren van hashes wordt als een extra telemetriefeed geïntegreerd in bestaande SIEM- en SOAR-workflows. Voor overheidsorganisaties die grote hoeveelheden documenten beheren via SharePoint – dat nog steeds het meest gebruikte documentbeheerplatform is binnen de centrale overheid in het Verenigd Koninkrijk, Australië en bij de overheidsinstanties van de EU-lidstaten – Truth Enforcer for SharePoint integreert de workflow voor verzegeling en verificatie rechtstreeks in de documentbibliotheek, zonder dat gebruikers hun werkwijze hoeven aan te passen of IT-teams een op maat gemaakte integratielaag hoeven te ontwikkelen. Secure Sync for SharePoint breidt dit verder uit in implementaties met meerdere omgevingen, waardoor beleidsgestuurde synchronisatie van documentbibliotheken mogelijk wordt tussen on-premises, hybride en cloud-instanties van SharePoint, met filterinstellingen die classificatiegerichte gegevensstromen afdwingen – zodat alleen goedgekeurde, niet-gevoelige inhoud tussen beveiligingszones wordt doorgegeven, terwijl integriteitszegels met het document meereizen.
Configuraties voor de opslag van onveranderlijke objecten – S3 Object Lock, Azure Immutable Blob Storage – vormen een nuttige procedurele aanvulling, maar vallen nog steeds onder het beheer van de provider en mag niet worden beschouwd als vervanging voor een onafhankelijk integriteitsbewijs. Archiefmanifesten die zijn gestructureerd als Merkle-bomen bieden een wiskundig verifieerbare afstemming op collectieniveau – waarmee wordt voldaan aan de eis voor integriteitscontroles bij het herstel na ICT-incidenten, een bepaling die rechtstreeks van toepassing is op overheidsinstanties die onder NIS2 vallen.
De kwestie van het beheer vereist weloverwogen aandacht: het gaat hier om vraagstukken op het gebied van programmabeheer, niet om technische kwesties. Wie is de eigenaar van het blockchain-knooppunt? Wie bepaalt en controleert de frequentie van de verificaties? Hoe wordt de detectie van integriteitsafwijkingen geïntegreerd in uw bestaande draaiboek voor incidentrespons? Deze zaken horen tegelijkertijd thuis in de documentatie van uw cloudstrategie en in uw raamwerk voor het beheer van risico’s van derden – ze mogen niet bij de implementatie worden opgelost en vervolgens nooit meer worden herzien.
Het probleem van de gegevensintegriteit oplossen
De Zero Trust-architectuur was het juiste antwoord op het wegvallen van de perimeter. Het heeft het vertrouwensmodel opnieuw vormgegeven rond identiteit, toegang en voortdurende verificatie – en dat heeft het op de juiste manier gedaan. Maar het loste alleen het probleem van de toegangscontrole op. Het probleem van de gegevensintegriteit is een ander probleem, en het blijft bij de meeste cloudimplementaties in de publieke sector onopgelost.
Uw ZTA laat zien wie het document heeft geopend. Het kan echter niet aangeven of het document nog steeds hetzelfde is als toen u het verzegelde. Dat is geen tekortkoming in uw toegangsbeleid. Dat is een hiër in je bewijsketen - en in een overheidscontext vormt uw bewijsketen tevens uw audittraject, uw administratie ten behoeve van de regelgeving en uw instrument voor democratische verantwoording.
Truth Enforcer vult die leemte op zonder ingewikkeldheid en zonder concessies. Het breidt uw cryptografische bewakingsketen uit van het toegangsmoment naar de status van de inhoud – waardoor u, uw regelgevers en uw toezichthoudende instanties een verifieerbaar antwoord krijgen op de vraag die er het meest toe doet: Zijn deze gegevens stilletjes gewijzigd sinds ze zijn verzegeld? Er verlaat geen gevoelige inhoud uw omgeving. Er is geen eigen vertrouwensmodel nodig. Het bewijs kan door iedereen, op elk moment, onafhankelijk worden gecontroleerd, zonder dat er systeemtoegang nodig is.
Je cloudprovider biedt je infrastructuur aan. De gedecentraliseerde integriteitslaag levert je het bewijs. In de publieke sector is bewijs geen optie.
.
Wil je zien hoe onafhankelijke integriteitscontrole er in de praktijk uitziet?
Probeer het gratis - geen verplichting:
Waarheidscontroleur voor IP-makers: https://truth-verifier.com/landing
Waarheidscontroleur voor journalisten: https://truthverifier.news/landing
Neem contact met ons op om de implementatie van Truth Enforcer in uw organisatie te bespreken: https://www.connecting-software.com/truth-enforcer-sign-up/
Door Francisco Rodrigues, Product Manager
"Ik schrijf over hoe software-integraties zich kunnen aanpassen aan bedrijfsomgevingen en kunnen inspelen op branchespecifieke eisen. Ik wil ondernemingen de weg wijzen om processen te stroomlijnen, knelpunten te elimineren en compliance te garanderen door teams en C-suite executives te voorzien van de juiste tools."