Stel je voor dat een aanvaller vandaag inlogt in jouw organisatie.
Niet door een hack, maar met een legitiem account. Wat kan die persoon dan allemaal zien?
Organisaties investeren meer dan ooit in cybersecurity.
Toch blijven datalekken, accountmisbruik en ransomwareincidenten toenemen.

Hoe kan dat?
Het grootste risico ontstaat tegenwoordig niet aan de buitenkant van het netwerk, maar binnen de omgeving nadat iemand succesvol is ingelogd.
Security controleert vooral toegang, maar wat gebeurt er na die toegang?
Zodra een account is geauthenticeerd, kunnen systemen data lezen, combineren en exporteren zonder dat dit direct als afwijkend gedrag wordt gezien.
Een recent voorbeeld is het datalek bij Odido.
Aanvallers verkregen via phishing en social engineering de inloggegevens van medewerkers en wisten ook tweefactorauthenticatie te omzeilen.
De toegang zelf was technisch legitiem, de echte impact ontstond daarna.
Met die toegang konden grote hoeveelheden klantdata worden benaderd en geëxporteerd.
Dit patroon zien we steeds vaker, het probleem is zelden alleen de eerste toegang.

Het probleem is de blast radius daarna en hier komt vaak het oh-moment.
Wanneer organisaties voor het eerst inzicht krijgen in hun dataomgeving, blijkt regelmatig dat een groot deel van de interne data toegankelijk is voor veel meer gebruikers dan gedacht.
Niet door één fout maar door jaren aan projecten, gedeelde mappen, SaaS-applicaties en tijdelijke rechten die permanent zijn geworden.
Security ging ooit over het buiten houden van aanvallers, vandaag gaat het over wat er gebeurt als ze al binnen zijn.

De vraag is dus niet: Wie mag naar binnen? Maar: Wat mogen ze daarna doen met jouw data?
Serieuze vraag: Weet jouw organisatie echt wie toegang heeft tot je gevoelige data?