In 2025 vormt niet een firewall of verouderde software het grootste risico voor de digitale veiligheid van organisaties. Het zijn hun eigen cloud-omgevingen. Of beter gezegd: de vele digitale identiteiten die daar rondzwerven, vaak ongezien en onbeheerd. Dat blijkt uit het nieuwste Identity Security Landscape-rapport van CyberArk, gebaseerd op wereldwijd onderzoek onder duizenden organisaties in uiteenlopende sectoren, waaronder de financiële dienstverlening, gezondheidszorg en overheid.
Digitale identiteiten
De cloud biedt flexibiliteit en schaalbaarheid, maar is tegelijk een mijnenveld van toegangsrechten. Vooral ‘non-human identities’, zoals API-sleutels, container credentials en geautomatiseerde processen, blijken lastig te beheren. Tijdelijke identiteiten blijven vaak hangen, toegangsrechten worden niet ingetrokken, en niemand weet nog wie waar precies bij kan. Precies daar schuilt het gevaar.
Zero standing privileges
Zero standing privileges is het sleutelbegrip voor 2025. Het principe: niemand, mens of machine, krijgt standaard toegang tot gevoelige systemen. Alleen wanneer nodig, en altijd tijdelijk. Geen permanente sleutels onder de mat, maar gecontroleerde toegang op maat. Zonder die aanpak is het volgens het rapport onmogelijk om cloud-security serieus te nemen.
Beveiliging
Toch blijkt uit het onderzoek dat slechts een klein deel van de organisaties grip heeft op hun cloud-sessies. Beveiliging gebeurt vaak handmatig, zicht op alle toegangsrechten ontbreekt, en het detecteren van onnodige of verouderde toegang is een worsteling. Zeker bij organisaties die meerdere cloud-platformen combineren, groeit het risico exponentieel.
De gevolgen zijn niet alleen technisch. De razendsnelle cloud-adoptie zorgt ervoor dat cybersecurity-budgetten in 2025 verder stijgen. Maar met alleen meer geld kom je er niet. Wat nodig is, is een fundamentele koerswijziging: identity-first security.
Grip op security
Mark-Peter Mansveld van CyberArk verwoordt het scherp: “Zonder grip op identiteiten is er geen grip op security. Alles begint met de vraag: wie of wat krijgt toegang. En waarom?”
Cloud-beveiliging draait niet langer om muren optrekken, maar om deuren bewust beheren. Zicht, snelheid en beleid worden daarbij cruciale factoren.