Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Authenticatie geeft toegang. Governance bepaalt de schade.
Authenticatie geeft toegang. Governance bepaalt de schade.

Authenticatie geeft toegang. Governance bepaalt de schade.

by Patrick Spencer updated juni 1, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Eenenzeventig procent. Dat is het aandeel ondernemingen dat in 2025 een identiteitsgerelateerd datalek heeft meegemaakt volgens nieuw onderzoek van Sophos. Meer dan tweederde van de organisaties kreeg hun identiteitssystemen in één jaar gecompromitteerd. Zesenzestig procent van de ransomware-aanvallen in het onderzoek begon met identiteitscompromittering. En toen onderzoekers de oorzaken analyseerden, ontdekten ze iets dat meer aandacht verdient: niet-menselijke identiteiten — API-sleutels, serviceaccounts en OAuth-tokens — waren de hoofdoorzaak in 41% van de incidenten.

In tegenstelling tot menselijke inloggegevens worden niet-menselijke identiteiten zelden gecontroleerd in kwartaalcycli voor toegangshercertificering, zelden periodiek vervangen, en zelden ingetrokken wanneer de relatie of workflow waarvoor ze zijn aangemaakt verandert. Ze nemen toe met een snelheid die menselijke identity management-programma’s niet aankunnen — elke applicatie-integratie creëert minstens één inloggegeven, elke geautomatiseerde workflow nog meer. In een volwassen multi-cloudomgeving kan een onderneming duizenden niet-menselijke identiteiten hebben, waarvan veel onzichtbaar zijn voor de identity governance-programma’s die menselijke accounts volgen.

Het CrowdStrike 2026 Global Threat Report voegt snelheid toe: de gemiddelde eCrime-dader bereikt een doorbraak — van initiële toegang tot laterale beweging — in slechts 29 minuten, met de snelste geregistreerde doorbraak op 27 seconden. De reactietijd van het beveiligingsteam op een gecompromitteerde niet-menselijke identiteit wordt vrijwel zeker gemeten in uren of dagen, niet in seconden.

5 Belangrijkste Inzichten

1. Identiteitsdatalekken zijn nu het uitgangspunt, geen uitzonderingsrisico meer.

Nieuw Sophos-onderzoek toont aan dat 71% van de ondernemingen in 2025 een identiteitsgerelateerd datalek heeft meegemaakt, waarbij 67% van de ransomware-aanvallen begon met identiteitscompromittering. De gemiddelde kosten van een datalek bedroegen $1,64 miljoen — een bedrag dat alleen de beheerskosten weerspiegelt voordat de volledige impact wordt berekend. De architecturale vraag is niet langer hoe elk datalek te voorkomen, maar hoe de omgeving eruitziet wanneer een datalek plaatsvindt. Zero-trust gegevensbescherming is het antwoord.

2. Niet-menselijke identiteiten zijn het onderbeschermde aanvalsoppervlak.

API-sleutels, serviceaccounts en OAuth-tokens waren volgens de Sophos-data de hoofdoorzaak in 41% van de identiteitsdatalek-incidenten. Machine-inloggegevens nemen sneller toe dan menselijke inloggegevens, worden zelden gecontroleerd in toegangshercertificeringscycli en krijgen vaak bredere toegang dan nodig is. Integraties van externe API’s versterken dit — elke verbinding genereert inloggegevens die blijven bestaan lang nadat de relatie is veranderd.

3. Authenticatie is een poort, geen beperking.

Een gecompromitteerde API-sleutel geeft een aanvaller direct de volledige toegangsrechten van het bijbehorende serviceaccount — zonder verdere uitbuiting. Sterke authenticatie verkleint de kans op diefstal van inloggegevens. Het verandert echter niet wat gestolen inloggegevens kunnen bereiken. Het CrowdStrike 2026 Global Threat Report ontdekte dat de gemiddelde eCrime-doorbraaktijd 29 minuten is — het reactievenster dat de meeste organisaties hebben nadat een niet-menselijke identiteit is gecompromitteerd, is vele malen langer dan dat.

4. Content governance bepaalt de impact na falende authenticatie.

Zero-trust content governance zorgt ervoor dat zelfs geauthentiseerde toegang geen gevoelige content kan bereiken, tenzij dit expliciet is toegestaan door beleid en vastgelegd in een controleerbaar logbestand. De impact van elke identiteitscompromittering — menselijk of machine — is direct afhankelijk van toegangsbeheer, niet van de sterkte van authenticatie. 55% van de ondernemingen kan een gecompromitteerd geautomatiseerd proces niet isoleren volgens de Kiteworks 2026 Forecast — wat betekent dat de meeste organisaties de schade niet kunnen stoppen zodra een inloggegeven wordt misbruikt.

5. De gemiddelde kosten van $1,64 miljoen per datalek onderstrepen het belang van governance-investeringen.

Organisaties die incidenten binnen 30 dagen beheersen, hebben gemiddeld $14,2 miljoen aan jaarlijkse insiderrisicokosten volgens DTEX-onderzoek; organisaties die er meer dan 90 dagen over doen, gemiddeld $21,9 miljoen — een verschil van $7,7 miljoen dat direct de volwassenheid van governance weerspiegelt. De berekening is niet of je elk datalek moet voorkomen. Het is of je kunt beperken wat gecompromitteerde identiteiten kunnen bereiken wanneer authenticatie onvermijdelijk faalt.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

Waarom Authenticatie Nodig Is Maar Niet Voldoende

Authenticatie vertelt je wie (of wat) er voor de deur staat. Het bepaalt niet wat ze kunnen doen zodra ze binnen zijn. Een gecompromitteerde API-sleutel geeft een aanvaller de toegangsrechten van het serviceaccount waartoe deze behoort — volledig en direct, zonder extra uitbuiting. Als dat serviceaccount financiële gegevens kan lezen, kan de aanvaller dat ook. Als het gereguleerde content kan benaderen, kan de aanvaller dat ook.

Sterke authenticatie — multi-factor authenticatie, kortdurende tokens, certificaatgebaseerde identiteit — maakt het moeilijker om inloggegevens te verkrijgen of te vervalsen. Het verandert niet wat een legitiem verkregen inloggegeven kan bereiken. Een aanvaller die een geldige API-sleutel vindt in een openbaar repository heeft de authenticatie niet omzeild. Ze hebben geauthenticeerd. En ze blijven authenticeren met een geldig inloggegeven, totdat dat inloggegeven wordt vervangen of ingetrokken.

Serviceaccounts krijgen vaak brede toegang omdat dat geautomatiseerde workflows flexibel maakt. OAuth-tokens erven de rechten van de autoriserende gebruiker, die vaak veel breder zijn dan de specifieke applicatietoegang vereist. Het resultaat is een populatie van inloggegevens — 41% van de hoofdoorzaken van identiteitsdatalekken in de Sophos-data — die zowel ondergecontroleerd als breed gescope zijn.

De Anatomie van een Niet-Menselijk Identiteitsdatalek

Een aanvaller verkrijgt een API-sleutel voor een serviceaccount dat wordt gebruikt om een documentmanagementsysteem te integreren met een workflow-automatiseringsplatform. De sleutel werd 18 maanden geleden gegenereerd toen de integratie werd gebouwd. Hij is nooit vervangen omdat vervanging coördinatie tussen twee teams vereist. Het serviceaccount kreeg leesrechten voor het volledige documentmanagementsysteem — niet omdat dat nodig was, maar omdat het beperken tot specifieke mappen een complexere implementatie zou hebben vereist.

De aanvaller authenticeert zich bij het documentmanagementsysteem. Hij heeft leesrechten op elk document dat het bevat — contracten, financiële rapporten, gereguleerde data, vertrouwelijke informatie. Hij downloadt wat hij wil. Authenticatielogs tonen normaal gedrag van een bekend serviceaccount. Niets in het activiteitspatroon triggert een waarschuwing. Het datalek wordt pas weken later ontdekt, tijdens een incident response die door een ander incident wordt getriggerd. Tegen die tijd zijn gegevens geëxfiltreerd en zijn de beheerskosten aanzienlijk.

De Kiteworks 2026 Forecast stelde vast dat 55% van de ondernemingen een AI-systeem of geautomatiseerd proces dat zich onverwacht gedraagt niet kan isoleren — een beheersgat dat direct van toepassing is op scenario’s met niet-menselijke identiteitsdatalekken. Als je het misbruikte serviceaccount-inloggegeven niet kunt isoleren tijdens je onderzoek, behoudt de aanvaller toegang gedurende je hele reactieproces.

Wat $1,64 Miljoen Oplevert bij Incident Response

De gemiddelde kosten van $1,64 miljoen per identiteitsgerelateerd datalek vormen het financiële kader voor governance-investeringen. Dat bedrag omvat directe incident response — forensisch onderzoek, beheersing, herstel, melding — plus operationele verstoring en blootstelling aan regelgeving. Het DTEX-onderzoek kwantificeert de governance-volwassenheidsdimensie precies: organisaties die incidenten binnen 30 dagen beheersen, hebben gemiddeld $14,2 miljoen aan jaarlijkse insiderrisicokosten; organisaties die er meer dan 90 dagen over doen, gemiddeld $21,9 miljoen. Een jaarlijks verschil van $7,7 miljoen dat direct de volwassenheid van governance weerspiegelt.

De berekening voor governance-investeringen is niet “wat kost het om elk datalek te voorkomen?” Het is “wat kost het om de impact te beperken zodat een gecompromitteerde API-sleutel leidt tot een beheersbaar incident in plaats van een catastrofaal incident?” Content governance op de toegangslaag — bepalen wat een bepaald inloggegeven kan bereiken, elke toegang loggen in een controleerbaar logbestand, en snelle isolatie mogelijk maken van een inloggegeven dat zich afwijkend gedraagt — verandert de economische impact van een identiteitsdatalek volledig.

Governance op de Contentlaag

Het zero-trust model pakt het authenticatie-governance-gat direct aan. Zero-trust stelt dat authenticatie noodzakelijk maar niet voldoende is — elk verzoek, van elke identiteit (mens of machine), moet worden geëvalueerd aan de hand van expliciet beleid voordat toegang wordt verleend.

Contentlaag-governance betekent dat zelfs een volledig geauthenticeerde API-sleutel geen toegang krijgt tot een gevoelig bestand, geen gereguleerde bestandsoverdracht kan starten, of gegevens buiten een goedgekeurde grens kan verzenden, tenzij de specifieke toegang expliciet is toegestaan door beleid, gelogd in een controleerbaar logbestand en intrekbaar is. Niet omdat authenticatie faalde — maar omdat authenticatie alleen niet de laatste poort is.

Het Kiteworks Private Data Network implementeert contentlaag-governance over de volledige communicatiestack voor gevoelige content — beheerde bestandsoverdracht, beveiligde e-mail, beveiligd delen van bestanden, SFTP en de API-laag die geautomatiseerde processen en AI-systemen gebruiken om programmatisch toegang te krijgen tot content. Elk toegangsverzoek — van een menselijke gebruiker of een machine-inloggegeven — wordt geëvalueerd aan de hand van expliciet beleid voordat toegang wordt verleend. Elk inloggegeven kan snel worden geïsoleerd als het zich afwijkend gedraagt, zonder het bredere systeem te verstoren. FIPS 140-3 gevalideerde encryptie beschermt gegevens in rust en onderweg. Manipulatiebestendige auditlogs worden in realtime doorgestuurd naar SIEM met volledige toewijzing aan de menselijke autorisator achter elk machinetoegangsverzoek.

Voor AI-agenten en geautomatiseerde workflows die gereguleerde content benaderen via de Kiteworks Secure MCP Server en AI Data Gateway geldt hetzelfde governancebeleid: elk verzoek wordt geauthenticeerd, geautoriseerd op basis van attributengebaseerde toegangscontrole, doelgebonden en gelogd. Een gecompromitteerde API-sleutel authenticeert — en bereikt alleen wat expliciet is toegestaan.

Het Zero-Trust Contentmodel voor Identiteitsgecompromitteerde Omgevingen

De 71% Sophos-uitkomst betekent dat identiteitscompromittering het uitgangspunt is, niet het uitzonderingsrisico. De architecturale vraag is niet “hoe voorkomen we elke identiteitscompromittering?” maar “hoe ziet onze omgeving eruit als een identiteit wordt gecompromitteerd?”

In een zero-trust contentomgeving is het antwoord: het gecompromitteerde inloggegeven authenticeert en bereikt alleen wat expliciet is toegestaan. De toegang wordt gelogd met voldoende detail om afwijkingen te detecteren. Het inloggegeven kan worden ingetrokken of geïsoleerd zodra de afwijking wordt ontdekt, zonder legitieme workflows die afhankelijk zijn van andere inloggegevens te verstoren.

Identity hardening — sterkere multi-factor authenticatie, kortere levensduur van inloggegevens, beter geheimenbeheer — verkleint de kans op compromittering van inloggegevens. Content governance op de toegangslaag verkleint de impact wanneer compromittering optreedt. Beide investeringen zijn noodzakelijk. Gezien het basispercentage van 71% verdient de impactreductie-investering minstens zoveel aandacht als de kansreductie.

Authenticatie geeft toegang. Governance bepaalt de schade.

Wil je meer weten over het beschermen van je gevoelige data voorbij authenticatie? Plan vandaag nog een persoonlijke demo.

Veelgestelde Vragen

Een niet-menselijke identiteit is een inloggegeven dat door een geautomatiseerd systeem, applicatie of AI-agent wordt gebruikt om zich bij een ander systeem te authenticeren — API-sleutels, serviceaccount-inloggegevens, OAuth-tokens, certificaten. Niet-menselijke identiteiten nemen sneller toe, vallen zelden onder toegangshercertificering, zijn vaak te ruim geautoriseerd en worden zelden ingetrokken wanneer de relatie waarvoor ze zijn aangemaakt verandert. De Kiteworks AI Data Gateway en Secure MCP Server passen contentlaag-governance toe op zowel menselijke als machine-identiteitstoegang.

Zero-trust governance verkleint de impact door ervoor te zorgen dat geauthenticeerde toegang niet automatisch toegang tot gevoelige content betekent. Een gecompromitteerde API-sleutel kan authenticeren, maar kan geen content bereiken buiten het expliciet gedefinieerde bereik, geen bestandsoverdrachten initiëren naar niet-goedgekeurde endpoints, en elke toegang wordt gelogd voor afwijkingsdetectie. Het Kiteworks Private Data Network implementeert dit over MFT, beveiligd delen van bestanden, beveiligde e-mail en de API-laag — één beleid-engine, één auditlog.

Vier vereisten: expliciete toegangsafbakening (inloggegevens krijgen alleen toegang tot wat hun specifieke workflow vereist), verplichte auditlogging met dezelfde detaillering als menselijke toegang, rotatiebeleid met handhaving en snelle intrekkingsmogelijkheid. 55% van de ondernemingen kan een gecompromitteerd geautomatiseerd proces niet isoleren volgens de Kiteworks 2026 Forecast — de mogelijkheid tot intrekking en isolatie is de kloof die de meeste organisaties als eerste moeten dichten.

De kosten van een datalek vormen het plafond voor wat governance-investeringen kunnen voorkomen — maar het DTEX-onderzoek verfijnt de berekening: organisaties die incidenten binnen 30 dagen beheersen, hebben gemiddeld $14,2 miljoen aan jaarlijkse insiderrisicokosten versus $21,9 miljoen voor organisaties die er 90+ dagen over doen. Dat verschil van $7,7 miljoen is een directe maatstaf voor governance-volwassenheid. Nauwkeurige toegangsafbakening, afwijkingsdetectie en snelle isolatie zijn de specifieke controles die de beheersingstijd verkorten.

Sectoren waar gevoelige content programmatisch wordt benaderd lopen het grootste risico: defensie-aannemers waar geautomatiseerde systemen CUI benaderen, zorgorganisaties waar datapijplijnen PHI verwerken, en de financiële sector waar geautomatiseerde processen klantgegevens benaderen. FIPS 140-3 gevalideerde encryptie, ABAC-handhaving en manipulatiebestendige audittrails voldoen gelijktijdig aan HIPAA-, CMMC– en PCI DSS-vereisten voor zowel machine- als menselijke toegang.

Aanvullende Bronnen

  • Blog Post Hoe klinische proefdata te beschermen in internationaal onderzoek
  • Blog Post De CLOUD Act en Britse gegevensbescherming: waarom rechtsbevoegdheid ertoe doet
  • Blog Post Zero Trust Data Protection: implementatiestrategieën voor verbeterde beveiliging
  • Blog Post Data Protection by Design: hoe je GDPR-controles in je MFT-programma bouwt
  • Blog Post Hoe datalekken te voorkomen met beveiligde bestandsoverdracht over grenzen heen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks