Wat is Access Control?
Access Control (Toegangsbeheer) is het geheel aan technieken, processen en regels waarmee wordt bepaald wie toegang krijgt tot welke systemen, applicaties of fysieke omgevingen, en onder welke voorwaarden.
Access Control beschermt tegen ongeautoriseerde toegang tot gegevens, systemen, netwerken of machines.
Het is een essentieel onderdeel van ISMS, ISO 27001, IEC 62443, Zero Trust en OT-beveiliging.
🎯 Doel van Access Control
- Alleen bevoegde gebruikers krijgen toegang tot gevoelige data of systemen
- Beperken van risico op datalekken, sabotage of menselijke fouten
- Voldoen aan wettelijke vereisten en auditplicht
- Ondersteunen van segmentatie tussen IT en OT
- Logging en verantwoording van toegangsacties
🔑 Soorten Access Control
| Type | Beschrijving |
|---|---|
| Physical Access Control | Wie mag een bepaalde ruimte, serverkast, controlekamer of fabriek betreden? |
| Logical Access Control | Toegang tot systemen, netwerken, bestanden, applicaties |
🔧 Methoden van toegangsbeheer
| Model | Beschrijving |
|---|---|
| RBAC | Role-Based Access Control – rechten op basis van rol/functie |
| ABAC | Attribute-Based Access Control – regels op basis van kenmerken (tijd, locatie) |
| MAC | Mandatory Access Control – vooraf vastgelegde niveaus, gebruiker heeft geen keuze |
| DAC | Discretionary Access Control – eigenaar bepaalt wie toegang krijgt |
| Just-in-Time | Tijdelijke toegang (bijv. voor contractors of leveranciers) |
🔐 Access Control in OT-omgevingen
- PLC, SCADA, HMI en remote engineeringstations zijn vaak gevoelig voor ongeautoriseerde toegang
- Remote Access via VPN, Jump Server of Bastion Host vereist aanvullende controle
- RBAC moet aansluiten op functiegroepen (bijv. operator, engineer, maintenance)
- IEC 62443-3-3 vereist per zone/conduit een passende toegangsbescherming
- Audittrails en logs zijn cruciaal voor forensisch onderzoek
🛠 Voorbeelden van technische implementatie
- Active Directory (AD) met groepsbeleid
- Multifactor-authenticatie (MFA)
- Toegangsbeheer op netwerklaag (NAC, VLAN)
- Firewalls met gebruikersgebaseerde regels
- Fysieke toegangscontrole met badgelezer of biometrie
- Time-based access voor leveranciers of onderhoudspartijen
📊 Access Control vs. Authentication vs. Authorization
| Term | Uitleg |
|---|---|
| Authentication | Ben jij wie je zegt dat je bent? (bijv. wachtwoord, MFA) |
| Authorization | Mag jij deze actie uitvoeren? (bijv. lezen, schrijven, wijzigen) |
| Access Control | Combinatie van beleid + techniek die toegang regelt |
✅ Voordelen van goed Access Control
- Verhoogde cybersecurity
- Betere compliance met NIS2, ISO 27001, GMP, GxP, IEC 62443
- Beperkte impact bij incidenten (least privilege)
- Loggen van gebruikersacties en toegang
- Veilig samenwerken met externe partijen
📌 Samengevat
Access Control zorgt dat alleen de juiste mensen, onder de juiste voorwaarden, toegang krijgen tot je systemen of ruimtes — en vormt de basis van een veilig en controleerbaar netwerk.