Meer inspiratie opdoen?:
Een oud-medewerker vertrekt. HR sluit het contract af, de laptop wordt ingeleverd en het afscheidsdrankje is gedronken. Maar ergens in je systemen staat zijn account nog open. Slack, Google Workspace, het CRM, de staging-omgeving. Actief, onbewaakt, en klaar voor gebruik door wie de inloggegevens maar in handen krijgt.
Dit heet zombie-toegang. En het zit waarschijnlijk al in jouw organisatie.
Zombie-toegang verwijst naar actieve gebruikersaccounts die toebehoren aan mensen die al lang niet meer werken in de rol waarvoor die toegang ooit was aangemaakt. Ze zijn niet verwijderd, niet uitgeschakeld en niet gemonitord. Ze bestaan gewoon, sluimerend, totdat iemand ze gebruikt.
Het begrip dekt meer dan alleen ex-medewerkers. Ook tijdelijke contractanten die een project hebben afgerond, stagiairs wier accounts nooit zijn opgeruimd of zelfs actieve medewerkers die van functie zijn veranderd maar rechten uit hun vorige rol nog steeds hebben, vallen hieronder.
In de beveiligingswereld spreek je ook wel van orphaned accounts of stale credentials. De benaming zombie-toegang is bewust gekozen: het account is in de praktijk dood, maar het beweegt nog steeds.
Voor een bedrijf van 100 medewerkers met 15% jaarlijks verloop en gemiddeld 8 apps per persoon, waarvan 60% van de offboardings goed worden afgehandeld, zijn dat al snel 48 actieve zombie-credentials.
Dat zijn 48 deuren zonder bewaker.
Volgens IBM’s Cost of a Data Breach Report 2023 hebben organisaties gemiddeld 204 dagen nodig om een datalek te ontdekken. In veel van die gevallen ging het om accounts die al maanden voor het incident niet meer gecontroleerd werden. In veel van die gevallen ging het om accounts die al maanden voor het incident niet meer gecontroleerd werden. De toegang was er, de persoon was er niet meer.
Bij ISO27001-audits in Q1 en Q4 is dit precies het type bevinding dat auditoren als eerste aanmerken. Toegangslogboeken die niet kloppen met de actuele personeelslijst zijn een directe non-conformiteit op A.9 (toegangsbeheer).
Het is bijna nooit opzet. Het is een procesprobleem.
“We dachten dat onze offboarding goed geregeld was. Totdat we bij een ISO27001-audit ontdekten dat 23 accounts van ex-medewerkers nog actief waren in ons CRM en cloudomgeving. Niemand had het door, want niemand keek.”
IT-manager, MKB bedrijf, 120 medewerkers
Stel: Pieter werkte anderhalf jaar als salesmanager bij een softwarebedrijf van 80 personen. Hij vertrekt naar een concurrent. Zijn laptop wordt ingenomen, zijn zakelijke e-mail wordt uitgeschakeld.
Maar zijn account op het CRM staat nog open. En op het projectmanagementsysteem. En op de gedeelde Notion-omgeving met productspecificaties.
Drie maanden later raakt zijn privé-e-mailadres betrokken bij een credential-stuffing-aanval. De aanvallers proberen zijn gelekte wachtwoorden op zakelijke tools. Het CRM accepteert de inlogpoging.
Nu heeft iemand buiten de organisatie toegang tot klantdata, dealpipelines en contacthistorie. Zonder alarm, zonder notificatie.
Dit is geen theoretisch scenario. Volgens het Verizon Data Breach Investigations Report 2023 bevat 74% van alle inbreuken een menselijk element, waarbij gestolen of zwakke credentials de meest voorkomende aanvalsvector zijn. (verizon.com/business/resources/reports/dbir)
Je kunt zombie-toegang reactief aanpakken, door periodiek handmatig accounts op te ruimen. Maar dat schaalt niet en het vergeet altijd iets.
De structurele fix is Role-Based Access Control (RBAC): toegang koppelen aan rollen, niet aan individuen.
In een RBAC-model definieer je rollen (zoals “sales medewerker”, “developer”, “HR manager”) en koppelt daar specifieke rechten aan. Een medewerker krijgt een rol toegewezen, geen losse rechtenkoppelingen per applicatie.
Wanneer die medewerker de organisatie verlaat of van functie verandert, wordt de rol ingetrokken of gewijzigd. Alle bijbehorende toegang verdwijnt in één handeling.
Een volledige RBAC-implementatie duurt weken. Maar je kunt deze week al de meeste risico’s wegwerken.
Stap 1: Trek een actuele lijst van alle gebruikersaccounts in je vijf meest kritische systemen (CRM, cloudomgeving, communicatietool, code-repository, financieel systeem).
Stap 2: Vergelijk die lijst met de actuele personeelslijst uit HR.
Stap 3: Schakel elk account uit dat niet meer overeenkomt met een actieve medewerker. Verwijder niet meteen: als een account actief was, wil je de logs bewaren voor forensisch gebruik.
Stap 4: Wijs een eigenaar aan per systeem die verantwoordelijk is voor toegangsbeheer en in de offboarding-checklist staat.
Stap 5: Ga in gesprek met je IT-leverancier of tool als Rhyzi om dit proces te automatiseren en auditeerbaar te maken.
Als je bezig bent met ISO27001-certificering of voorbereiding op een heraudit, is zombie-toegang een van de eerste dingen die een auditor zoekt.
Annex A.9 (toegangsbeheer) vereist expliciet dat:
Handmatige processen zijn hier kwetsbaar, omdat ze afhankelijk zijn van discipline en communicatie tussen HR, IT en lijnmanagers. Geautomatiseerde ontkoppeling via een IdP en RBAC biedt de aantoonbare controle die auditoren willen zien.
Zombie-toegang is geen exotisch cyberrisico. Het is het gevolg van normale bedrijfsprocessen die nooit aan elkaar zijn gekoppeld: mensen die vertrekken, applicaties die groeien en offboarding die niet meeschaalt.
De accounts van oud-medewerkers zijn je zwakste schakel, niet omdat die mensen kwaadwillend zijn, maar omdat niemand meer toezicht op ze houdt.
Bereken je blootstelling met de calculator in dit artikel. Als het getal groter is dan je comfortabel vindt, is dat het moment om de stap naar geautomatiseerd toegangsbeheer te zetten.
Wat is zombie-toegang precies? Zombie-toegang zijn actieve gebruikersaccounts van mensen die niet meer in de betreffende rol werken. Denk aan ex-medewerkers, oud-stagiairs of medewerkers die van functie zijn veranderd maar oude rechten behielden.
Hoe snel moet je toegang intrekken bij uitdiensttreding? Beveiligingsnormen als ISO27001 en de meeste databeschermingsframeworks schrijven voor dat toegang uiterlijk op de laatste werkdag wordt ingetrokken, of direct bij melding van vertrek als het om een onverwacht ontslag gaat.
Wat is het verschil tussen RBAC en traditioneel toegangsbeheer? Bij traditioneel beheer krijgt een persoon direct rechten per applicatie toegewezen. Bij RBAC krijgt een persoon een rol, en de rol heeft de rechten. Wissel je van rol of vertrek je, dan verdwijnen alle bijbehorende rechten in één stap.
Hoe detecteer ik zombie-accounts in mijn organisatie? Vergelijk de gebruikerslijsten in je systemen met de actuele personeelslijst. Elk account dat niet overeenkomt met een actief personeelslid is een kandidaat voor deactivatie. Tools voor identity governance (IGA) doen dit automatisch en continu.
Is zombie-toegang relevant voor de AVG? Ja. De AVG stelt dat je toegang tot persoonsgegevens beperkt tot wie die nodig heeft. Actieve accounts van ex-medewerkers in systemen met klant- of personeelsdata zijn een risico dat bij een datalek direct bijdraagt aan aansprakelijkheid.
Meer lezen over toegangsmanagement voor medewerkers? https://rhyzi.com/toegangsbeheer-voor-het-mkb/
Een expert van RHYZI spreken? https://rhyzi.com/plan-een-demo/
