Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Failsafe

Verdediging

Inrichting van een beveiligingssysteem die ervoor zorgt dat bij een storing of defect het beveiligde object in een veilige status blijft. Bijvoorbeeld: bij stroomuitval blijven alle buitendeuren gesloten.

Een failsafe is een beveiligingsmechanisme dat ervoor zorgt dat een systeem bij een storing of fout automatisch terugvalt naar een veilige toestand. In cybersecurity betekent dit dat wanneer een beveiligingscomponent uitvalt, het systeem niet volledig onbeschermd achterblijft, maar standaard de meest restrictieve en veilige configuratie aanneemt. Het principe beschermt tegen situaties waarin een technisch probleem onbedoeld de deur openzet voor aanvallers.

Het concept failsafe komt oorspronkelijk uit de industriële techniek en luchtvaart, waar het al decennia wordt toegepast om catastrofale gevolgen van systeemfouten te voorkomen. In de digitale wereld is het principe net zo relevant. Denk aan een firewall die uitvalt: zonder failsafe-mechanisme zou al het verkeer ongehinderd doorgelaten kunnen worden. Met een failsafe blokkeert het systeem standaard al het verkeer totdat de firewall hersteld is. Dit verschil kan het onderscheid maken tussen een kleine storing en een volledig beveiligingsincident.

Het National Institute of Standards and Technology (NIST) beschrijft failsafe als een kernprincipe van veilig systeemontwerp. NIST-richtlijn SI-17 specificeert dat informatiesystemen moeten beschikken over failsafe-procedures die het systeem in een vooraf gedefinieerde veilige toestand plaatsen bij beveiligingsfouten. Dit principe sluit aan bij het bredere concept van security by design, waarbij beveiliging vanaf het begin in het ontwerp wordt meegenomen in plaats van achteraf toegevoegd.

Hoe werkt een failsafe?

Een failsafe werkt door vooraf te definiëren wat de "veilige toestand" is voor elk systeem of elke component. Bij het optreden van een fout, storing of onverwachte situatie schakelt het systeem automatisch over naar deze vooraf bepaalde veilige staat. Dit gebeurt zonder menselijke tussenkomst, zodat de bescherming ook buiten kantooruren en tijdens onbemande perioden gewaarborgd blijft.

Het belangrijkste principe achter failsafe is "deny by default": bij twijfel wordt toegang geweigerd. Als een authenticatiesysteem niet kan verifiëren of een gebruiker geautoriseerd is (bijvoorbeeld door een databasestoring), blokkeert het de toegang in plaats van deze toe te staan. Dit staat in contrast met een "fail-open" benadering, waarbij een storing juist zou leiden tot het toelaten van alle verzoeken.

In de praktijk implementeer je failsafe op meerdere niveaus. Op netwerkniveau zorgen failsafe-regels ervoor dat een uitgevallen firewall verkeer blokkeert in plaats van doorlaat. Op applicatieniveau zorgen failsafe-defaults ervoor dat nieuwe gebruikersaccounts standaard minimale rechten krijgen in plaats van volledige toegang. Op dataniveau zorgt failsafe-versleuteling ervoor dat gegevens versleuteld blijven als het sleutelbeheersysteem niet bereikbaar is.

Redundantie speelt een belangrijke rol bij failsafe-implementaties. Kritieke beveiligingscomponenten worden gedupliceerd zodat bij het uitvallen van de primaire component een secundaire component het overneemt. Dit is een actieve vorm van failsafe: in plaats van alleen terug te vallen naar een veilige maar beperkte toestand, zorgt het systeem ervoor dat de volledige functionaliteit behouden blijft via een reservecomponent.

Hoe implementeer je failsafe?

Begin met het identificeren van alle kritieke beveiligingscomponenten in je infrastructuur. Maak voor elk component een expliciete keuze: wat moet er gebeuren als dit component uitvalt? Documenteer de gewenste failsafe-toestand voor firewalls, toegangscontrolesystemen, VPN-concentrators, authenticatiediensten en encryptiemodules. Zonder deze expliciete keuze is het gedrag bij een storing onvoorspelbaar.

Configureer je netwerkcomponenten met failsafe-defaults. De meeste enterprise firewalls en security appliances ondersteunen een fail-close configuratie, maar deze moet vaak expliciet worden ingeschakeld. Controleer de documentatie van je leverancier en test of het failsafe-gedrag daadwerkelijk werkt zoals geconfigureerd. In veel gevallen is de standaardsetting fail-open, wat je actief moet wijzigen.

Implementeer automatische shutdown-mechanismen voor systemen die in een onveilige staat terechtkomen. Als een intrusion detection systeem (EDR) detecteert dat een endpoint gecompromitteerd is, kan een failsafe-actie het endpoint automatisch isoleren van het netwerk. Dit voorkomt dat een aanvaller zich lateraal kan bewegen naar andere systemen, ook als het security team niet direct beschikbaar is om in te grijpen.

Test je failsafe-mechanismen regelmatig. Plan periodieke failover-tests waarin je bewust componenten laat uitvallen om te verifiëren dat het failsafe-gedrag correct is. Documenteer de resultaten en los eventuele afwijkingen direct op. Het is beter om een probleem te ontdekken tijdens een geplande test dan tijdens een echte storing of aanval.

Best practices voor failsafe

Hanteer het principe van least privilege als failsafe-default. Wanneer een autorisatiesysteem niet kan bepalen welke rechten een gebruiker heeft, geef dan geen rechten in plaats van alle rechten. Dit principe geldt voor elk niveau: netwerktoegang, applicatierechten, database-permissies en API-autorisaties. Een risicomanagementaanpak helpt je om de juiste balans te vinden tussen beveiliging en beschikbaarheid.

Maak onderscheid tussen fail-safe en fail-secure. Hoewel deze termen vaak door elkaar worden gebruikt, is er een nuanceverschil. Fail-safe richt zich op het voorkomen van fysieke schade en het beschermen van mensenlevens (denk aan branddeuren die bij stroomuitval opengaan). Fail-secure richt zich op het behouden van de beveiligingsstatus (denk aan een elektronisch slot dat bij stroomuitval vergrendeld blijft). In cybersecurity wil je doorgaans fail-secure gedrag.

Zorg voor monitoring en alerting op failsafe-activaties. Elke keer dat een failsafe-mechanisme activeert, is dat een signaal dat er iets mis is. Log deze gebeurtenissen, stuur alerts naar je SOC of beheerteam en onderzoek de oorzaak. Een failsafe die frequent activeert kan wijzen op een structureel probleem dat een permanente oplossing vereist in plaats van een tijdelijke workaround.

Documenteer je failsafe-architectuur als onderdeel van je beveiligingsbeleid. Zorg dat alle beheerders weten welke failsafe-mechanismen actief zijn, hoe ze werken en hoe ze kunnen worden gereset na een activering. Deze documentatie is ook waardevol bij security-audits en compliance-assessments. Op IBgidsNL vind je securitypartners die je kunnen helpen bij het ontwerpen en implementeren van een robuuste failsafe-architectuur.

Veelgestelde vragen over failsafe

Wat is het verschil tussen fail-safe en fail-open?

Bij fail-safe (of fail-secure) schakelt een systeem bij een storing over naar een beveiligde toestand, waarbij toegang wordt geblokkeerd. Bij fail-open wordt bij een storing juist alle toegang toegestaan. In cybersecurity is fail-safe vrijwel altijd de gewenste configuratie om ongeautoriseerde toegang te voorkomen.

Kan een failsafe de beschikbaarheid verminderen?

Ja, dat is de inherente afweging. Een failsafe die verkeer blokkeert bij een firewallstoring beschermt de beveiliging, maar maakt diensten tijdelijk onbereikbaar. Redundantie vermindert dit risico: als een reservecomponent automatisch overneemt, blijft zowel de beveiliging als de beschikbaarheid intact.

Hoe test je of een failsafe correct werkt?

Plan regelmatige failover-tests waarin je bewust componenten laat uitvallen in een gecontroleerde omgeving. Verifieer dat het systeem naar de gewenste veilige toestand schakelt, dat alerts correct worden gegenereerd en dat het systeem correct herstelt na het oplossen van de storing.

Is failsafe verplicht voor compliance?

Diverse standaarden en regelgeving vereisen failsafe-mechanismen. ISO 27001 schrijft maatregelen voor om de beschikbaarheid en integriteit van systemen te waarborgen. De DORA-verordening vereist operationele weerbaarheid, inclusief het vermogen om veilig te degraderen bij storingen. NIS2 stelt vergelijkbare eisen aan essentiële dienstverleners.

Moet elk systeem een failsafe hebben?

In principe is een failsafe-mechanisme relevant voor elk systeem dat een beveiligingsfunctie vervult. De complexiteit en investering moeten proportioneel zijn aan het risico. Kritieke systemen zoals firewalls en authenticatiediensten vereisen robuuste failsafe-oplossingen, terwijl minder kritieke systemen met eenvoudiger mechanismen kunnen volstaan.

Wil je failsafe-mechanismen implementeren in je beveiligingsarchitectuur? Vergelijk securityaanbieders op IBgidsNL.