Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Known unknown

Concepten

Een bekend risico, dat wil zeggen een risico waarvan men weet dat het bestaat. Er zijn grofweg twee typen bekende risico's. Van sommige bekende risco's weet men hoe vaak ze voorkomen en welke consequenties ze hebben. Deze risico's zijn goed te voorspellen en te behandelen. Van andere bekende risico's weten we alleen dat ze kunnen optreden, maar kunnen we niet goed voorzien hoe, en wanneer.

Een known unknown is een concept uit risicomanagement dat beschrijft wat je weet dat je niet weet. In cybersecurity betekent dit dat je erkent dat er kwetsbaarheden, dreigingen of risico's bestaan die je nog niet volledig hebt geidentificeerd of begrepen. Het concept werd breed bekend door de uitspraak van voormalig Amerikaans minister van Defensie Donald Rumsfeld in 2002, maar de toepassing in cybersecurity is tegenwoordig een standaardonderdeel van volwassen risicomanagement.

Het Rumsfeld-framework onderscheidt vier categorieen: known knowns (je weet wat je weet), known unknowns (je weet wat je niet weet), unknown knowns (je weet niet wat je weet) en unknown unknowns (je weet niet wat je niet weet). Voor cybersecurityprofessionals is het begrijpen van deze categorieen essentieel om een realistische inschatting te maken van het dreigingslandschap. Een known unknown kan bijvoorbeeld zijn dat je weet dat je webapplicatie kwetsbaarheden kan bevatten, maar nog geen penetratietest hebt uitgevoerd om ze te identificeren.

Waarom is een known unknown belangrijk?

Known unknowns vormen een cruciale categorie in risicomanagement omdat ze het verschil markeren tussen bewuste onwetendheid en blinde vlekken. Wanneer je weet dat je iets niet weet, kun je actie ondernemen om die kennislacune te dichten. Dat is een fundamenteel ander uitgangspunt dan onbewust kwetsbaar zijn.

In de praktijk betekent dit dat organisaties die hun known unknowns actief identificeren en beheren, beter voorbereid zijn op incidenten. Als je weet dat je netwerk mogelijk ongedocumenteerde toegangspunten bevat, kun je een asset discovery-scan uitvoeren. Als je weet dat je medewerkers mogelijk vatbaar zijn voor phishing, kun je een awareness-training inplannen.

Volgens het Cybersecuritybeeld Nederland 2025 van de NCTV worden digitale dreigingen steeds diverser. Veel organisaties onderschatten het aantal known unknowns in hun omgeving. Ze weten bijvoorbeeld dat ze cloudservices gebruiken, maar hebben geen volledig overzicht van welke data daar opgeslagen is of welke configuraties actief zijn. Shadow IT is een klassiek voorbeeld van een known unknown: je weet dat medewerkers mogelijk ongeautoriseerde tools gebruiken, maar je weet niet welke.

Het actief beheren van known unknowns is ook relevant voor compliance. Regelgeving als NIS2 en de AVG vereist dat organisaties hun risico's kennen en passende maatregelen treffen. Een known unknown die je niet onderzoekt, kan bij een audit of incident leiden tot aansprakelijkheid. Bovendien stelt het Cybersecuritybeeld 2025 dat veel incidenten hun oorzaak vinden in het niet op orde hebben van digitale basishygiene, een situatie die direct samenhangt met onbeheerde known unknowns.

Hoe pas je known unknowns toe?

Het toepassen van het known unknown-concept begint met het systematisch in kaart brengen van je kennislacunes. Start met een risicoanalyse waarbij je niet alleen bekende risico's documenteert, maar ook expliciet vastlegt wat je nog niet weet. Stel vragen als: welke systemen hebben geen recente vulnerability scan gehad? Welke leveranciers hebben toegang tot je netwerk zonder dat je hun securityniveau kent? Welke data verwerken je applicaties zonder dat dit gedocumenteerd is?

Gebruik gestructureerde frameworks om known unknowns te identificeren. Het NIST Cybersecurity Framework biedt een systematische aanpak voor het identificeren van risico's. De Identify-functie richt zich specifiek op het in kaart brengen van assets, bedrijfsprocessen en risicotolerantie. Door deze functie grondig uit te voeren, transformeer je known unknowns in known knowns.

Voer regelmatig asset discovery uit om te ontdekken welke systemen, apparaten en services actief zijn op je netwerk. Veel organisaties ontdekken tijdens zo'n scan tientallen onbekende apparaten of services. Combineer technische scans met organisatorische inventarisaties. Vraag afdelingshoofden welke tools en services ze gebruiken. De kloof tussen wat IT weet en wat daadwerkelijk gebruikt wordt, is vaak verrassend groot.

Implementeer een threat intelligence-programma dat je helpt nieuwe dreigingen te identificeren voordat ze je raken. Door actief dreigingsinformatie te monitoren van bronnen als het NCSC, MITRE en sectorspecifieke ISACs, kun je known unknowns sneller omzetten in concrete maatregelen. Exposure management-platforms helpen bij het detecteren en onschadelijk maken van unknown unknowns voordat aanvallers ze vinden.

Documenteer je known unknowns in een risicoregister. Behandel ze niet als abstracte concepten maar als concrete actie-items met een eigenaar, een deadline en een plan van aanpak. Door known unknowns dezelfde status te geven als bekende risico's, zorg je ervoor dat ze niet uit het zicht verdwijnen in de dagelijkse drukte van securityoperaties.

Known unknowns in de praktijk

Een middelgroot productiebedrijf weet dat het operationele technologie (OT) inzet voor procesautomatisering. Het IT-team vermoedt dat sommige OT-systemen via het netwerk bereikbaar zijn, maar heeft geen volledig overzicht. Dit is een klassiek known unknown: het risico is erkend, maar de omvang is onbekend. Na een gerichte netwerkscan blijkt dat twaalf OT-systemen rechtstreeks bereikbaar zijn via het bedrijfsnetwerk, waarvan drie zonder enige vorm van authenticatie.

Een ander voorbeeld is een zorginstelling die weet dat medewerkers persoonlijke apparaten gebruiken voor werkgerelateerde communicatie. De instelling vermoedt dat er patientgegevens via onbeveiligde kanalen worden gedeeld, maar heeft geen zicht op de omvang. Door een data loss prevention-oplossing te implementeren en een beleid voor BYOD op te stellen, transformeert dit known unknown in een beheerst risico.

Supply chain-risico's zijn eveneens een veelvoorkomend known unknown. Je weet dat je leveranciers toegang hebben tot je systemen of data, maar je kent hun securityniveau niet. Het SolarWinds-incident in 2020 toonde aan hoe groot de impact kan zijn wanneer known unknowns in de toeleveringsketen niet worden geadresseerd. Organisaties die hun leveranciers structureel beoordelen op securityvolwassenheid, verkleinen dit risico aanzienlijk.

Het verschil tussen organisaties die incidenten goed doorstaan en organisaties die er zwaar door geraakt worden, zit vaak in hoe ze omgaan met known unknowns. Proactief onderzoeken levert altijd meer op dan reactief ontdekken na een incident.

Veelgestelde vragen over known unknowns

Wat is het verschil tussen known unknowns en unknown unknowns?

Bij known unknowns weet je dat er een kennislacune is en kun je gericht onderzoek doen. Bij unknown unknowns ben je niet eens bewust van het risico. Unknown unknowns vormen de grootste bedreiging omdat je er niet op kunt anticiperen zonder brede monitoring en detectie.

Hoe identificeer je known unknowns in je organisatie?

Voer regelmatig risicoanalyses uit waarbij je expliciet documenteert wat je niet weet. Gebruik asset discovery-tools, interview afdelingshoofden over hun toolgebruik en analyseer je netverkeer op onbekende communicatiepatronen. Penetratietesten onthullen ook known unknowns.

Zijn known unknowns gevaarlijker dan known knowns?

Known unknowns zijn potentieel gevaarlijker omdat je er nog geen maatregelen voor hebt getroffen. Een known known, zoals een bekende kwetsbaarheid waarvoor een patch beschikbaar is, kun je direct verhelpen. Een known unknown vereist eerst onderzoek voordat je actie kunt ondernemen.

Hoe verhoudt het Rumsfeld-framework zich tot cybersecurity?

Het framework biedt een heldere taal om over risicobewustzijn te communiceren. In cybersecurity helpt het om onderscheid te maken tussen risico's die je kent en beheerst, risico's die je erkent maar nog moet onderzoeken, en risico's waarvan je het bestaan niet vermoedt. Dit onderscheid stuurt je prioritering en budgetallocatie.

Kan je ooit alle known unknowns elimineren?

Nee. De digitale omgeving verandert continu door nieuwe technologieen, diensten en dreigingen. Het doel is niet om alle known unknowns te elimineren, maar om een continu proces te hebben dat ze identificeert, prioriteert en omzet in known knowns. Het is een doorlopende cyclus, geen eindbestemming.

Meer weten over risicomanagement? Bekijk Governance, Risk & Compliance oplossingen op IBgidsNL.