In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Digitale Identiteit en de overheid
Overige ontwikkelingen
Podcast tip van de maand
Workforce Identity
De Jonge erkent gebruik privémail: ‘was praktischer’
NOS, 5 april 2022
Na berichtgeving van de Volkskrant erkent minister De Jonge dat hij tot voor kort regelmatig zijn privémailaccount heeft gebruikt voor zijn werk. Volgens De Jonge was het “praktischer”: “Op VWS hebben ze een nogal zwaar beveiligd, en daardoor nogal gebruikersonvriendelijk mailsysteem.” "Je kunt bijvoorbeeld geen stukken aanpassen in dat systeem van de Rijksoverheid, maar dat kan wel heel makkelijk op mijn iPad." Ook had hij regelmatig geen wachtwoord voorhanden, omdat het verlopen was. Inmiddels is ook duidelijk dat ook burgemeester Femke Halsema en RIVM-directeur Jaap van Dissel hun privémail voor werk hebben gebruikt.
SailPoint to be Acquired by Thoma Bravo for $ 6.9 billion
SailPoint, 11 april 2022
SailPoint heeft een overeenkomst gesloten voor een overname door Thoma Bravo, een private equity firm. Thoma Bravo betaalt $ 6,9 miljard voor de deal. De aandeelhouders van SailPoint ontvangen $ 65,25 per aandeel in cash. Na de overname zal SailPoint een privaat bedrijf, waarbij zij profiteert van de operationele capaciteiten, de kapitaalondersteuning en de diepgaande software-expertise van Thoma Bravo. Als alles volgens plan verloopt en de overname wordt goedgekeurd, zal de overname naar verwachting ergens in het tweede kwartaal van 2022 worden afgerond.
Grip op moderne (en dagelijks veranderende) werkplek
Computable, 14 april 2022
In een opiniestuk schrijft Ruben van der Zwan, cto bij Sentia, dat de digitale werkplek verschilt per organisatie. Om grip te krijgen op de digitale werkplek, deze toekomstbestendig te houden en een wildgroei aan applicaties en shadow-IT te voorkomen, is volgens hem een strategische aanpak nodig. Dit begint bij een fundamentele, strategische IT-aanpak voor IAM, databasebeheer en het koppelen van applicaties.
Factsheet ‘Volwassen authentiseren – gebruik veilige middelen voor authenticatie’
NCSC, 25 april 2022
NCSC heeft een factsheet gepubliceerd, waarin zij organisaties adviseert om accounts op een manier te beveiligen die past bij de gevoeligheid van de gegevens en de middelen waar deze toegang toe bieden. In de factsheet worden enkele dreigingen uiteengezet: credential phishing, brute force aanvallen, diefstal uit datalekken, dictionary attacks, social engineering en key logging. Niet alle typen authenticatie zijn daar even weerbaar tegen. In de factsheet worden de voor- en nadelen van verschillende typen authenticatie uiteengezet en worden er adviezen gegeven met behulp van het volwassenheidsniveau voor authenticatie.
Privileged Access Management
Raspberry Pi OS offert standaardaccount op voor security
AG Connect, 11 april 2022
In de nieuwe versie van het besturingssysteem voor Raspberry Pi-Microcomputers is het standaaard ‘pi’-account geschrapt. Dit ter verbetering van de veiligheid, maar ook omdat steeds meer landen werken aan een verbod op het gebruik van standaard accounts bij apparatuur die op het internet kan worden aangesloten.
81% van de codebases heeft minstens één kwetsbaarheid
AG Connect, 14 april 2022
In haar jaarlijkse Open Source Security and Risk (OSSRA) rapport, waarin de audits van ruim 24.000 commerciële codebasis zijn geanalyseerd, deelt Synopsys een aantal bevindingen:
- Maar liefst 81% van alle software-codebases bevat minstens één kwetsbaarheid bevat.
- 49% bevat een kwetsbaarheid met een hoog risicofactor (11% minder dan vorig jaar).
- 85% bevat een opensourcecomponent dat al minstens vier jaar verouderd is.
- 88% bevat componenten waar de laatste versie niet van geïnstalleerd is (3% minder dan vorig jaar).
- 97% bevat opensource (64% meer dan vorig jaar).
Cybersecurity kan digitalisering niet bijhouden
Beveligingswereld, 20 april 2022
In het CyberArk 2022 Identity Security Threat Landscape Report geeft 79% van de senior security-professionals aan dat er het afgelopen jaar meer voorrang is gegeven aan het versnellen van digitalisering binnen het bedrijf en dat dit ten koste gaat van goede cyberbeveiliging.
Een gemiddeld personeelslid heeft meer dan 30 digitale identiteiten, en machine-identiteiten komen gemiddeld 45 keer meer voor dan menselijke identiteiten. 68% van alle niet-menselijke identiteiten of bots heeft toegang tot gevoelige gegevens en bedrijfsmiddelen. Terwijl 80% zegt dat ontwikkelaars doorgaans meer privileges hebben dan nodig is voor hun rol. Als deze digitale identiteiten onbeheerd en onbeveiligd blijven, kunnen zij een aanzienlijk risico vormen voor cyberbeveiliging.
Het rapport geeft inzicht in het type cyberdreigingen waarmee beveiligingsteams te maken krijgen. Toegang tot credentials was het belangrijkste risicogebied (volgens 40%), gevolgd door ontwijking van verdedigingslinies (31%), uitvoering (31%), initiële toegang (29%) en privilege-misbruik (27%). Het rapport geeft ook aanbevelingen om de achterstand om te buigen. Hierbij is transparantie bevorderen het belangrijkste: 85% is van mening dat een zogenoemde Software Bill of Materials de risico’s in de softwareleveringsketen zou verminderen.
Daarnaast zijn strategieën nodig om toegang te gevoelige data en systemen beter te beheren. De top drie maatregelen zijn:
- Real-time monitoring en analyse om alle privileged sessieactiviteit te controleren.
- Least privilege security/ Zero Trust-principes op infrastructuur waarop bedrijfskritieke applicaties draaien (ondersteund door Identity Security Controls om deze principes af te dwingen).
- Processen om bedrijfskritieke systemen te isoleren van met internet verbonden apparaten om lateral movement te beperken.
Customer Identity and Access Management
Mogelijk 366 Okta-klanten slachtoffer van Lapsus$-aanval
AG Connect, 5 april 2022
AG Connect meldt dat Todd McKinnon, de directeur van Okta, tegen Bloomberg TV gezegd heeft dat er tot wel 366 klanten slachtoffer geweest kunnen zijn van de Lapsus$ aanval in januari.
Digital Identity en de Overheid
Antwoord op Kamervragen over ontwikkeling Europese digitale identiteit
Rijksoverheid, 7 april 2022
Staatssecretaris Van Huffelen heeft antwoord gegeven op Kamervragen van Van Hage over het ontwikkelen van de digitale identiteit en de relatie met het coronatoegangsbewijs. Volgens Van Huffelen staat het EU Digitaal COVID Certificaat inhoudelijk los van de ontwikkeling van de “toolbox voor een digitale identiteit”, maar worden geleerde lessen wel meegenomen.
Boete voor Buitenlandse Zaken voor slechte beveiliging visumaanvragen
Autoriteit Persoonsgegevens, 6 april 2022
De Autoriteit Persoonsgegevens (AP) heeft het ministerie van Buitenlandse Zaken een boete opgelegd van € 565.000. De beveiliging van het Nationaal Visum Informatie Systeem (NVIS) is al jarenlang onvoldoende. Met als risico dat onbevoegden persoonsgegevens (denk aan: vingerafdrukken, naam, adres) van 530.000 visumaanvragen kunnen inzien en wijzigen. Daarmee heeft het ministerie op grote schaal de wet overtreden. Daarnaast heeft de AP vastgesteld dat het ministerie visumaanvragers onvoldoende informeert over het delen van hun persoonsgegevens met andere partijen. Naast de boete legt de AP last onder dwangsommen op voor het in orde maken van de beveiliging (€ 50.000 per twee weken) en van de informatievoorziening (€ 10.000 per week).
Data Governance Act krijgt akkoord van Europees Parlement
Digitale Overheid, 8 april 2022
Op 6 april is het Europees Parlement akkoord gegaan met de Data Governance Act (DGA). Deze wet moet ervoor zorgen dat start-ups en bedrijven toegang tot meer data krijgen. Dit moet verschillende doelen dienen:
- Innovatie van producten en diensten bevorderen.
- Delen van gegevens veiliger en makkelijker maken.
- Vertrouwen rond gegevensuitwisseling vergroten.
- Hergebruik van data uit de publieke sector faciliteren.
Kabinet wil alle bedrijven kunnen informeren over digitale dreigingen
iBestuur, 11 april 2022
iBestuur meldt dat kabinet werkt aan een wetsvoorstel om alle ondernemers te informeren over actuele IT-dreigingen, kwetsbaarheden en incidenten. Daarnaast moet het Digital Trust Center vanuit het ministerie van EZK de ontwikkeling van samenwerkingsverbanden tussen bedrijven stimuleren. De ministerraad heeft inmiddels ingestemd met het wetsvoorstel, dat nu naar de Raad van State wordt gestuurd voor advies.
Boete voor Belastingdienst voor zwarte lijst FSV
Autoriteit Persoonsgegevens, 12 april 2022
De AP heeft de Belastingdienst een recordboete van € 3,7 miljoen opgelegd. De Belastingdienst heeft persoonsgegevens ruim zes jaar lang illegaal verwerkt in de Fraude Signalering Voorziening (FSV). Daarmee heeft de Belastingdienst de AVG op zes vlakken overtreden. Bij het vaststellen van de hoogte van de boete heeft de AP ook meegewogen dat de Belastingdienst al vaker de AVG ernstig heeft overtreden.
Overheid wil te graag persoonsgegevens vergaren, aldus AP
AG Connect, 19 april 2022
De AP stelt in haar jaarverslag over 2021 dat het kabinet wetsvoorstellen vaak ziet als een vrijbrief om zonder duidelijke reden bijna ongelimiteerd persoonsgegevens te verzamelen. In 2021 adviseerde de AP 95 keer over wetsvoorstellen. 18 keer was de AP zeer kritisch, 37 keer had de AP enkele opmerkingen en 40 keer had de Autoriteit geen opmerkingen. In bijna 20% van de gevallen werden persoonsgegevens onvoldoende beschermd of was er onduidelijkheid over hoe het zat met de bescherming.
Overig
Digitale strategie EU niet haalbaar door gebrek aan IT’ers
iBestuur, 6 april 2022
Deloitte heeft in opdracht van Vodafone de EU-visie en strategie voor de digitale transformatie in de periode tot 2030 tegen het licht gehouden en geconstateerd dat de plannen ambitieus zijn. Volgens Deloitte is het grootste probleem dat er een groot tekort aan IT’ers is. Het aantal zou verdubbeld moeten worden. Daarnaast moet er een verdriedubbeling plaatsvinden van het aandeel bedrijven dat van de cloud gebruikmaakt. Op dit moment ligt dit aantal op 26%. Deloitte ziet gelukkig ook positieve punten. Zo roept de EU-visie op tot meer samenwerking tussen lidstaten en moedigt het digitale publiek-private ecosystemen aan.
Podcast tip van de maand
- Podcast ABC: Digitale Overheid heeft een handig overzicht van verschillende podcasts over digitalisering en de digitale overheid.