In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
AI-tool kraakt 51% van de ingevoerde wachtwoorden binnen één minuut
Cybersecuritybedrijf Home Security Heroes heeft een experiment uitgevoerd met de AI-gedreven tool PassGAN. Voor het experiment voerde Home Security Heroes meer dan 15 miljoen wachtwoorden van de RockYou-inbreuk in 2009 aan de tool. Al binnen een minuut had PassGAN 51% van de veelvoorkomende wachtwoorden gekraakt en na een uur was dit 65%. Gebaseerd op de bevindingen adviseert Home Security Heroes om geen wachtwoorden te hergebruiken en regelmatig je wachtwoord te veranderen. Volgens het bedrijf kost het momenteel 6 triljoen jaar om een willekeurig gekozen wachtwoord met 18 (bijzondere) tekens te kraken, maar als er gekeken wordt naar de enorme sprongen die AI momenteel maakt, is het de vraag hoe lang dit nog het geval is.
Supplychain-security: het stiekeme strijdveld
Wie is nou eigenlijk de zwakste schakel bij ICT? Vaak zijn het niet jouw eigen ICT-systemen of jouw eigen medewerkers, maar ligt die zwakke schakel buiten jouw organisatie. De Onderzoeksraad voor Veiligheid (OVV) luidde eind 2022 daarom de noodklok: de kloof tussen de cyberdreiging en cyberweerbaarheid wordt steeds groter. Aanvallers gaan steeds vaker op zoek naar zwakke schakels in de keten. Zo gaan kwaadwillenden op zoek naar kwetsbaarheden en ingangen in software en systemen van derden, die door anderen weer worden gebruikt. De gevolgen kunnen verstrekkend zijn, denk aan in het oog springende voorbeelden, zoals bij Log4J, Solwarwinds, Kaseya en Okta.
Aleid Wolfsen (AP): ‘Verhaal schade na datalek’
Aleid Wolfsen heeft - naar aanleiding van het datalek bij Nebu - bedrijven op de mogelijkheid gewezen dat zij IT-dienstverleners die data verwerken aansprakelijk kunnen stellen als data gestolen wordt. Volgens Wolfsen hebben veel bedrijven de veiligheid van hun systemen zelf wel op orde, maar gaat er nog wel eens iets mis als zij andere bedrijven inhuren. De uitspraken van Wolfsen krijgen veel kritiek van privacy-expert Menno Weij en Floor Terra van Privacy Company. Volgens hen suggereert Wolfsen dat het inhuren van Nebu onrechtmatig was en zij vinden het kwalijk dat Wolfsen de slachtoffers opjut. De AP zou zich volgens hen beter kunnen richten op het handhaven van niet gemelde datalekken en het naleven van de meldplicht.
8 identity management best practices to have in place
Security Magazine, 19 april 2023
IDSA’s Trends in Security Digital Identities toonde vorig jaar al aan dat 84% van de respondenten te maken had gehad met een identity-gerelateerd lek. 96% gaf daarbij ook aan dat het lek voorkomen of geminimaliseerd had kunnen worden als identity security beter ingericht was. Mede daarom geeft Jeff Reich, Executive Director van IDSA in dit artikel 8 best practices om IAM goed in te richten:
- Krijg inzicht in de bedrijfsmiddelen en systemen: zonder inzicht in wat je hebt, kan je het ook niet beschermen.
- Definieer eigenaarschap: bijvoorbeeld eigenaarschap over de verschillende identiteitstypen, zoals interne medewerkers, externen, virtuele identiteiten en klanten.
- Gebruik unique identifiers: zodat de activiteit van een identiteit te traceren is.
- Creëer een gezaghebbende bron voor identiteiten.
- Automatiseer provisioning en deprovisioning.
- Beheer privileged toegang.
- Stel een governance programma en processen op: Zorg hierbij ook voor een multifunctioneel team dat toeziet op de naleving van de processen en het beleid.
- Zorg dat de identiteit centraal staat in de beveiliging.
The risks of not implementing Privileged Access Management in your organization
In dit artikel zet One Identity de risico’s van het niet implementeren van PAM uiteen:
- Verhoogd risico op datalekken
- Schending van wet- en regelgeving
- Verlies van productiviteit
- Financiële verliezen
- Reputatieschade
Naast de risico’s wordt ook stilgestaan bij verschillende hacks en datalekken bij onder andere Equifax, Yahoo en Tesla. Hacks die bij een goede implementatie van een PAM-oplossing en -processen voorkomen hadden worden.
Passwordless (In)Security: A Self-Help Guide for IT Leaders
Volgens Ping Identity zijn wachtwoorden één van de zwakste schakels in de beveiliging van organisaties en ook nog eens slecht voor de gebruikerservaring. Passwordless authenticatie kan deze problemen oplossen voor zowel klanten als medewerkers. Toch worden wachtwoorden nog steeds gebruikt. Onder andere door technical debt en angst voor verandering. Uit recent onderzoek bleek bijvoorbeeld dat 97% van de organisaties die nog niet is overgestapt is op passwordless vreest dat bij de implementatie daarvan uitdagingen komen kijken. Ondanks dat organisaties dus niet goed weten waar te beginnen, erkende 100% van de respondenten wel de voordelen. In het artikel zet Ping Identity vervolgens vijf key capabilities uiteen:
- Identity verification (identity proofing): Dit maakt accountherstel sneller en veiliger.
- Central adaptive authentication: Door het koppelen van MFA met SSO.
- Hybride eisen: Een oplossing die zowel SaaS als on-premises mogelijkheden biedt.
- Dekking voor alle identiteiten.
- Orkestratie: Door meerdere workflows te creëren en optimaliseren zonder code.
‘Veilige vorm van digitale identificatie is gewoon nodig’
Binnenlands Bestuur, 3 april 2023
Ondanks dat de Tweede Kamer bezorgd is over de komst van een eID, zijn de Nederlandse ontwikkelaars van de Yivi-app (voorheen Irma) hoopvol. Volgens hen moet er een veilige vorm van digitale identificatie komen en is ‘niets doen gewoon geen optie meer’. ’Onze app laat namelijk zien dat het wél mogelijk is om tot een veilig systeem zonder achterdeurtjes te komen, waarbij de burger zelf de baas is over zijn gegevens.’ Yivi probeer momenteel in Europa voet aan de grond te krijgen en wacht op de benodigde Nederlandse certificering. Yivi verwacht dat deze komende zomer verkregen wordt – mits de overheid de certificering dan gereed heeft. Yivi’s verwachting is dat het gebruik van ID-wallets in 2024 pas echt een vlucht gaat nemen, wanneer Nederlandse identificatiemiddelen de certificering vanuit de Wet Digitale Overheid rond hebben.
AcICT zet terugkerende adviezen op rij
Binnenlands Bestuur, 4 april 2023
Het Adviescollege ICT-toetsing (voorheen BIT) heeft in de jaarrapportage 2022 enkele terugkerende adviezen uiteengezet:
- Doordenk de start: Als je aan een ICT’er vraagt of iets mogelijk is, zal het antwoord wel ja zijn. Technisch is immers alles mogelijk, maar niet alles kan zonder consequenties voor kosten en doorlooptijden. Kijk bij het opstellen van beleid dus ook naar de uitvoerbaarheid en welke alternatieven er zijn om het doel te bereiken. Dit alles zorgt voor een goede business case – met aandacht voor kostenbatenmanagement.
- Kleine stapjes: Kijk bij de start van het project naar de onderlinge verwevenheid tussen bestaande ICT-systemen en probeer niet alles tegelijkertijd op te pakken. Anders worden kosten en doorlooptijden namelijk te optimistisch ingeschat.
- Kernproblematiek ontbreekt: Maak weloverwogen gebruik van interne en externe onderzoeken. Het effect van deze onderzoeken is vaak beperkt omdat de kernproblematiek in de opdrachtformulering ontbreekt. Geef de opdrachtnemer daarnaast ook ruimte om relevante observaties buiten de gevraagde opdracht te onderzoeken.
- Stevige basis: Kies voor een projectaanpak waarbij wordt voldaan aan noodzakelijke voorwaarden om een oplossing te kunnen ontwikkelen.
Nationale Veiligheidsstrategie 2023 - 2029
De Nationale Veiligheidsstrategie 2023-2029 schetst verschillende dreigingen. Als een dreiging één of meer veiligheidsbelangen aantast, kan dat maatschappelijke ontwrichting veroorzaken en daarmee de nationale veiligheid aantasten.
Een veilig Koninkrijk in een multipolaire wereld
- Investeren in internationale partnerschappen en versterking van de krijgsmacht.
- Bestrijden hybride conflictvoering.
- Vergroten weerbaarheid economie en beschermen van wetenschap.
- Intensiveren klimaatmitigatie en -adaptie.
- Beter beschermen van de vitale infrastructuur.
- Vergroten van pandemische paraatheid.
- Versterken van crisisbeheersing en vergroten paraatheid samenleving.
We hebben een winnaar: Renske Leijten is IT-politicus van het jaar 2022
De lezers van AG Connect hebben Renske Leijten (SP) verkozen tot IT-politicus van het jaar 2022. Met 80% van de 14.717 stemmen bleef zij de concurrentie, met onder andere Hind Dekker-Abdulaziz, Bart Groothuis, Queeny Rajkowski en Alexandra van Huffelen (minder dan 1% van de stemmen) ruim voor. Politici die eerder de prijs hebben ontvangen zijn: Lisa van Ginneken (2021), Jan Middendorp (2020), Kees Verhoeven (2019, 2016) en Martin Wörsdörfer (2017). In 2018 werd de prijs niet uitgereikt vanwege een gebrek aan geschikte kandidaten.
Eerste Kamer stemt in met elektronische gegevensuitwisseling in de zorg
De Eerste Kamer heeft unaniem ingestemd met het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz). De Wegiz verplicht elektronische gegevensuitwisseling en schrijft voor hoe dit moet gebeuren. Daardoor is het niet meer mogelijk om gegevens uit te wisselen via fax, dvd of papier. De wet treedt per 1 juli geleidelijk in werking volgens een meerjarenplanning.
Jaarverslag MIVD: Chinees leger wil Nederlandse technologie
In haar jaarverslag schrijft de MIVD dat zij zich zorgen maakt over China. China ontwikkelt in 2022 in hoog tempo hoogtechnologische wapens en investeert flink in militaire toepassingen van onder andere AI en kwantumcomputers. Omdat het land deze kennis zelf nog niet altijd bezit, probeert China, onder andere via zijn inlichtingendiensten, maar ook via commerciële bedrijven, in het buitenland kennis te verwerven en Nederland is daarbij een “aantrekkelijk doelwit”. “China maakt bovendien persoonsgegevens buit waardoor ook de privacyrechten van Nederlandse burgers in het geding zijn”, waarschuwt de MIVD.
19 Big Tech-bedrijven vallen nu onder nieuwe, strenge EU-wetgeving
Eurocommissaris Thierry Breton heeft bekendgemaakt dat bedrijven als Amazon, Apple, Facebook, Booking.com, Google, LinkedIn, TikTok, Twitter en Wikipedia binnen vier maanden aan de regels van de Europese Digital Services Act moeten voldoen. De DSA-verordening moet (minderjarige) gebruikers beter beschermen tegen schadelijke content, reclame en privacyschendingen. Platforms die zich niet aan DSA-verordening houden kunnen gestraft worden met boetes tot 6 procent van de wereldwijde omzet.
17 Nederlanders vast in internationaal onderzoek online ID-diefstal
In een groot internationaal onderzoek naar online identiteitsdiefstal van miljoenen mensen, waaronder 50.000 Nederlanders, zijn 200 mensen aangehouden. Onder de arrestanten bevonden zich ook 17 Nederlanders. Op de criminele handelswebsite “Genesis Market’ werden miljoenen gebruikersprofielen met unieke digitale vingerafdrukken verkocht. "Normaal gesproken raden we mensen in dit soort zaken aan om meteen al hun wachtwoorden te vervangen. Maar deze malware zit zo in elkaar dat dit alleen niet helpt". "De crimineel die jouw gegevens heeft aangekocht, krijgt dan gewoon een update van jouw nieuwe wachtwoord." De politie raadt daarom aan om te checken of je gehackt bent op: http://www.politie.nl/checkjehack
Waarom CFO’s zich zorgen moeten maken over cybersecurity
Ondanks dat ze het zelf (nog) niet altijd zien, zijn toenemende cyberrisico’s één van de belangrijkste onderwerpen waar CFO’s zich mee bezig moeten houden. Een CFO is namelijk niet alleen verantwoordelijk voor het beperken van de financiële risico’s, maar ook hoofdelijk aansprakelijk als er schade ontstaat door een cyberaanval. In dit artikel geeft Daan Keuper, ethical hacker en hoofd van Sector7, 4 tips aan CFO’s:
- Ken de cyberrisico’s: Bijvoorbeeld door een wekelijkse update van de CISO. Met inzicht in de risico’s wordt ook duidelijk waar de zwakke plekken liggen en welke maatregelen genomen kunnen worden.
- Maak cybersecurity onderwerp van board meetings.
- Houd regelmatig een crisisoefening.
- Zorg voor een mix van maatregelen.
Impact en volwassenheid van digitale trends nader bekeken
Binnenlands Bestuur, 25 april 2023
De Rijksinspectie Digitale infrastructuur (RDI) en ICTU hebben afzonderlijk van elkaar gekeken hoe Nederland ervoor staat met digitale ontwikkelingen en welke consequenties dit heeft voor de overheid. Hun onderzoek resulteert in een trendradar en een technologiescan:
- Trendradar RDI: Een visualisatie van 31 trends in digitalisering onderverdeeld binnen thema’s als maatschappij en digitale weerbaarheid. De visualisatie geeft aan wanneer het doorbraakmoment plaatsvond. De grootte van de bol is een indicatie van de impact op de samenleving.
- Technologiescan ICTU: 33 technologieën en methodieken zijn naast de thema’s van de Werkagenda Waarde gedreven Digitaliseren gelegd. Per technologie wordt het volwassenheidsniveau omschreven binnen de context van de publieke sector.
Softwaresupplychain en cloud-ecosysteem frustreren security
Uit onderzoek van Dynatrace dat uitgevoerd werd onder 1300 CISO’s wereldwijd blijkt dat zij pessimistisch zijn om de software van en bij hun organisaties veilig te houden. 68% van de Europese CISO’s vinden het bijvoorbeeld steeds moeilijker om hun software veiliger te houden nu hun hybride en multicloud-omgevingen complexer worden terwijl teams blijven vertrouwen op handmatige processen. Andere in het oog springende uitkomsten uit het onderzoek zijn:
- 47% is er volledig van overtuigd dat de software die ontwikkelteams opleveren volledig is getest op kwetsbaarheden voor livegang in de productieomgeving.
- 79% vindt het moeilijk om prioriteiten te stellen voor kwetsbaarheden.
- 61% van de waarschuwingen die securityscanners geven voor kritieke kwetsbaarheden zijn in de praktijk eigenlijk helemaal niet zo kritiek.
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
The Week in Identity
The Week in Identity: In deze podcast staan Simon Moffatt (oprichter van The Cyber Hut) en David Mahdi (ex-Gartner analist en CISO-adviseur) commentaar en advies over enkele trends binnen het IAM-landschap.
