In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Third-Party Access
Digitale Identiteit
Nederlandse Overheid
Overige ontwikkelingen
Podcast tip van de maand
Workforce Identity
Market Guide for Identity Governance and Administration
Gartner, 4 juli 2022
Gartner heeft de jaarlijkse Market Guide voor IGA gepubliceerd. Volgens Gartner gebruikt in 2025 meer dan 40% van de organisaties een IGA-oplossing en wordt de IGA-markt steeds volwassener. Er is steeds meer aandacht voor het beheer van machine identities en identiteiten in cloud oplossingen. Gartner adviseert organisaties die een IGA-oplossing zoeken om:
- Kijk naast de traditionele IGA-use cases, ook of de oplossing mee kan gaan in toekomstige cloud gerelateerde behoeften, zoals Artificial Intelligence en Machine Learning.
- Kijk ook naar het gebruiksgemak en de kosten van een SaaS -oplossing of een managed serviceprovider.
- Bekijk machine-identities als afzonderlijke identiteitstypen.
- Identificeer vroeg in het proces belangrijke use-cases zodat IGA-oplossingen die niet kunnen voldoen uitgesloten kunnen worden.
Thoma Bravo neemt Ping Identity over voor € 2,8 miljard
Techzine, 3 augustus 2022
Op dezelfde dag als de bekendmaking van de kwartaalcijfers die € 72 miljoen lager uitviel dan verwacht, werd bekend dat Ping Identity wordt overgenomen door Thoma Bravo. Ondanks dat het aantal gebruikers van Ping Identity groeit, worstelt het Access-Managementbedrijf met de ongunstige markt waarin investeerders voorzichtig zijn. Als resultaat neemt de cashflow af: van € 30 miljoen in de plus vorig jaar naar € 8,4 miljoen in de min dit kwartaal. Ping Identity en Thoma Bravo hopen dat de deal eind dit jaar definitief is. Eerder dit jaar nam Thoma Bravo ook SailPoint over voor € 6,9 miljard.
Black Hat 2022: Why machine identities are most vulnerable
VentureBeat, 15 augustus 2022
Binnen een gemiddelde organisatie heeft elke medewerker meer dan 30 digitale identiteiten, maar een gemiddelde organisatie heeft 45x meer machine-identiteiten dan menselijke identiteiten. Dit terwijl maar 40% van de identiteiten van machine identiteiten wordt getraceerd en volgens Osterman Research kan 61% van de organisaties de certificaten en sleutels van hun digitale middelen niet bijhouden. Doordat hybride cloud configuraties, zoals Amazon, Azure en Google, eigenlijk te complex zijn om te beheren, worstelen organisaties met het beveiligen van machine-identiteiten. De verschillen tussen cloud platformen maakt het daarnaast ook lastig om principes als zero trust en least privilege af te dwingen. In plaats daarvan worden organisaties in dit artikel geadviseerd om schaalbare IAM-platforms te overwegen.
Wachtwoordmanager LastPass slachtoffer van cyberaanval
AGConnect, 26 augustus 2022
LastPass meldt in een email naar klanten dat een kwaadwillende toegang heeft gekregen tot delen van de ontwikkelomgeving nadat het bedrijf ongewone activiteiten detecteerde. Na onderzoek bleek dat de aanvaller toegang had gekregen via een ontwikkelaarsaccount. Ondanks dat er delen van de broncode gestolen zijn, benadrukt LastPass dat er geen gebruikersgegevens zijn gestolen. Het bedrijf heeft inmiddels mitigerende maatregelen genomen.
Privileged Access Management
Gestolen wachtwoord gaf criminelen toegang tot 140.000 betaalterminals
Security.nl, 2 augustus 2022
Cybercriminelen hebben via een gestolen wachtwoord wereldwijd toegang gekregen tot 140.000 betaalterminals van het bedrijf Wiseasy. De wachtwoorden tot twee clouddashboards, waaronder een adminwachtwoord, werden op internet te koop aangeboden en zouden via malware zijn gestolen. Via één van de dashboards was het mogelijk om gegevens van Wiseasy-gebruikers te bekijken. De dashboards waren beide vanaf het internet toegankelijk en vereisten geen MFA. Inmiddels zegt Wiseasy de problemen opgelost te hebben en MFA toegevoegd.
Enisa: merendeel van ransomware-infecties wordt niet gemeld aan autoriteiten
Tweakers, 2 augustus 2022
Het EU cyber-agentschap Enisa meldt in een rapport dat het weinig zicht heeft op ransomware aanvallen. Naast dat veel slachtoffers niet willen prijsgeven of er losgeld betaald is, willen veel slachtoffers sowieso niet hun incidenten publiek maken of melden bij de autoriteiten. Enisa pleit daarom voor betere regels onder de NIS2 waarbij cyberincidenten verplicht gemeld moeten worden.
Cisco-netwerk gehackt door ransomwarebende met Lapsus$-link
AGConnect, 11 augustus 2022
Cisco heeft bekendgemaakt dat op 24 mei dit jaar een zogeheten ‘Initial Access Broker’ het interne netwerk van Cisco heeft bereikt. Cisco zegt meteen actie ondernomen te hebben om de kwaadwillenden te isoleren. Volgens Cisco zijn er geen gevoelige gegevens of intellectueel eigendom gestolen. De weken na de aanval was te zien dat er continue pogingen gedaan werden door de kwaadwillenden om opnieuw toegang te krijgen. In de meeste gevallen ging het daarbij om aanvallen op zwakke wachtwoorden.
Customer Identity and Access Management
Transmit Security expands CIAM capabilities to improve fraud detection and identity verification for users
Helpnet Security, 18 augustus 2022
Transmit Security heeft nieuwe functionaliteiten toegevoegd en haar bestaande producten – BindID, RiskID, VerifyID en UserID – met Trasmit Security CIAM Platform een nieuwe naam gegeven. Nieuwe functionaliteiten die geleverd worden als API zijn:
- Passwordless en MFA.
- Autorisatie en user management.
- Digital Identity fraude protectie.
- Geïntegreerde orkestratie om end-to-end integratie en automatisering te bieden.
Third-Party Access
Vijf Limburgse gemeenten gehackt via toeleverancier
AGConnect, 18 augustus 2022
AGConnect meldt dat op 27 juli de softwareleverancier van de Zuid-Limburgse gemeenten Eijsden-Margraten, Gulpen-Wittem, Kerkrade, Meerssen en Vaals getroffen werd door een cyberaanval. Het systeem van de softwareleverancier werd gebruikt voor de afhandeling van aanvragen van uitkeringen en toeslagen. Als resultaat werd de administratie van het sociaal domein vergrendeld en was data van onder andere bijstandsuitkeringen, jeugdzorg, WMO en energietoeslagen niet meer toegankelijk. Volgens de gemeenten kon de dienstverlening wel gewoon doorlopen. Inmiddels zijn alle systemen weer toegankelijk.
Digital Identity
Proef met een digitaal reisdocument
iBestuur, 11 augustus 2022
Waarschijnlijk start eind dit jaar een door de Europese Commissie gefinancierde proef voor reizen tussen Finland en Kroatië met een telefoon-app die het fysieke paspoort vervangt. Nederland wil met Canada ook graag meedoen aan de proef. Daar moet dan eind deze maand een voorstel voor ingediend zijn bij de Europese Commissie. Het zou dan samenvallen met het inmiddels vier jaar vertraagde Known Traveller Digital Identity programma (KTDI) van het World Economic Forum.
Voortgangsrapportage Europese Digitale Identiteit
Digitale Overheid, 18 augustus 2022
In een Kamerbrief heeft staatssecretaris Van Huffelen de Tweede Kamer geïnformeerd over de kabinetsvisie op- en de ontwikkeling van het Europese Digitale Identiteit raamwerk. In 2023 wil Van Huffelen een eerste werkende open source wallet neerzetten. Dit moet dienen als referentie voor andere wallets. Om dit te bereiken wil de overheid discussies aangaan met onder andere de wetenschap, het bedrijfsleven en burgers. Daarnaast wordt op dit moment een maatschappelijke kosten-batenanalyse uitgevoerd.
Nederlandse Overheid
AP verbiedt hergebruik persoonsdata door overheid
Computable, 11 augustus 2022
De Autoriteit Persoonsgegevens wil dat hergebruik van persoonsgegevens uit overheidsdata en openbare registers in principe verboden wordt. Om dit mogelijk te maken moet de Wet hergebruik van overheidsinformatie aangepast worden. Volgens de AP is het niet aan overheidsorganisaties om te bepalen of persoonsgegevens gedeeld kunnen worden of niet – dat zou aan de burger zelf moeten zijn.
Werken ‘in de cloud’ wordt mogelijk voor Rijksoverheid
Digitale Overheid, 30 augustus 2022
Met de nieuwe cloud strategie krijgen overheidsorganisaties meer ruimte om gebruik te maken van commerciële clouddiensten als zij voldoen aan de volgende voorwaarden:
- Overheidsorganisaties hebben vooraf een risicoanalyse uitgevoerd.
- De cloud mag niet gebruikt worden voor het opslaan of verwerken van staatsgeheime informatie.
- Er mogen geen diensten worden afgenomen van leveranciers met een actief cyberprogramma gericht tegen Nederlandse belangen.
Overig
Minder oog bij HR-afdeling voor IT-tools en security
Computable, 4 augustus 2022
Uit het jaarlijkse HR-trendonderzoek van Berenschot, Performa en AFAS onder ruim 1600 HR-professionals blijkt dat slechts 26% van de HR-medewerkers digitalisering en IT-ondersteuning van de HR-processen als hoge prioriteit zien. Vorig jaar was dit nog 44%. De verwachting van de onderzoekers is dat dit percentage volgend jaar nóg meer omlaaggaat naar 19%. Ook de urgentie voor privacy- en databeveiliging is gedaald van 12% naar 4%. En dat is volgens de onderzoekers opvallend in een tijd waar we juist meer thuiswerken. “Je hebt als werkgever namelijk minder zicht op de omgeving waarin iemand zijn of haar werk uitvoert (…) Het is zorgelijk om te zien dat juist dit jaar de urgentie rondom dit thema nog meer is verminderd.”
Personeel verdeeld over terugkeer naar kantoor
Computable, 11 augustus 2022
Uit onderzoek van OnePoll in opdracht van Citrix blijft dat medewerkers verdeeld zijn over of ze thuis of op kantoor willen werken. De meerderheid van de medewerkers geeft de voorkeur aan hybride werken. Een aanzienlijk deel twijfelt geen seconde om weer fulltime op kantoor te werken. Volgens de onderzoekers kunnen werkgevers ‘door beide opties mogelijk te maken (…) de productiviteit én mentale gezondheid van het gehele personeelsbestand versterken.’
Podcast tip van de maand
Human Factor Security: In deze podcast interviewt Jenny Radcliff cybersecurity professionals over de menselijke factor in cybersecurity.