Contact Werken bij
Taal:
Nederlands
Plan een call
Plan een call
Menu
Sluiten
Menu
Sluiten
Menu
Sluiten
Taal:
Nederlands

Digital Identity Compass - December 2022

Leestijd 6 min
13 januari 2023, laatste update 13 januari 2023

In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.

Inhoudsopgave

Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Third-Party Access
Digitale Identiteit
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Uitgelichte webinars

 


Workforce Identity

Datalek bij LastPass, sommige klantgegevens ingezien door aanvallers
AG Connect, 1 december 2022 hacker_website

Begin december heeft LastPass in een blogbericht bekendgemaakt slachtoffer te zijn geworden van een datalek. Het bedrijf laat naar aanleiding van de hack onderzoek doen door Madiant. Met informatie die eerder dit jaar gestolen werd uit de ontwikkelomgeving van LastPass hebben criminelen in november toegang weten te krijgen. Ondanks dat het de criminelen gelukt is om klantgegevens en data te stelen, is het risico op misbruik volgens LastPass beperkt. De informatie in de kluizen is namelijk versleuteld en kan enkel aan de client side worden ontsleuteld via het hoofdwachtwoord. 

 


Privileged Access Management

Phishing Attacks: Five things to watch out for 
Information Security Buzz, 2 december 2022 

In dit artikel zet David Higgins van CyberArk vijf trends van grote phishing-aanvallen uiteen: 

  • Social engineering
  • Identiteitsfraude door first-factor credentials te stelen
  • MFA ‘fatigue’ attacks, waarbij betrouwbare bronnen worden nagebootst en gebruikers herhaaldelijk gevraagd worden om MFA-meldingen te accepteren en hen te ‘vermoeien’. Dit kan voorkomen worden door een one-time password (OTP) in te stellen. 
  • Move laterally, waarbij de hacker meer rechten probeert te verkrijgen om toegang te krijgen tot de belangrijkste systemen. 
  • Exfiltratie van gegevens.

Minstens 35% van inbraakpogingen gericht op oude gaten
AG Connect, 27 december 2022 

Uit onderzoek van ESET Nederland blijkt dat hackers veel gebruikmaken van oude, niet gedichte gaten. Alleen al in Nederland worden dagelijks nog tienduizenden pogingen gedaan om misbruik te maken van de Log4j-kwetsbaarheid: 13% van alle pogingen in het tweede halfjaar van 2022 verliep via Log4j. Dit is helaas geen uitzondering. Eerder in december waarschuwde het NCSC al voor misbruik van gaten in het Citrix-systeem en er worden ook nog steeds inbraakpogingen gedaan via EternalBlue en WannaCry. Beide kwetsbaarheden kwamen al in 2017 aan het licht. Een reden voor het trage patchen is volgens Dave Maasland van ESET Nederland dat niet alle organisaties in kaart hebben wat ze eigenlijk hebben.  

Bron: Eset

Bron: ESET

 

 


Customer Identity and Access Management

5 Areas Where CIAM Is More Than An IT Responsibility
Forbes, 29 december 2022

In dit artikel zet Deepak Gupta, mede-oprichter van LoginRadius, vijf redenen uiteen waarom CIAM niet alleen een IT-aangelegenheid is: 

  • Maak een afweging tussen beveiliging en gebruikerservaring: multi-factorauthenticatie maakt authenticatie veiliger, maar is ook een extra drempel voor de gebruikerservaring. Om een afweging te maken, is het daarom essentieel om gebruikers te begrijpen. 


    customer experience-1

  • Massapersonalisatie: Naast het authentiseren en autoriseren, kan CIAM fungeren als een centraal platform om gepersonaliseerde ervaringen te leveren. Hiervoor is een nauwe samenwerking tussen IT en marketing vereist. 
  • Compliance (risico’s) beheersen: Door Governance Risk & Compliance (GRC)-teams samen te brengen met IT-teams, is het mogelijk om vereisten uiteen te zetten en wordt het eenvoudiger om compliance risico’s te ontdekken en op te lossen. 
  • Integratie van het klantrelatiebeheer: Door gebruikersgegevens te integreren met CIAM, ontstaat er inzicht in (het gedrag van) klanten. 
  • Het privacybeleid handhaven en bewaken

 


Third-Party Access 

Over 77,000 Uber employee details leaked in data breach 
Cyber Security Hub, 15 december 2022 

Uber is na eerdere cyberincidenten opnieuw slachtoffer geworden van een datalek waarbij gevoelige personeels- en bedrijfsgegevens zijn gelekt. Dit heeft de hacker onder het pseudoniem ‘UberLeaks’ bekendgemaakt op het forum BreachForums. Hackers konden Uber aanvallen via een AWS cloudserver van Teqtivity, een softwarebedrijf die asset management en tracking diensten levert aan Uber. Volgens nieuwssite BleepingComputer omvat de gelekte informatie onder andere broncode, Windows domain login names en e-mailadressen van meer dan 77.000 Uber medewerkers. 

 


Digital Identity

EU laat prototype van e-wallet maken
Computable, 7 december 2022 

De Europese Commissie heeft de Zweedse IT-dienstverlener Scytáles en het Luxemburgse Netcompany-Intrasoft de opdracht gegund om een prototype en twee volgende releases van de e-wallet te bouwen. Aan de aanbesteding deden tien partijen mee. De opdracht heeft een contractwaarde van € 26 miljoen. 

Stand van zaken Europese digitale identiteit: motie geweigerd 
AG Connect, 9 december 2022 

Het kabinet heeft een motie van SP-Kamerlid Leijten geweigerd. De motie, die gesteund werd door een Kamermeerderheid riep op om niet in te stemmen met de Europese raadsconclusies over de Europese digitale identiteit. Volgens staatssecretaris Van Huffelen zou Nederland zich buitenspel zetten in resterende onderhandelingen als zij niet akkoord gaat. Wel zal ze aandacht vragen voor de zorgpunten. 

 
 

Overheid

 

NCSC mag security-informatie breder delen 
Computable, 2 december 2022 

Na een aanpassing van de Wet beveiliging netwerk- en informatiesystemen (Wbni) mag het NCSC vanaf december dreigingsinformatie delen met organisaties die niet als vitaal zijn aangemerkt of die buiten de Rijksoverheid vallen. 

AIVD en MIVD krijgen meer ruimte bij cyberoperaties 
Computable, 2 december 2022 

Een wijziging van de tijdelijke wet cyberoperaties moet het mogelijk maken dat de AIVD en de MIVD meet bevoegdheden krijgen om sneller en effectiever op te treden tegen cybercriminaliteit van statelijke actoren. De wet maakt het bijvoorbeeld mogelijk om door 'dynamisch toezicht’ een aanvaller te blijven volgen als deze overstapt naar een nieuwe server of apparaat. Ook krijgt het CTIVD de bevoegdheid om een operatie per direct te stoppen. De verwachting is dat de Tweede Kamer de wet in het eerste kwartaal van 2023 behandelt. 

Van Huffelen: overheid moet goede voorbeeld geven met securitystandaarden 
AG Connect, 2 december 2022 

Naar aanleiding van een meting van Forum Standaardisatie bleek in november dat van de ruim 2500 gecontroleerde overheidsdomeinnamen slechts 53% aan alle verplichte webstandaarden voldeed. Slechts 44% voldeed aan de e-mailstandaarden. Staatssecretaris Van Huffelen benadrukt tegen AG Connect dat de overheid het goede voorbeeld moet geven, maar dat implementatie een verantwoordelijkheid is voor de afzonderlijke overheidsorganisaties. De Wet Digitale Overheid moet de grondslag bieden om – nader te bepalen – open standaarden wettelijk aan overheidsorganisaties te verplichten, maar het is nog onduidelijk wanneer deze wet in werking treedt. 

Kamerbrief bij aanbieding GDI-Programmeringsplan 2023
Rijksoverheid, 2 december 2022 

Het kabinet heeft het GDI-Programmeringsplan 2023, de Monitor Digitale Overheid 2022 en de GDI-Meerjarenvisie 2022-2026 met de Tweede Kamer gedeeld. Het programmeringsplan en de meerjarenvisie zijn opgebouwd aan de hand van vier domeinen, waarbij onderscheid wordt gemaakt tussen beheer en exploitatie, doorontwikkeling en vernieuwing: 

  • Domein Toegang. 
  • Domein Interactie. 
  • Domein Gegevensuitwisseling. 
  • Domein Infrastructuur. 

Voor 2023 zijn de volgende bedragen beschikbaar: 

  • Beheer en exploitatie: € 234,7 mln. 
  • Doorontwikkeling en vernieuwing: € 62,5 mln. 

Trends informatiesamenleving in 2023 
Digitale Overheid, 8 december 2022 

De Vereniging Nederlandse Gemeenten (VNG) heeft voor de derde keer het Trendrapport Informatiesamenleving uitgebracht. Het rapport bevat analyses, trendupdates en interviews met gemeentebestuurders over de belangrijkste onderdelen in het rapport. De belangrijkste onderwerpen in het trendrapport zijn de registratie van sensoren en algoritmen, desinformatie, de digitale ruimte en digitale veiligheid. Het rapport bevat analyses, trendupdates en interviews met gemeentebestuurders over de belangrijkste onderdelen in het rapport.  

ICT-uitgaven overheden stijgen flink, om burgers beter te bedienen. 
AG Connect, 13 december 2022 

Onderzoeksbureau Gartner voorspelt dat de wereldwijde ICT-uitgaven binnen de publieke sector in 2023 zullen stijgen met 6,8% naar $ 588,9 miljard. Vooral het moderniseren van oude systemen en het verbeteren van de toegankelijkheid zullen de belangrijkste ICT-uitgaven zijn. Prioriteiten daarbij zijn het migreren naar de cloud, het moderniseren van applicaties en het versterken van netwerkbeveiliging. Gebruikers verwachten namelijk steeds vaker dat de overheid hetzelfde gemak biedt als de private sector. Volgens directeur-analist Daniel Snyder van Gartner gaat het om de ‘Total Experience’ van gebruikers en medewerkers.  

Onderzoeksraad waarschuwt: Aanpak cybersecurity te traag  
iBestuur, 14 december 2022 

Naar aanleiding van het onderzoek naar het Citrix incident in 2021, publiceerde de Onderzoeksraad voor Veiligheid (OVV) op 13 december een notitie over de opvolging van de zeven aanbevelingen die zij destijds hebben gedaan. Conclusie: de OVV luidt de noodklok: de cybersecurityaanpak gaat te traag. Zowel publieke als private partijen moeten sneller handelen en het tempo verhogen. Volgens OVV-voorzitter Jeroen Dijsselbloem gaat het om telkens terugkerende vragen ‘Wie gaat hier over? Wie neemt de leiding? Hoe is het crisismanagement geregeld?” Dit blijkt in veel gevallen niet goed vastgelegd, afgestemd en geregeld. 

Definitieve tekst van verreikende Europese securitywet NIS2 gepubliceerd
AG Connect, 28 december 2022 

Het Europees Parlement heeft de definitieve tekst van de NIS2 gepubliceerd. Naast een uitbreiding van het aantal “belangrijke” sectoren, bevat de NIS2 voorschriften voor computerhygiëne, trainingen, asset management, toegangscontrole en beleid en procedures in het geval van incidenten. Het is de bedoeling dat in Nederland het NCSC toezicht gaat houden en organisaties helpt bij het voldoen aan de eisen. De NIS2 treedt op 16 januari in werking. Daarna hebben lidstaten 21 maanden om de verordening te implementeren.  

                                                                            
 

Overig

Amerikaanse Defensie presenteert nieuwe securitystrategie: wantrouw alles
AG Connect, 1 december 2022 

Het Amerikaanse ministerie van Defensie heeft een nieuwe cybersecuritystrategie gepubliceerd, waarin plannen worden toegelicht die moeten zorgen voor betere bescherming van gevoelige informatie. IAM een belangrijke pijler binnen de strategie.

‘Wens tot digitaliseren strand tot keuzestress rond technologie en talent’ 
AG Connect, 7 december 2022 

Uit recent onderzoek van Boston Consultancy Groep (BCG) onder 2600 beslissers blijkt dat 60% verwacht volgend jaar meer budget toe te kennen aan digitaliseringsprojecten. Ondanks dat bedrijven de noodzaak zien om aan de slag te gaan met digitalisering, loopt het merendeel tegen obstakels aan, zoals het kiezen van de juiste technologie, het opschalen van projecten naar de gehele organisatie en het vinden van personeel.  

Meer Belgische steden doelwit van hacker 
AG Connect, 20 december 2022 

Na een ransomware-aanval bij de gemeente Antwerpen heeft de hackersgroep Play ook hackpogingen gedaan bij andere Belgische gemeenten, zoals Genk, Leuven en Hasselt. Doordat Antwerpen informatie over de aanval via de Vlaamse Steden en Gemeenten (VVSG) had gedeeld, konden de andere gemeenten betere maatregelen treffen. Systemen zijn namelijk op zwakke plekken gecontroleerd en waar mogelijk zijn er onmiddellijk verbeteringen doorgevoerd. 

 

 


Podcast tip van de maand

CIP PodCast: In deze podcast deelt CIP kennis over onderwerpen rondom informatiebeveiliging en privacybescherming. 



 

Uitgelichte webinars

  • 25 januari: Nationale Privacy Conferentie 2023 | Van 10:00 tot 14:00 uur organiseert ECP, in samenwerking met Stichting Privacy First, de 6e Nationale Privacy Conferentie. Het thema dit jaar is Financiële Privacy. De conferentie vindt plaats in de Glazen Zaal in Den Haag, maar is ook via een livestream te volgen. 

     

 

 

Nooit meer het Digital Identity Compass missen?

Schrijf je in en ontvang maandelijks automatisch de update.

 

idea 2
- Suzanne van Oosterum,
Suzanne has a background in political science and international relations. In her work as a business consultant at Grabowsky, she strives to bridge the gap between IT and the business, so that IAM is not just seen as an "IT party." She does this by providing insight into the problem and realizing business value, including by improving processes and raising awareness within organizations.

Gerelateerde berichten