In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
SailPoint acquires SecZetta to provide comprehensive identity security for non-employee identities
SailPoint heeft op 12 januari aangekondigd SecZetta over te nemen. SecZetta is een toonaangevende leverancier op het gebeid van third-party identity risk solutions. Tegenwoordig bestaat bijna de helft van organisaties uit niet-werknemers. Het goed en veilig inrichten van het life cycle management van deze identiteiten is echter vaak een uitdaging. Met SecZetta kan SailPoint haar mogelijkheden uitbreiden om organisaties te ondersteunen grip te krijgen op alle soorten identiteiten.
LastPass in VS aangeklaagd wegens diefstal van gevoelige klantgegevens en ‘Gestolen LastPass-kluizen actief gekraakt door criminelen’
Security.nl, 5 januari 2023 en AG Connect, 18 januari 2023
Nadat LastPass al was aangeklaagd in de Verenigde Staten wegens de diefstal van gevoelige klantgegevens, waaronder versleutelde wachtwoorden, meldt incident response-bedrijf Responders dat data die is gestolen nu ook actief ontsleuteld én misbruikt worden. Ook meldt moederbedrijf GoTo dat een encryptiesleutel en back-ups van sommige klanten zijn gestolen. Die back-ups bevatten kopieën van data voor recovery in geval van nood. Experts adviseren gebruikers inmiddels om over te stappen naar een andere passwordmanager.
NortonLifeLock waarschuwt klanten voor inbraak op wachtwoordmanager
Na LastPass heeft ook NortonLifeLock een onbekend aantal klanten gewaarschuwd dat criminelen hebben ingebroken op hun Norton Password Manager. De inloggegevens zouden volgens NortonLifeLock verkregen zijn via andere bronnen – een zogeheten Credential Stuffing-aanval. Norton heeft het wachtwoord van de getroffen klanten gereset en adviseert klanten hun wachtwoorden op andere sites te wijzigen.
NCSC waarschuwt voor gat in KeePass
Ook wachtwoordmanager KeePass bevat een kwetsbaarheid die is ontstaan doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een aanvaller kan deze configuratie aanpassen en misbruiken om opgeslagen data te verkrijgen. Ondanks dat KeePass systeembeheerders wel de mogelijkheid geeft om misbruik te voorkomen, vindt het bedrijf het niet nodig om het gat te dichten. Omdat KeePass niet cloudgebaseerd werkt, moet een aanvaller namelijk eerst toegang hebben tot een computer.
Inbraak CircleCI via gestolen ‘2FA-backed’ SSO-sessie van laptop engineer
Het DevOps-platform CircleCI heeft alle klanten opgeroepen om al hun secrets en wachtwoorden te roteren. Via malware op een laptop van een engineer kon een aanvaller de ‘2FA-backed’ SSO-sessie stelen. Door zich voor te doen als de engineer, kon de aanvaller toegang krijgen tot de productiesystemen van CircleCI. Doordat de engineer toegangstokens kon genereren, kon de aanvaller toegang krijgen tot gevoelige gegevens van klanten en deze gegevens stelen. CircleCI stelt dat alle klanten die gegevens hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd.
Cybercrime overtroeft inbraken en overvallen
In 2022 heeft de Nederlandse politie bijna 797.000 misdrijven geregistreerd: een stijging van bijna 7% ten opzichte van 2021. Opvallend is dat de fysieke misdrijven afnemen. Het aantal overvallen daalde met 43% naar 670 en ook het aantal woninginbraken daalde met 38% naar 24.000. Het aantal digitale misdrijven is echter flink gestegen. Waar er in 2019 nog 4.715 aangiftes tegen cybercriminaliteit werden gedaan, waarin dit er in 2022 13.949.
How Identity Security Addresses Key DoD Zero Trust Requirements
Eind december kondigde het Amerikaanse Ministerie van Defensie een Zero Trust strategie aan. Dit vereist een gelaagde cybersecurity-strategie, waarmee het aanvalsoppervlak verkleind wordt, risicobeheer en effectieve gegevensuitwisseling mogelijk gemaakt wordt en aanvallen ingedamd worden. Om dit te realiseren, is het beveiligen van identiteiten en hun toegangsrechten essentieel:
-
Gebruikers: MFA gecombineerd met sterke wachtwoorden beveiligt en authentiseert identiteiten. Extra controles op privileged accounts maken het daarnaast mogelijk om least privilege af te dwingen en sessies te monitoren.
-
Apparaten: Geautomatiseerde controles die diefstal van inloggegevens tegengaan zijn essentieel om aanvallen in een vroeg stadium te vertragen en te beheersen.
-
Netwerken en omgevingen: Sessiebeheer van web sessies maakt het mogelijk om extra beveiligingslagen te creëren.
-
Applicaties en workloads: Voor elke menselijke identiteit zijn er wel 45 machine identiteiten. Ook hun toegang moet beschermd worden.
-
Automatisering: Het enorme aantal identiteiten vertegenwoordigt een enorm aanvalsoppervlak. Door processen te implementeren voor een geautomatiseerde identity lifecyle, krijgen organisaties controle over buitensporige toegangsrechten en dwingen zij least privilege af.
An Exclusive CIAM Benefit: The Role of Access Management in Cost Optimization
Security Boulevard, 12 januari 2023
Met de alsmaar verdergaande digitalisering kan CIAM niet over het hoofd gezien worden. Er komt echter veel meer bij kijken dan veiligheid en gebruikerservaring. Door CIAM op een juiste manier te implementeren, kunnen organisaties namelijk ook de operationele kosten minimaliseren. Door (on- en offboarding) processen te automatiseren, wordt het gebruikersbeheer gestroomlijnd en kunnen medewerkers hun tijd effectiever besteden. In dit artikel wordt geschetst hoe een oplossing als LoginRadius daaraan bij kan dragen.
Identity verification and fraud trends to loom large in 2023
FinTech Magazine, 13 januari 2023
Michael Ramsbecker, Chief Product Officer of Trulioo, deelt zijn visie op de trends op het gebied van identiteitsverificatie:
- Identiteitsverificatie wordt belangrijker nu de economische stagnatie leidt tot een verhoogd risico op fraude, waarvan de dreiging ook toeneemt.
- AI en Machine Learning worden cruciaal in het nieuwe dreigingslandschap.
- Er vindt een consolidatie plaats in identiteitsverificatiesystemen.
- Programma’s voor nationale ID-systemen, zoals de Digitale Identiteit in de EU en de aangekondigde pilots door de Nederlandse regering, zullen versneld worden uitgevoerd.
Zorgen over surveillancestaat weerhouden regering niet van invoering digitale bewijspas
Follow the Money, 11 januari 2023
Zelf jouw gegevens, zoals salarisstrook of fysieke ID-kaart bewaren en beheren en per situatie bepalen welke informatie je deelt. Dat zijn de uitgangspunten van de NL Wallet, die we dit jaar nog kunnen uitproberen. FTM schrijft in dit artikel dat de digitale identiteit waarde hecht aan uitgangspunten als dataminimalisatie en privacybescherming, maar de Tweede Kamer was volgens FTM tegen en verschillende experts waarschuwen tegelijkertijd dat het Nederlandse kabinet te weinig maatregelen neemt om de privacy en de vrije keuze te beschermen.
Kamerbrief over openbaarmaking broncode DigiD-app
Rijksoverheid, 16 januari 2023
Vrijwel de gehele broncode van de DigiD-app is na een Woo-verzoek openbaar gemaakt. Niet alle fragmenten zijn beschikbaar gemaakt, omdat enkele fragmenten, zoals de informatie over de infrastructuur en persoonsgegevens van ontwikkelaars, een beveiligingsrisico voor de continuïteit van DigiD opleveren. De broncode is een momentopname. De software is nog niet geschikt om de broncode real-time beschikbaar te stellen. Er wordt nog onderzocht of ook de broncode van de DigiD-software, die bij Logius draait, openbaar gemaakt kan worden.
Overheden willen risico’s en kosten van innovatie mijden
Een werkgroep van inkoopprofessionals en wetenschappers constateert dat onvoldoende erkenning van de potentie, een abstractie innovatieagenda en het mijden van risico’s belangrijke belemmeringen voor overheden zijn om tot innovatiegericht inkopen te komen. Ondanks dat bestuurders en directeuren wel willen innoveren, is er in de praktijk weinig betrokkenheid. Ook de lange looptijd van dit soort inkooptrajecten, verkokering en de angst om de ‘first mover’ te zijn, helpen niet mee. De werkgroep doet daarom 3 aanbevelingen:
- Stel een strategisch actieplan op voor innovatiegericht inkopen.
- Bied voorlichting en ondersteuning over innovatiegericht inkopen.
- Zoek de samenwerking en verbind middelen die er al zijn.
CSR: Nederland moet inzetten op digitale autonomie en meer cyberexperts
De Cyber Security Raad (CSR) schrijft in een reactie op de Nederlandse Cybersecuritystrategie dat Nederland moet inzetten op digitale autonomie ten opzichte van andere landen en grote marktpartijen en het opleiden en aantrekken van gekwalificeerde cybersecurityexperts. Volgens de CSR staat cybersecurity niet op zichzelf, “maar is een randvoorwaarde voor veilige verdere digitalisering van onze samenleving en hangt samen met andere domeinen, zoals economische veiligheid en privacy. Mede daarom heeft het thema over de volle omvang constante aandacht nodig op het hoogste politiek-bestuurlijke niveau.”
Uitvoeringsorganisaties trekken aan de bel
Staat van de Uitvoering, 18 januari 2023
Op 18 januari hebben uitvoeringsorganisaties de eerste Staat van de Uitvoering aan Tweede Kamervoorzitter Bergkamp overhandigd. Naast oproepen aan de politiek om de complexiteit te verminderen en samenwerking te vergroten, speelt ook IT een grote rol. Door complexe wetgeving, processen en (verouderde) IT-systemen zijn uitvoeringsorganisaties namelijk ondoorzichtig, inflexibel en foutgevoelig geworden.
Waarom 2022 een rampjaar was voor grote IT-projecten van de overheid
64% van de 119 grote IT-overheidsprojecten van meer dan € 5 miljoen is nog altijd fors vertraagd en de geplande kosten stegen naar € 6 miljard, ruim € 1,3 miljard dan gepland. De tien grootste projecten hebben met € 701 miljoen een groot aandeel in deze overschrijding. AG Connect en Binnenlands Bestuur onderzochten deze tien projecten en ontdekten een aantal gemene delers. Zo is media-aandacht voor dit soort projecten vaak beperkt en is IT voor veel Tweede Kamerleden niet spannend genoeg. Daarnaast zijn de IT-projecten vaak te complex doordat er om maatwerk wordt gevraagd als gevolg van wet- en regelgeving. Ook te grote beloftes, verschil in samenwerking met de marktpartijen, en problemen door legacy systemen en slechte datakwaliteit worden als oorzaken gezien.
MIDO: belangrijke drager voor vernieuwing digitale overheid
Het eerste Meerjarenprogramma Infrastructuur Digitale Overheid (MIDO) zet overheidsbreed de inhoud, planning en budgetten voor de Generieke Digitale Infrastructuur uiteen. Volgens Dick Heerschop, CIO van de Politie en voorzitter van de Programmeringsraad GDI, is prioritering noodzakelijk vanwege de schaarste aan ICT’ers. De MIDO is allereerst gericht op de continuïteit van voorzieningen als DigiD en MijnOverheid, maar ook de bouw van de ID-wallet staat op het programma.
Antifrigaliteit smeermiddel voor digitalisering overheid
René Bliekendaal, Chief (Enterprise) Architect bij Centric, schrijft in dit artikel dat de verschillende enterprise architecturen die binnen de overheid gebruikt worden (NORA, GEMMA, EAR, PETRA en WilMA), wendbaarheid van organisaties tegen kunnen gaan. Hij adviseert organisaties alleen met kaders te werken, zodat architecturen binnen bepaalde spelregels blijven en uitgevoerd worden. Daarnaast zou de enterprise architectuur te weinig naar buiten kijken. Om dit te verbeteren, zet hij in het artikel zeven succesfactoren uiteen.
MijnOverheid verplicht inloggen in 2 stappen
Sinds 30 januari is het alleen nog mogelijk om met de DigiD-app of sms-controle in te loggen op MijnOverheid. Dit biedt een extra beveiligingslaag en maakt het moeilijker voor kwaadwillenden om met iemand anders zijn inloggegevens in te loggen.
Naleving NIS2-richtlijn: strategische adviezen voor CISO’s
Met de NIS2-richtlijn, die op 16 januari in werking is getreden, worden ongeveer 4000 instellingen verplicht om meer cybersecuritymaatregelen te nemen. Niet-naleving kan leiden tot boetes en mogelijke wettelijke aansprakelijkheid. Naleving van de NIS2 helpt organisaties niet alleen om hun eigen systemen en gegevens te beschermen en daarmee het risico van dure incidenten te verkleinen. Het kan ook de reputatie en geloofwaardigheid verbeteren. Het is daarom belangrijk dat de CISO de vereisten vanuit de NIS-richtlijn begrijpt om ervoor te zorgen dat de organisatie voldoet aan de vereisten. In dit artikel geeft Igor van Gemert daarom enkele adviezen:
- Word vertrouwd met de vereisten van de NIS-richtlijn en weet hoe en of deze op de eigen organisatie van toepassing zijn.
- Beoordeel de huidige beveiliging: Dit kan helpen om verbetermaatregelen te prioriteren.
- Ontwikkel een plan voor naleving: Dit kan betekenen dat nieuwe technische en organisatorische maatregelen moeten worden genomen, dat procedures voor het melden van incidenten moeten worden vastgesteld en dat een plan moet worden ontwikkeld voor de voortdurende naleving.
- Overleg met relevante belanghebbenden zodat zij op de hoogte zijn van de NIS2-vereisten en de mogelijke gevolgen voor hen.
- Controleer en evalueer de nalevingsinspanningen: Dit is een continu proces.
EU-hof: iedereen heeft recht te weten wie over zijn data beschikt
Het Europees Hof van Justitie stelt dat elke burger het recht heeft om te weten wie over zijn data beschikt en waar zijn persoonsgegevens zijn terechtgekomen als deze worden doorgestuurd. Volgens het Europees Hof kan een burger met die informatie namelijk zijn recht om vergeten te worden uitoefenen of zijn persoonlijke data aanpassen. Tijdens een Oostenrijkse rechtszaak van een burger tegen Österreichische Post verklaarde het bedrijf dat het persoonsgegevens had doorgestuurd naar klanten, waaronder IT-bedrijven, liefdadigheidsorganisaties en politieke partijen. Volgens de Europese rechter is dat niet genoeg, als iemand daarnaar vraagt moet de werkelijke identiteit van de ontvangende partijen worden verstrekt.
12 Miljard gelekte records in database Have I been Pwned
Have I been Pwned heeft op 2 januari een nieuwe mijlpaal bereikt. Er staan namelijk 12 miljard gelekte records in de database. Deze nieuwe mijlpaal is ‘te danken’ aan het datalek bij muziekstreamer Deezer, waarbij de privégegevens van 229 miljoen gebruikers zijn getroffen.
Medewerker Belastingdienst aangeklaagd voor ongeoorloofd opvragen data
Het OM heeft tegen een medewerker van de Belastingdienst, die wordt verdacht van het ongeoorloofd opvragen van gegevens, drie jaar cel geëist. Bij de verdachte thuis werd € 920.000 in contanten gevonden. De man controleerde sinds 2007 mkb-bedrijven op fraude en meldde zicht medio 2020 ziek. Nadat de Rijksrecherche drie foto’s, afkomstig van het computerscherm van de medewerker van de Belastingdienst, op berichtendienst Sky opmerkte, werd de man aangehouden. Volgens de verdachte heeft hij alleen een paar keer familie of kennissen kosteloos geholpen toen zij problemen hadden met de Belastingdienst.
PwC: Cybersecurity Nederlandse bedrijven loopt achter op de rest van West-Europa
PwC stelt in zijn wereldwijde Digital Trust Survey dat Nederlandse bedrijven op het gebied van cybersecurity achterlopen op de rest van West-Europa. In Nederland worden cyberrisico’s minder vaak beperkt en risico’s rondom thuiswerken, toenemende digitalisering en afhankelijkheid van de supply chain minder vaak geadresseerd. Wat volgens PwC ook opvalt is dat 35% van de Nederlandse bedrijven de cyberbudgetten wil verlagen. Dit terwijl er juist in nieuw talent en bewustzijn geïnvesteerd zou moeten worden.
SaaS zorgt voor meer en complexer beheer
De vraag naar functioneel beheerders is de afgelopen jaren explosief gestegen. Daarmee heeft de komst van SaaS niet gezorgd voor minder functioneel beheerders. Wel zijn de werkzaamheden van de functioneel beheerder veranderd. Waar de functioneel beheerder eerst werd gezien als een super user wordt deze nu meer gezien als een expert en kennisdrager van de businessprocessen. Globaal zijn er drie soorten functioneel beheerders:
- Ondersteunen: Zorgen dat de IT goed kan worden gebruikt door de organisatie en dat het veilig en betrouwbaar werkt.
- Regisseren: Zorgen dat de IT goed wordt aangepast aan nieuwe of veranderende wensen van de organisatie.
- Verbeteren: Zorgen dat de gewijzigde IT ook goed wordt gebruikt en de verbeteringen ook daadwerkelijk worden ingevoerd.
Dit zijn de belangrijkste tech trends (volgens Capgemini)
In zijn 2023 TechnoVision-rapport zet Capgemini de belangrijkste tech trends uiteen. Volgens het bedrijf is het scala aan opties om te kiezen groter dan ooit. Trends die Capgemini ziet, zijn onder andere het Internet of Twins, gedecentraliseerde autonome organisatie, clouds die specifiek gericht zijn op een bepaalde branche of een regio en een snelle doorbraak van generatieve AI-modellen.
Russische hackers vallen ziekenhuizen aan om steun aan Oekraïne
De pro-Russische hackersgroep Killnet heeft DDoS-aanvallen gepleegd op organisaties in landen die Oekraïne helpen in de oorlog in Rusland. Ook een aantal ziekenhuizen in Nederland, waaronder het UMCG en het LUMC, waren slachtoffer. Volgens een woordvoerder van het Z-CERT lijkt de impact vooralsnog mee te vallen
Hackgroepen steeds professioneler: salarissen en vakantiedagen
Cybercriminelen worden steeds professioneler. Uit onderzoek van Kaspersky blijkt dat op hackersfora zelfs salarissen en vakantiedagen worden aangeboden. De salarissen, die gemiddeld tussen de € 1300 en € 4000 euro liggen, zijn niet zozeer hoger dan ‘legaal’ werk. Dit komt mede omdat veel van de vacatures gericht zijn op Rusland, waar de beloningen vaak relatief lager uitvallen.
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Ik weet je wachtwoord
In 'Ik Weet Je Wachtwoord' onderzoekt techjournalist Daniël Verlaan ongelooflijke verhalen die online spelen. Elke aflevering duikt Daniël in een nieuwe cybercrime-zaak en gaat hij ook het gesprek met de digitale criminelen aan. Het tweede seizoen, dat uit zes afleveringen bestaat, is vanaf 4 januari 2023 te beluisteren. Elke tweede woensdag van de maand komt er een nieuwe aflevering.
