In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Digitale Identiteit
Nederlandse Overheid
Overige ontwikkelingen
Podcast tip van de maand
Workforce Identity
One Identity hires new CEO before Quest software spin-off
CRN, 26 juli 2022
Quest Software heeft vijf maanden na de overname door Clearlake Capital met de aanstelling van Mark Logan voor het eerst een CEO voor One Identity aangesteld. Mark Logan maakt in een interview met CRN duidelijk dat zijn benoeming in feite de eerste stap is naar een eventuele verzelfstandiging van One Identity. Hij geeft geen tijdslijn, maar na de spin-off zal Clearlake Capital de enige eigenaar van One Identity blijven. In de tussentijd zullen klanten en medewerkers volgens Logan weinig veranderingen zien omdat Quest en One Identity nauw blijven samenwerken.
Privileged Access Management
Maandenlang gehackte gemeente deelt extern onderzoeksrapport
AG Connect, 5 juli 2022
Het onderzoek dat Hunt & Hackett uitvoerde naar de hack op de gemeente Buren is vrijgegeven met “als doel om andere organisaties de mogelijkheid te bieden zich te beschermen tegen deze specifieke aanvallen”. Op 18 januari kregen cyberaanvallen via een legitiem VPN-account van een IT-leverancier toegang tot het netwerk de gemeente. Vervolgens is via Remote Desktop Control verbinding gemaakt met de Domain Controller en de bestandsserver van de gemeente. Op de Domain Controller heeft de aanvaller via een offline-uitgevoerde bruteforce-aanval een beheerdersaccount gecompromitteerd en meerdere programma’s geïnstalleerd om een maand lang data te verzamelen. Naast het onderzoeksrapport zijn ook aanvullende documenten op GitHub gepubliceerd, zoals een lijst met indicators of compromise, hunting queries en detectieregels.
Atlassian waarschuwt voor misbruik hardcoded wachtwoord in Confluence-app
Security.nl, 22 juli 2022
Atlassian waarschuwt voor actief misbruik van een hardcoded wachtwoord in de add-on Questions for Confluence app. Bij het inschakelen van de add-on wordt er een Confluence-gebruikersaccount met hardcoded wachtwoord aangemaakt. Met dit account kunnen systeembeheerders data van de app naar de Confluence Cloud migreren. Aangezien het wachtwoord op Twitter gepubliceerd is, is het mogelijk voor ongeauthenticeerde aanvallers om op Confluence in te loggen en niet-afgeschermde pagina’s te bekijken en wijzigen. Volgens Atlassian lost het verwijderen van de add-on de risico’s niet op: beheerders moeten het account zelf uitschakelen en verwijderen. Daarnaast is er ook een update van de app verschenen.
Miljoen omvormers zonnepanelen via gelekt wachtwoord kwetsbaar voor sabotage
Security.nl, 25 juli 2022
Jelle Ursum van het Dutch Institute for Vulnerability Disclosure (DIVD) heeft ontdekt dat ongeveer 1 miljoen omvormers van zonnepanelen van de Chinese fabrikant Solarman kwetsbaar waren voor sabotage. Een super-adminwachtwoord inclusief gebruikersnaam stond namelijk in een openbare GitHub-repository. Met het superadmin-account was het niet alleen mogelijk om gegevens van duizenden Nederlandse gebruikers te zien, maar ook om klanten aan te maken en te verwijderen en om malafide firmware naar de omvormers te uploaden. Opvallend is dat DIVD Solarman al op 17 april 2021 waarschuwde. Nadat na een week het wachtwoord werd gewijzigd, ontdekte Ursum op 3 februari 2022 dat het wachtwoord hersteld was naar het oude wachtwoord. Uiteindelijk werden het account en de GitHub-repository pas op 2 juli gesloten. Inmiddels heeft de VVD opheldering gevraagd over de risico’s van Chinese zonnepanelen voor het Nederlandse stroomnet.
Gartner Magic Quadrant for Privileged Access Management 2022
Gartner, 19 juli 2022
Gartner heeft het jaarlijkse Magic Quadrant for Privileged Access Management gepubliceerd. Zowel One Identity als CyberArk zijn benoemd als “leader”.
Customer Identity and Access Management
Identity and Access Management platform Onwelkom acquired by Thales
OneWelcome, 12 juli 2022
Het Nederlandse CIAM-platform OneWelcome heeft aangekondigd dat het een overeenkomst heeft gesloten om overgenomen te worden door Thales. Met de overname is een bedrag van € 100 miljoen gemoeid. Door de overname wordt OneWelcome in staat gesteld om haar platform wereldwijd uit te rollen. Bovendien kunnen klanten profiteren van de uitbreiding van het productportfolio van Thales. De overname zal naar verwachting in de tweede helft van 2022 worden voltooid.
Multi-factorauthenticatie waardeloos door nieuwe aanvalsmethode
AG Connect, 13 juli 2022
Ondanks dat MFA één van de beste methoden is om hacks tegen te gaan, heeft Microsoft een grootschalige phishingcampagne ontdekt waarmee MFA omzeild wordt. Via een link in de phishingmail worden slachtoffers geleid naar een gemanipuleerde website. Het slachtoffer logt in en de gegevens worden door de proxy doorgesluisd naar de officiële website. De phishingsite blijft zelf in het midden zitten en is in staat om de sessie over te nemen en namens het slachtoffer te handelen. Volgens Microsoft hebben cybercriminelen sinds september al meer dan 1000 keer op deze manier accounts overgenomen.
Digital Identity
Meer regie voor burgers op het gebruik van hun gegevens
RvIG, 11 juli 2022
Sinds een aantal maanden is het voor burgers mogelijk om op MijnOverheid te zien met welke overheidsorganisaties persoonsgegevens uit de Basisregistratie Personen (BRP) worden gedeeld. In dit artikel geeft Arnold Leemans, productmanager bij Logius, antwoord op veelgestelde vragen zoals:
- Hoe zit de governance van MijnOverheid in elkaar?
- Welke rol speelt digitale inclusie?
- Hoe wordt privacy gewaarborgd?
Regelhulp Betrouwbaarheidsniveaus beschikbaar
Digitale Overheid, 11 juli 2022
Het ministerie van BZK en de RVO hebben een betrouwbaarheidshulp gepubliceerd waarmee organisaties zich kunnen voorbereiden op de Wet Digitale Overheid (WDO). Deze wet moet het straks mogelijk maken dat burgers en bedrijven veilig en betrouwbaar in kunnen logg en bij de (semi-)overheid. De regelhulp biedt organisaties een verkorte risicoanalyse: is er bijvoorbeeld sprake van privacygevoelige gegevens en kunnen eventuele fouten hersteld worden? Vervolgens krijgen organisaties een advies over het betrouwbaarheidsniveau.
Nederlandse Overheid
NCTV: Risico op ontwrichting groter door scheefgroei dreiging en weerbaarheid
NCTV, 4 juli 2022
Het Cybersecuritybeeld Nederland 2022 (CSBN2022) van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) schetst een zorgwekkend beeld: cyberaanvallen zijn aan de orde van de dag en aanvallen door statelijke actoren zijn “het nieuwe normaal”. Waar cybercriminaliteit schaalbaar is, is onze weerbaarheid dat (nog) niet. Die scheefgroei verhoogt de kans op maatschappelijke ontwrichting, met alle mogelijke gevolgen van dien. Lees in onze blog wat de grootste risico’s en de strategische thema’s uit het CSBN2022 zijn.
DigiD-inlog gaat laatste alternatief voor Amerikaanse techreuzen schrappen
AG Connect, 12 juli 2022
Logius gaat de SMS-controle voor DigiD uitfaseren. Dit betekent dat gebruikers straks alleen nog met de DigiD app, die alleen beschikbaar is op Android en iOS, kunnen inloggen. Op Kamervragen van de SP laat staatssecretaris Van Huffelen weten dat de keuze vooral “praktisch” van aard is: 99% van de smartphones gebruikt namelijk iOS of Android. Daarnaast speelt de betrouwbaarheid van de appstores een rol. Op vragen over open source, antwoordt ze dat DigiD weliswaar opensourcecomponenten gebruikt, maar dat de broncode van de app nog niet wordt gepubliceerd. Het risico bestaat namelijk dat de broncode wordt gebruikt om de app te klonen waarmee kwaadwillenden dan gegevens afhandig maken van gebruikers.
Prominentere rol digitalisering bij nieuw beleid
Digitale Overheid, 18 juli 2022
In een Kamerbrief over de ‘Routekaarten I-strategie Rijk’ worden de speerpunten voor de komende jaren uiteengezet. Waar de I-Strategie 10 thema’s kent, krijgen 3 thema’s nu prioriteit:
- Bij nieuwe wet- en regelgeving wordt stilgestaan bij informatiebeveiliging en privacy.
- De digitale weerbaarheid van het Rijk wordt versterkt door prioriteit te geven aan cybersecurity.
- Er wordt geïnvesteerd in ICT-kennis.
Politie heeft abonnement op data miljoenen burgers
Binnenlands Bestuur, 25 juli 2022
Uit berichtgeving van Trouw blijkt dat de Politie automatisch levensgebeurtenissen enprivacygevoelige gegevens van 9 miljoen mensen bijhoudt. Opvallend is dat de RvIG al in 2015 zorgen uitte over het ‘abonnement op personen’ dat de Politie heeft. De politie heeft namelijk een zogenaamde ‘afnemersindicatie’ die nooit verwijderd wordt. Dit houdt in dat de politie steeds nieuwe informatie krijgt over deze personen – ook als het niet meer nodig is. Als resultaat volgt de politie steeds meer mensen.
Ombudsman: Autoriteit Persoonsgegevens doet te lang over antwoord
AG Connect, 20 juli 2022
De Nationale Ombudsman concludeert dat het te lang duurt voordat burgers reacties krijgen op klachten over de dienstverlening van de Autoriteit Persoonsgegevens (AP). De AP erkent het probleem en zegt aan een oplossing te werken. In december klaagde de Ombudsman ook al over de AP. In een reactie in mei liet de AP weten maatregelen te nemen om klagers beter op de hoogte te houden. De ombudsman zegt nu dat die voornemens "nog in groot contrast staan met de praktijk".
Overig
Gebrekkige IT-kennis management remt digitalisering
Computable, 5 juli 2022
Uit onderzoek van USoft onder 540 managers in Nederland blijkt dat 32% van de managers IT-kennis tekortkomt om digitalisering succesvol te maken. Ondanks dat 78% wel vindt dat een moderne IT-omgeving essentieel is, leidt het gebrek aan IT-kennis en capaciteit tot uitdagingen.
Gevolgen van Log4j-kwetsbaarheid kunnen nog jaren aanhouden
NU.nl, 15 juli 2022
Volgens een rapport van de Cyber Safety Review Board (CSRB) kan de kwetsbaarheid in Log4j nog zeker tien jaar problemen opleveren. Ondanks dat de schade tot nu toe mee lijkt te vallen, wordt er veel werk verricht om de kwetsbaarheden te dichten. Volgens het CRSB kan het lek als een “endemische kwetsbaarheid” aangemerkt worden, waardoor er een “aanzienlijk risico” blijft bestaan.
EU bestempelt meer sectoren als vitaal
Binnenlands Bestuur, 25 juli 2022
De EU heeft een akkoord bereikt over de nieuwe richtlijn voor Critical Entities Resilience (CER). In de oude richtlijn weren alleen sectoren in de energie en transport als vitaal gezien. Straks moeten ook de voedselvoorziening, zorg, financiële marktinfrastructuur, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten en ruimtediensten eronder gaan vallen. Het is de verwachting dat de richtlijn dit najaar wordt gepubliceerd en vervolgens in 2024 omgezet kan worden in nationale wetgeving.
Podcast tip van de maand
In de ban van Rian: In deze podcast duikt Tubantia-journalist Angelique Kunst antwoord op de vragen: Wie is ‘cybercharlatan’ Rian van Rijbroek en wat drijft haar?