In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Digitale Identiteit
Nederlandse Overheid
Overige ontwikkelingen
Podcast tip van de maand
Workforce Identity
Secure access for a connected world—meet Microsoft Entra
Microsoft, 31 mei 2022
Microsoft heeft Microsoft Entra aangekondigd: de nieuwe product ‘familie’, waarin alle Identity and Access Management oplossingen worden ondergebracht. Naast Azure Active Directory worden twee nieuwe productcategorieën toegevoegd aan het centrale Entra platform: Cloud Infrastructure Entitlement Management (CIEM) en gedecentraliseerde identiteit. Microsoft heeft laten weten dat het platform op de lange termijn wordt uitgebreid met nieuwe betaalde producten.
Mobiliteit én veiligheid voor hybride werkplekken
Computable, 17 juni 2022
In het ‘Nokia Threat Intelligence Report’ wordt gesteld dat wereldwijd zes miljoen mobiele apparaten per maand worden geïnfecteerd met malware. In dit Computable artikel worden enkele tips gegeven om dat tegen te gaan:
- Vertrouw alleen op mobiele devices mét beveiliging.
- Toestelbeheer en beveiligingsbeleid centraal.
- Toegangs- en identiteitsbeheer.
- Train medewerkers.
Privileged Access Management
Gegevens gemeente Buren werden gestolen via inloggegevens van leverancier
Nu.nl, 15 juni 2022
De Gelderse gemeente Buren heeft bekendgemaakt dat de cyberaanval, waarbij 130 GB aan bestanden werd gestolen, is ontstaan doordat hackers via een account van een leverancier binnenkwamen. Dit account werd niet beschermd door tweestapsverificatie. De gemeente heeft aangifte gedaan bij de politie en het OM en externe specialisten ingeschakeld om te helpen bij het herstellen van de systemen. Ook is er melding gedaan bij de Autoriteit Persoonsgegevens.
Customer Identity and Access Management
Okta brengt identity security naar SentinelOne XDR
Techzine, 31 mei 2022
Okta en SentinelOne hebben een integratie tussen de twee platformen gelanceerd. Het securityplatform van SentinelOne XDR informeert Okta over riskante gebruikers, waarna Okta de gebruikers uit het systeem of netwerk verwijdert.
Waarom IAM niet meer weg te denken is
Computable, 24 juni 2022
IAM en CIAM zijn niet meer weg te denken en dat is niet gek. Het is namelijk cruciaal voor wie op een veilige en gebruiksvriendelijke manier digitale diensten wil ontsluiten. Uit onderzoek van TrustBuilde en Forrester blijkt dat elke organisatie op eigen tempo aan de digitale transformatie werkt. In elk stadium van dit maturity model speelt IAM een rol: SSO, MFA, federatie, API-security, etc. Daarnaast zijn verschillende trends te zien in het IAM-landschap:
- De overgang van RBAC naar ABAC.
- Persona-gebaseerde authenticatie.
- Personalisatie.
- Low code.
- Gebruiksvriendelijkere interfaces.
Digital Identity
Wettelijk vertegenwoordiger moet digitaal kunnen zorgen
Digitale Overheid, 2 juni 2022
Staatssecretaris van Huffelen (BZK) heeft aangekondigd dat er een centrale voorziening voor wettelijk vertegenwoordigers komt zodat zij met hun eigen inlogmiddel diensten kunnen afnemen voor de personen die zij vertegenwoordigen. Samen met de Raad voor de Rechtspraak werkt het kabinet aan een centraal register dat naar verwachting begin volgend jaar in stapjes beschikbaar wordt voor gebruik.
Kabinet en Tweede Kamer hebben bezwaren tegen Europese digitale identiteit
Nu.nl, 2 juni 2022
Ondanks dat nog niet duidelijk is hoe de Europese app voor een digitale identiteit er technisch uit gaat zien, heeft de Tweede Kamer bezwaren vanwege de “gevaren voor burgers en risico’s voor misbruik”. Ook het kabinet wil niet dat gegevens van burgers in een centraal systeem worden opgeslagen en dat burgers gedwongen worden gebruik te maken van een Europees persoonsnummer. De Europese Commissie heeft steeds benadrukt dat de app (die als alternatief dient als lidstaten zelf niet in een app kunnen voorzien) niet verplicht wordt. Toch vraagt Nu.nl zich af of burgers eraan kunnen ontkomen.
Staatssecretaris past Wet Digitale Overheid aan
Digitale Overheid, 3 juni 2022
Op 1 juni is de Tweede Kamer in debat gegaan met staatssecretaris Van Huffelen (BZK) over de wijziging van de Wet Digitale Overheid. De Eerste Kamer had hierom gevraagd. Naar aanleiding van het debat in de Eerste Kamer is de Wet op een aantal punten aangepast: privacy bij het ontwerpen van inlogmiddelen, open source, tenzij, commerciële partijen mogen inloggegevens niet koppelen om gevoelige data te verzamelen. Op 7 juni heeft de Tweede Kamer ingestemd met de wijziging. Deze wordt nu naar de Eerste Kamer gestuurd.
Self Sovereign Identity: een paradigmashift
iBestuur, 21 juni 2022
Overheden bereiden zich voor op SSI, maar is de private sector er eigenlijk wel klaar voor? SSI klinkt mooi, maar het verandert de bedrijfsvoering fundamenteel. In dit artikel geeft TNO enkele tips:
- Sla het bewijs op, niet de data.
- Vergeet de wachtwoorden.
- Wees waardevol voor je klanten.
- Werk samen met concurrenten.
Nederlandse Overheid
Incidentresponsplan Ransomware
3 juni 2022, NCSC
Het NCSC heeft een incidentresponsplan gepubliceerd dat organisaties kunnen gebruiken als inspiratiebron om snel aan de slag te gaan. Naast tips voor incident response nadat een aanval heeft plaatsgevonden, richt het document zich ook op de voorbereidingsfase: organisaties kunnen zich namelijk al voorbereiden door vooraf maatregelen, zoals een goede back-up en encryptie, te treffen.
Rijk selecteert vijf partijen voor strategisch ICT-advies
iBestuur, 7 juni 2022
De Rijksoverheid heeft twee partijen (Atos en KPMG) en drie samenwerkingsverbanden (1) DiVetro, SeederDeBoer, 1DigitalNL; 2) PwC, Accenture, IDC Metri; en 3) VKA, Berenschot, McKinsey & Company) geselecteerd die de ministeries en uitvoeringsorganisaties de komende vier jaar gaan voorzien van strategisch ICT Maatwerk advies. De aanbesteding heeft een waarde van € 24 miljoen (met een maximum van € 33 miljoen).
Jaarrapportage 2021 Adviescollege ICT-toetsing
Rijksoverheid, 13 juni 2022
In 2021 heeft het Adviescollege ICT-toetsing 14 onderzoeken uitgevoerd, waaruit vier algemene adviezen naar voren komen:
- Concretiseer de beoogde baten en stuur op de realisatie daarvan: Maak vooraf een probleemanalyse, definieer op basis daarvan de doelen en breng de alternatieve oplossingen en kosten en baten in kaart.
- Denk toekomstige processen goed uit: Het risico bestaat dat een ICT-oplossing niet goed aansluit bij de praktijk. Betrek daarom in een vroeg stadium de lijnorganisatie. Op basis daarvan kunnen de functionele- en technische eisen gedefinieerd worden. De neiging bestaat om alle uitzonderingen te automatiseren, terwijl een minder complexe oplossing met een laag percentage handmatige acties vaak eenvoudiger en sneller te realiseren is. Houd de oplossing dus zo eenvoudig mogelijk. Wees ook voorzichtig met de inzet van herbruikbare generieke functionaliteit. Dat verhoogt de complexiteit terwijl de herbruikbaarheid vaak tegenvalt. Begin klein en kijk niet alleen naar de mogelijkheden, maar ook naar de randvoorwaarden, toekomstvastheid en complexiteit.
- Versterk aandacht voor relatie opdrachtgever - leverancier: Er is nog veel te winnen door betere marktverkenningen en door te concretiseren wat er van leveranciers verwacht wordt. Er worden te vaak impliciete aannames gedaan, waardoor de softwareproducten uiteindelijk niet goed passen bij het beoogde gebruik, vertragen of te duur zijn. Het is daarom essentieel voor opdrachtgevers om zich vooraf goed te laten informeren.
- Houd bij keuze oplossingsrichting ook rekening met beheer- en onderhoudsfase: Organisaties houden er vaak geen rekening mee dat systemen jarenlang onderhouden en doorontwikkeld moet worden. Als resultaat worden zij geconfronteerd met (hoge) kosten die zij niet voorzien hadden. Eisen en wensen van gebruikers veranderen, wet- en regelgeving is dynamisch en ook software wordt regelmatig geüpdatet. Bovendien kan een oud systeem niet direct ‘uitgezet’ worden. Daarom is het essentieel om bij de keuze voor een oplossing voldoende aandacht te besteden aan de gevolgen voor beheer en onderhoud. Breng naast de realisatiekosten ook de kosten van het meerjarig beheer en onderhoud in kaart, ook van de oude systemen die nog operationeel zijn.
Gemeenten: groot verschil tussen fysieke en digitale veiligheid
Digitale Overheid, 15 juni 2022
Uit een serie bestuurlijke gesprekken die de VNG georganiseerd heeft, blijkt dat er een groot verschil is tussen het fysieke en digitale veiligheidsdomein. Waar er in de fysieke wereld structuren bestaan om bij een crisis te escaleren, wordt dit voor de digitale wereld nog onderzocht. Tijdens de gesprekken stonden onder andere Leveranciersmanagement, Bewustwording en Budget steevast op de agenda.
Zo verhoog je de digitale weerbaarheid van jouw organisatie
Digitale Overheid, 23 juni 2022
De Informatiebeveiligingsdienst (IBD) geeft het Ondersteuningspakket Verhogen Digitale Weerbaarheid (VDW) ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. Ondanks dat het stuk eigenlijk ontwikkeld is voor gemeenten, is het ook bruikbaar voor andere organisaties. Het pakket bestaat uit een vijftal modules:
- Maatregelen en processen: basis op orde.
- Monitoring en response.
- Awareness.
- Bedrijfscontinuïteitsbeheer.
- Procesautomatisering.
Overig
Cybersecuritywoordenboek
Cyberveilig Nederland
Cyberveilig Nederland heeft het online Cybersecuritywoordenboek gepubliceerd.
Cloud-sector bezorgd om nieuwe securityregels EU
Computable, 17 juni 2022
De EU gaat de komende maten het European Cybersecurity Certification Scheme for Cloud Services (EUCS), een nieuw raamwerk en certificering voor clouddiensten, vaststellen. De cloudsector vreest grote gevolgen. Bestaande certificeringen zijn waarschijnlijk niet voldoende en nieuwe audits gaan waarschijnlijk erg veel geld en tijd kosten. De verwachting is dat EUCS rond 2024 wordt uitgerold.
Waarom zijn gebruikers zo lastig?
AG Connect, 21 juni 2022
Het werk van functioneel beheerders draait steeds meer om stakeholdermanagement, draagvlak creëren en ondersteuning bieden tijdens implementaties. Dat maakt hun werk echter ook lastig. Een succesvol functioneel beheerder heeft dan ook kennis van de psychologie nodig om te begrijpen wáárom gedragsverandering zo lastig is. Daniël Brouwer en Pascalle van Goethem geven in dit artikel inzicht en handvatten om het gebruikersgedrag te sturen. Volgens hen zijn er verschillende oorzaken voor weerstand: er is een ‘negativiteitsbias’, gebruikers vrezen autonomie te verliezen of zijn vermoeid omdat er ‘alweer’ een verandering is. Brouwer en Van Goethem pleiten ervoor om juist de critici te betrekken en hen een rol te geven in het veranderingsproces. Daarnaast geven ze ook drie tips voor gedragsverandering:
- Wees een leider.
- Zie het grote plaatje.
- Zoek ambassadeurs.
Podcast tip van de maand
Cyber motherboard: In deze podcast praat Ben Makuch elke week met Motherboard verslaggevers Lorenzo Franceschi-Bicchierai en Joseph Cox over het grootste nieuws in cybersecurity.