In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Lessen van: LastPass’ tweede hack (in 1 jaar tijd, door dezelfde dader)
AG Connect zet in dit artikel een aantal lessen uiteen naar aanleiding van de hacks op LastPass. Bij de eerste hack in augustus kreeg de hacker via een bedrijfslaptop van een software-engineer toegang tot de ontwikkelomgeving. Bij de tweede hack kreeg de hacker toegang tot een versleutelde bedrijfskluis van LastPass waar slecht vier developers toegang toe hebben. De hacker heeft één van de vier developers gericht getarget door mediasoftware bij die developer thuis te hacken met remote-code execution (RCE) waarna er een keylogger is geïnstalleerd. Daarmee is het hoofdwachtwoord van de developer onderschept. LastPass deelt nu de maatregelen die daarna zijn genomen. Zo zijn de IAM-policies strikter ingesteld, de inzet van MFA is ‘opgevoerd’, credentials met kritieke en hoge privileges ‘geroteerd’ en gebruikersaccounts van developers zijn gedeactiveerd. Hetzelfde is gedaan voor oude service-accounts in het IAM-systeem, zowel voor development als voor productie.
Aan deze voorwaarden (8) voldoet een passwordmanager
Ondanks de recente hacks op LastPass is een passwordmanager zeker een goed idee. Het zorgt namelijk voor unieke en sterke wachtwoorden. Maar een goede passwordmanager moet volgens Jelle Wieringa wel aan een aantal voorwaarden voldoen, waaronder:
- Vergrendel je passwordmanager automatisch na een paar minuten.
- Versleutel alle data binnen je passwordmanager.
- Check of je passwordmanager het klembord na verloop van tijd wist.
- Laat je passwordmanager wachtwoorden aanmaken en doe dat niet zelf.
- Wijzig al je wachtwoorden minstens één keer per jaar.
Marktonderzoeker start kort geding tegen softwareleverancier om datalek
Naar aanleiding van het datalek waardoor marktonderzoeksbureau Blauw en zijn klanten mogelijk zijn getroffen, is het marktonderzoeksbureau een kort geding gestart. Het lek is ontstaan bij softwareleverancier Nebu, maar die geeft volgens Blauw nauwelijks informatie. Tot nu toe is duidelijk dat er veertien Nederlandse bedrijven mogelijk zijn getroffen, waaronder NS, VodafoneZiggo, CZ, Heineken, ProRail en ArboNed.
Aantal gedupeerden Nebu-datalek groeit, omvang ongewis
Het aantal slachtoffers van het datalek bij softwarebedrijf Nebu neemt nog steeds toe. Ondanks dat de Autoriteit Persoonsgegevens (AP) geen overzicht heeft, is het vermoeden dat er circa 2 miljoen Nederlanders slachtoffer zijn geworden. Marktonderzoeksbureaus, zoals Blauw Research, USP Marketing Consultancy en Mobiel Centre Marktonderzoek, zetten de software van Nebu in voor hun online-enquêtes. Bij zulke onderzoeken worden gegevens als naam, adres, e-mailadres en telefoonnummer verzameld. Ondanks dat dit geen gevoelige informatie is, kunnen criminelen toch veel schade aanrichten, bijvoorbeeld door meerdere gegevensbronnen te combineren en mensen daarmee gericht te benaderen.
De 10 grootste cyberaanvallen van 2022
Crowdstrike meldt in haar jaarlijkse Global Threat Report dat 2022 een jaar van “explosieve, adaptieve en schadelijke dreigingen was”. Hackers worden steeds sneller en geavanceerder en Crowdstrike ziet hierbij een grote toename van aan China-gelinkte activiteiten. Opmerkelijk is ook de explosieve stijging (112%) van access brokers advertenties op het darkweb. Dit zijn actoren die credentials en toegang van organisaties verwerven en deze vervolgens doorverkopen. Deze stijging, samen met de toename van social engineering-aanvallen, benadrukken volgens Crowdstrike waarom identity threat beveiliging cruciaal is. Enkele andere conclusies:
- Van de in totaal meer dan 200 gevolgde ‘tegenstanders’ door Crowdstrike waren er 33 nieuw.
- 95% toename in cloud exploitatie.
- De gemiddelde eCrime break out time is slechts 84 minuten.
- 71% van de aanvallen was vrij van malware.
Linux onder vuur van Windows-ransomwarebende
SentinelOne heeft via een bekende kwetsbaarheid in bestandsdelingssoftware Aspera Faspex van IBM nieuwe Linux-ransomware waargenomen in de netwerken van diverse bedrijven. Ondanks dat er al vorig jaar een patch uitgebracht is, is deze dus niet overal toegepast. De (van oorsprong op Windows gefocuste) IceFire-ransomwarebende mikt nu op systemen waarop IBM’s Linux-distributie CentOS draait. SentinelOne heeft de ransomware ook getest op Linux-distributies Ubuntu en Debian: daar werkt de kwaadaardige software ook.
Opt-out geeft consumenten géén opt-out, blijkt uit onderzoek
In een nieuw onderzoek concluderen Amerikaanse wetenschappers dat consent management platforms (CMP’s) vaak gegevens van websitebezoekers verzamelen, verwerken en delen – zelfs als bezoekers voor een opt-out hebben gekozen. De wetenschappers concluderen dan ook dat wet- en regelgeving, zoals de AVG, onvoldoende privacybescherming biedt.
Europese Commissie presenteert voorstel voor digitaal rijbewijs
De Europese Commissie heeft een plan gepresenteerd voor de invoering van een Europees digitaal rijbewijs dat het fysieke exemplaar vervangt. Het plan maakt het mogelijk om een rijbewijs digitaal te vervangen, verlangen of in te wisselen. Dit is echter ook een grote IT-uitdaging: lidstaten moeten binnen nu en 18 maanden met elkaar een akkoord vinden over technische specificaties voor interoperabiliteit, digitale beveiliging en testen. Daarna hebben de lidstaten vier jaar om ervoor te zorgen dat alle nationale rijbewijssystemen met een nieuwe Europese interface gaan werken en aansluiten op het Europese systeem.
Provincies kennen grote IT-uitdagingen, bij verkiezingen komen ze amper voor
Alle provincies werden de afgelopen vier jaar slachtoffer van een hacker, een datalek of een mislukt IT-project. Toch blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur dat het thema nauwelijks aan bod komt in de in totaal 144 partijprogramma’s. Het enige onderwerp waar de partijen wél uitgesproken over zijn? De komst van datacenters in hun provincie. De andere IT-uitdagingen, zoals digitale weerbaarheid van de provincie (27%), aanpak IT-aanbestedingen (12%), digitale toegankelijkheid (4%) en tekort aan IT’ers bij de provincie (2%), komen nauwelijks aan bod.
Amper oog voor cybersecurity bij waterschapsverkiezing
Alle provincies werden de afgelopen vier jaar slachtoffer van een hacker, een datalek of een mislukt IT-project. Toch blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur dat het thema nauwelijks aan bod komt in de in totaal 144 partijprogramma’s. Het enige onderwerp waar de partijen wél uitgesproken over zijn? De komst van datacenters in hun provincie. De andere IT-uitdagingen, zoals digitale weerbaarheid van de provincie (27%), aanpak IT-aanbestedingen (12%), digitale toegankelijkheid (4%) en tekort aan IT’ers bij de provincie (2%), komen nauwelijks aan bod.
Cyber Resillience Act in volgende fase ondanks grote kritiek
IT-experts hebben forse kritiek op de Cyber Resilience Act (CRA), waarmee Europa een no-go zone dreigt te worden voor softwareontwikkelaars van buiten het continent. Toch lijkt de Europese Commissie de verordening door te willen zetten. Volgens experts is het voorstel te breed en vaag geformuleerd. Terwijl er wel hoge boetes op overtreding staan. Bovendien hebben onafhankelijke keuringsinstituten die de software van Europese softwaremakers zouden moeten gaan controleren te weinig capaciteit.
Eerste Kamer neemt Wet Digitale Overheid aan
Digitale Overheid, 21 maart 2023
Na een lange wetsbehandeling, heeft de Eerste Kamer op 21 maart de Wet Digitale Overheid (Wdo) aangenomen. De wet zorgt dat burgers en bedrijven veilig en betrouwbaar met publieke en private middelen kunnen inloggen bij de (semi-)overheid. Het is de bedoeling dat de wet op 1 juli 2023 gefaseerd in werking treedt.
Inloggen bij gemeenten steeds moeilijker voor digibeet
Digitale Overheid, 21 maart 2023
Door opgeschroefde beveiligingsmaatregelen wordt het volgens de Algemene Rekenkamer steeds ingewikkelder voor digibeten om in te loggen bij overheidsorganisaties. Dat de beveiliging verbetert, is volgens de onderzoekers alleen maar goed, maar daarbij moet wel rekening gehouden worden met mensen die ‘minder digitaal vaardig zijn of ingewikkelde problemen hebben’. Mogelijkheden als iemand anders machtigen zijn echter beperkt en dat moet volgens de Rekenkamer beter.
Overheid onvoldoende voorbereid op nieuw toegangsstelsel
Binnenlands Bestuur, 30 maart 2023
De Algemene Rekenkamer voorziet knelpunten in de inwerkintreding van de Wdo, die per 1 juli 2023 gefaseerd ingaat. De overheid is volgens de Rekenkamer nog niet goed voorbereid op de toelating van private middelen en het leveren van een publiek authenticatiemiddel voor bedrijven (tweede tranche). Enkele knelpunten die de Rekenkamer voorziet:
- De Wdo voorziet een ‘routeringsvoorziening’, een aansluitpunt voor alle authenticatiemiddelen, die er nog niet is.
- Uitvoeringsorganisaties hebben 3 jaar de tijd om aan te sluiten op het nieuwe stelsel, maar wat als een burger al eerder met een nieuw authenticatiemiddel wil inloggen?
- Is er wel genoeg implementatietijd voor authenticatiemiddelenleveranciers en uitvoeringsorganisaties?
- Er lopen veel activiteiten, zoals de continuïteit van DigiD en eHerkenning, maar ook de realisatie van de Wdo en eIDAS2, parallel, maar dit vraagt inzet van dezelfde schaarse expertise en capaciteit.
- De totaalarchitectuur van het toegangsstelsel ontbreekt. Terwijl dit wel essentieel is om het stelsel goed te laten werken en onnodige kosten te vermijden.
VS: Softwaremakers en -beheerders verantwoordelijk voor cybersecurity
De VS heeft de nieuwe nationale cybersecurity strategie gepresenteerd. Die de National Cybersecurity Strategy uit 2018 vervangt. Opvallend is dat de regering Biden schrijft dat de verantwoordelijkheid voor het voorkomen van cyberaanvallen bij softwaremakers en -beheerders zou moeten liggen in plaats van eindgebruikers.
De strategie is verder opgebouwd op basis van vijf pijlers:
- Beschermen van de kritieke infrastructuur: o.a. door publiek-private samenwerking en door federale cybersecurity centers te moderniseren en integreren.
- Verstoren en ontmantelen van dreigingsactoren: o.a. door meer federale samenwerking, ransomware te bestrijden en informatiedeling te versnellen.
- Weerbaarheid en veiligheid vergroten: o.a. door beheerders en ontwikkelaars verantwoordelijk te stellen en ontwikkeling van veilige IoT middelen te sturen.
- Investeren in een weerbare toekomst: o.a. door een digital identity ecosysteem en een nationale strategie om de cyber workforce te versterken.
- Internationale samenwerkingsverbanden vormen om gezamenlijke doelen na te streven.
Facebook schendt wet met verwerking Nederlandse persoonsgegevens
De Rechtbank van Amsterdam heeft geoordeeld dat Facebook over een periode van bijna tien jaar de wet heeft overtreden met de verwerking van Nederlandse persoonsgegevens, zoals seksuele voorkeur of religie. Deze gegevens werden zonder toestemming gebruikt voor advertenties. Sommige gegevens verkreeg Facebook daarnaast door het volgen van surfgedrag buiten Facebook. Meta, het moederbedrijf van Facebook, heeft al laten weten in hoger beroep te gaan tegen bepaalde punten.
Afsluiten securityverzekering gaat niet meer zomaar
Terwijl het aantal cyberaanvallen groeit, houdt de weerbaarheid van organisaties geen gelijke tred. EU- en nationale overheden eisen met wet- en regelgeving als de NIS2-richtlijn en de DORA steeds vaker een betere beveiliging en ook wordt er door opdrachtgevers vaak een cybersecurityverzekering geëist. Deze verzekeraars stellen steeds hogere eisen aan de beveiliging van hun klanten. Zo is het eigenrisico verhoogt en worden risicosectoren in kaart gebracht. Risicovolle bedrijven en instellingen, zoals SaaS-aanbieders, serviceproviders, ziekenhuizen en banken moeten aan zwaardere voorwaarden voldoen.
Gereedschapskist red teaming vanaf nu online
Digitale Overheid, 31 maart 2023
De Rijksoverheid heeft een gereedschapskist red teaming online gezet. Hiermee kunnen organisaties zelf aan de slag met het testen van de digitale weerbaarheid van de organisatie. Het gaat om 4 documenten:
- Een keuzekaart om te beoordelen welke securitytest het best bij het testdoel past.
- Twee raamwerken voor gecontroleerde uitvoering van red-teamingtesten bij de Rijksoverheid: ART en TIBER.
- Inkooprichtlijnen voor de inkoop van een red-teamingtest.
De technoloog
De technoloog: In deze BNR-podcast gaan Herbert Blankestijn en Ben van der Burg in gesprek met experts over technologische ontwikkelingen en de impact op onze samenleving.