In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Access Governance
Het Access Governance Leadership Compass van KuppingerCole geeft een overzicht van de Access Governance markt. KuppingerCole schrijft dat de aangeboden functionaliteiten van de 25 onderzochte producten verschillen in omvang. Daarom wordt het onderscheid gemaakt tussen provisioning en governance. Tijdens het onderzoek merkte KuppingerCole dat veel organisaties steeds meer eisen stellen aan een Access Governance oplossing. Veel organisaties realiseren hun identity provisioning via een managed service, maar beleggen access governance binnen de organisatie zelf.
The Seven Types of Non-human Identities to Secure
Tegenwoordig zijn non-human identities overal en is het aantal zelfs 45 keer groter dan menselijke identiteiten. CyberArk zet zeven typen en bijbehorende uitdagingen uiteen:
-
Cloudomgevingen en cloud-native apps: Elke cloudserviceprovider heeft zijn eigen manier voor het opslaan, benaderen en beheren van secrets. Ontwikkelaars moeten dynamisch kunnen werken, maar kunnen ook beveiligingsvereisten overslaan.
-
DevOps Tools/ CI/CD pipelines en Software supply chain: Binnen DevOps tools is er vaak sprake van een hoge mate van privileged toegang, beveiliging moet daarom eerder betrokken worden in de ontwikkeling.
-
Automation tools en scripts: Vaak worden in (eenvoudige) scripts hard coded credentials gebruikt. Dit kan over het hoofd gezien worden als een kwetsbaarheid.
-
COTS en ISV applicaties: COTS-applicaties vereisen door leveranciers ontwikkelde integraties en zijn kwetsbaar voor zwakke plekken in de supply chain van de leverancier.
-
RPA workloads: Handmatige wachtwoordrotatie voor RPA is niet schaalbaar, waardoor beveiliging gezien kan worden als belemmering.
-
N-Tier/ Static Homegrown applicaties: Veel organisaties zijn nog steeds afhankelijk van intern ontwikkelde on-premise applicaties. Wachtwoorden zijn vaak hard gecodeerd of lokaal opgeslagen en automatische rotatie is soms niet mogelijk.
-
Mainframe applicaties: De meest bedrijfskritieke applicaties die een organisatie heeft, maar ook hier zijn wachtwoorden vaak hard gecodeerd of lokaal opgeslagen.
Wachtwoorden en accountwildgroei frustreren gebruikers
Uit het Customer Identity Trends Report 2023 van Okta blijkt dat 69% van de consumenten gefrustreerd is door de grote hoeveelheid accounts en de bijbehorende wachtwoorden. Vaak hebben consumenten wel 20 tot 50 accounts. 24% stelt hun wachtwoorden “voortdurend opnieuw in”. Volgens Okta is de top 3 van meest frustrerende problemen bij het registreren of inloggen:
-
Het invoeren van privé- of gevoelige informatie;
-
Het invullen van lange aanmeldings- of registratieformulieren;
-
Het aanmaken van een wachtwoord dat aan bepaalde eisen voldoet.
Volgens Okta zou meer dan de helft van de consumenten waarschijnlijk meer geld uitgeven als het inlogproces veiliger en gebruiksvriendelijker zou zijn. Opvallend is dat dit percentage in Nederland (40-50%) wel lager ligt dan in de andere landen. Ook hechten Nederlanders minder waarde aan controle over hun data dan consumenten in de UK, Denemarken en Frankrijk:
Wdo biedt toekomstbestendige basis voor digitale overheid
Ondanks dat de Tweede Kamer bezorgd is over de komst van een eID, zijn de Nederlandse ontwikkelaars van de Yivi-app (voorheen Irma) hoopvol. Volgens hen moet er een veilige vorm van digitale identificatie komen en is ‘niets doen gewoon geen optie meer’. ’Onze app laat namelijk zien dat het wél mogelijk is om tot een veilig systeem zonder achterdeurtjes te komen, waarbij de burger zelf de baas is over zijn gegevens.’ Yivi probeer momenteel in Europa voet aan de grond te krijgen en wacht op de benodigde Nederlandse certificering. Yivi verwacht dat deze komende zomer verkregen wordt – mits de overheid de certificering dan gereed heeft. Yivi’s verwachting is dat het gebruik van ID-wallets in 2024 pas echt een vlucht gaat nemen, wanneer Nederlandse identificatiemiddelen de certificering vanuit de Wet Digitale Overheid rond hebben.
Het Vlaams Datanutsbedrijf gaat officieel van start onder de naam ‘athumi’
Digitaal Vlaanderen, 5 mei 2023
Onder de naam ‘athumi’ is het Vlaams Datanutsbedrijf gelanceerd. Minister-president Jambon: “Met meer dan 10 partnerships neemt het Vlaams Datanutsbedrijf een vliegende start. Het is strategisch erg belangrijk: we beschermen maximaal de data van onze mensen en bedrijven. Zij bepalen wat ermee mag gebeuren, denk aan AI of gepersonaliseerde diensten.” Het is de missie van athumi om meer data meer inzetbaar te maken voor meer organisaties. Betrokken partijen zijn onder andere Microsoft, Randstad, Doccle en itsme. Athumi concurreert naar eigen zeggen niet met bestaande spelers: “athumi zal de onderliggende infrastructuur van datakluizen en datasamenwerking voorzien. De concrete applicaties en projecten worden door andere bedrijven en organisaties aangeboden.” Nationale Veiligheidsstrategie 2023 - 2029
VNG boos over implementatie Wet Digitale Overheid
De VNG is niet blij dat er geen centraal aansluitpunt (routeringsvoorziening) komt binnen het authenticatiestelsel voor digitale toegang. Een routeringsvoorziening zou volgens de VNG gemeenten juist ontzorgen. In plaats daarvan werkt het ministerie van BZK nu aan een standaard koppelvlak, waardoor dienstverleners zelf een aansluitmethode kunnen kiezen. Ook de Algemene Rekenkamer kwam al tot de conclusie dat het ontbreken van één centraal aansluitpunt een gemis is.
‘Nederlanders vertrouwen de overheid steeds minder met persoonsgegevens’
Uit het Privacy Marktonderzoek 2023 van KPMG blijkt dat de afgelopen jaar het aantal burgers met vertrouwen gedaald is van 32% naar 19%. "Dat het vertrouwen in de overheid met de omgang van persoonsgegevens is gedaald, sluit aan bij de bredere trend van afnemend vertrouwen in de overheid. Die afname is de afgelopen jaren ontstaan als gevolg van diverse gebeurtenissen, waaronder de coronacrisis, de behandeling van de toeslagenaffaire, de hoge inflatie en het Groningen-dossier." Ook maakt meer dan de helft (52%) van de Nederlanders zich grote zorgen over de opkomst van AI en het gebruik van algoritmen door de overheid.
10 miljoen gebruikers MijnOverheid
Digitale Overheid, 25 mei 2023
Begin mei heeft MijnOverheid een mijlpaal behaald: er zijn meer dan 10 miljoen accounts op het platform. Afgelopen jaar hebben aangesloten organisaties ruim 80 miljoen berichten verzonden. Met de introductie van de Berichtenbox app en de MijnGegevens app is MijnOverheid inmiddels meer dan een website. Voor 1,5 miljoen gebruikers was in de app in 2022 zelfs de enige manier waarop zij de dienst gebruikten.
Ongeveer 2,2 miljoen mensen vorig jaar getroffen door cybercriminaliteit
Het Centraal Bureau voor Statistiek schat dat vorig jaar ongeveer 2,2 miljoen Nederlanders slachtoffer zijn geworden van cybercriminaliteit. Dit blijkt uit onderzoek onder 32.000 mensen, waarvan 15% zegt vorig jaar slachtoffer te zijn geweest. Ondanks alles voelt de helft van de Nederlanders zich veilig of heel veilig als ze het internet gebruiken. Voor mensen die slachtoffer zijn geworden van cybercriminaliteit ligt dat anders, van hen voelt 30 procent zich minder veilig. 7 à 8 procent van hen zegt last van slaapproblemen, depressieve klachten of angstklachten te hebben.
Hof van Twente zelf schuldig aan hack
Binnenlands Bestuur, 12 mei 2023
In een kort geding heeft de Rechtbank geoordeeld dat hackers in december 2020 de Gemeente Hof van Twente konden hacken door een fout van de gemeente zelf. ‘De gemeente heeft een door haar beheerde achterdeur opengezet en een makkelijk te raden wachtwoord voor het openen van de deur ingesteld, waardoor de bewakers niet ingrepen.’ De cyberaanval vond plaats nadat een medewerker van de gemeente een regel in de beveiligende firewall had aangepast. Daarbij koos de gemeente zelf voor het gemakkelijke wachtwoord Welkom2020. De gemeente moet nu ook de proceskosten van het kort geding betalen.
Stop met zeuren en ga voor de cloud, zegt Gartner
Alain Waite, VP Technical Professionals advisory service bij Gartner, adviseert organisaties om gebruik te maken van de voordelen die clouddiensten bieden. Volgens hem zijn bezwaren, zoals de kans op vendor lock-in en angsten voor veiligheid, niet meer van deze tijd. Ook vallen de storingen reuze mee, omdat dit vaak slechts in enkele regio’s is en binnen een paar uur opgelost is. Volgens Waite moeten we de cloud net als een vliegtuig zijn: je hebt veel minder controle dan als je zelf een auto bestuurt. Toch is het risico dat je wat overkomt in een auto veel groter dan bij het gebruik van een vliegtuig. Organisaties zouden daarom ook meer moeten vertrouwen op cloud providers.
De data steward als reddende engel?
De rol van proceseigenaar en applicatie-eigenaar wordt vaak door elkaar gehaald. In dit artikel beargumenteert Suzie Joku dat een centrale datamangement rol deze samenwerking beter in balans kan brengen. Organisaties kunnen hiermee beginnen in vier stappen:
-
Maak datakwaliteit een integraal onderdeel van processturing en -uitvoering.
-
Benoem interne medewerkers met kennis van de inhoud èn van de processen als data stewards.
-
Pak als data steward issues met datakwaliteit op met procesmanagers en functioneel beheerders.
-
Werk iteratief. Start met proces- en kwaliteitsissues in een klein overzichtelijk proces.
Rijksoverheid ook geraakt door datalek bij softwarebedrijf Nebu
Ook data van burgers, bedrijven en (interne en externe) medewerkers van de overheid zijn gelekt bij de datalek bij softwarebedrijf Nebu. Staatssecretaris Van Huffelen schrijft dat 16 organisaties binnen de Rijksoverheid geraakt zijn. Onder hen vallen onder andere de RVO, TNO, CIBG, het RICM en de Raad voor Rechtsbijstand. De omvang varieert per organisatie. Volgens Van Huffelen blijft de (eind)verantwoordelijkheid voor de data bij de overheid liggen – ook als die data met een externe partij deelt, maar het is volgens haar nog niet duidelijk welke partij aansprakelijk is voor de datalek bij Nebu. “Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd.”
Hacking Humans
Hacking Humans: Dave Bittner en Joe Carrigan kijken elke week mee met de social engineering scams, phishing schemes en criminele exploits die de krantenkoppen halen en een zware tol eisen van organisaties over de hele wereld.