Contact Werken bij
Taal:
Nederlands
Plan een call
Plan een call
Menu
Sluiten
Menu
Sluiten
Menu
Sluiten
Taal:
Nederlands

Digital Identity Compass - April 2023

Leestijd 7 min
5 mei 2023, laatste update 5 mei 2023

In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.

Inhoudsopgave

Workforce Identity
Privileged Access Management
Customer Identity and Access Management

Overheid
Overige ontwikkelingen
Podcast tip van de maand

WI element website

AI-tool kraakt 51% van de ingevoerde wachtwoorden binnen één minuut 

ITdaily, 12 april 2023

Cybersecuritybedrijf Home Security Heroes heeft een experiment uitgevoerd met de AI-gedreven tool PassGAN. Voor het experiment voerde Home Security Heroes meer dan 15 miljoen wachtwoorden van de RockYou-inbreuk in 2009 aan de tool. Al binnen een minuut had PassGAN 51% van de veelvoorkomende wachtwoorden gekraakt en na een uur was dit 65%. Gebaseerd op de bevindingen adviseert Home Security Heroes om geen wachtwoorden te hergebruiken en regelmatig je wachtwoord te veranderen. Volgens het bedrijf kost het momenteel 6 triljoen jaar om een willekeurig gekozen wachtwoord met 18 (bijzondere) tekens te kraken, maar als er gekeken wordt naar de enorme sprongen die AI momenteel maakt, is het de vraag hoe lang dit nog het geval is. 

Supplychain-security: het stiekeme strijdveld

AG Connect, 12 april 2023

Wie is nou eigenlijk de zwakste schakel bij ICT? Vaak zijn het niet jouw eigen ICT-systemen of jouw eigen medewerkers, maar ligt die zwakke schakel buiten jouw organisatie. De Onderzoeksraad voor Veiligheid (OVV) luidde eind 2022 daarom de noodklok: de kloof tussen de cyberdreiging en cyberweerbaarheid wordt steeds groter. Aanvallers gaan steeds vaker op zoek naar zwakke schakels in de keten. Zo gaan kwaadwillenden op zoek naar kwetsbaarheden en ingangen in software en systemen van derden, die door anderen weer worden gebruikt. De gevolgen kunnen verstrekkend zijn, denk aan in het oog springende voorbeelden, zoals bij Log4J, Solwarwinds, Kaseya en Okta. 


Aleid Wolfsen (AP): ‘Verhaal schade na datalek’ 

Computable, 12 april 2023

Aleid Wolfsen heeft - naar aanleiding van het datalek bij Nebu - bedrijven op de mogelijkheid gewezen dat zij IT-dienstverleners die data verwerken aansprakelijk kunnen stellen als data gestolen wordt. Volgens Wolfsen hebben veel bedrijven de veiligheid van hun systemen zelf wel op orde, maar gaat er nog wel eens iets mis als zij andere bedrijven inhuren. De uitspraken van Wolfsen krijgen veel kritiek van privacy-expert Menno Weij en Floor Terra van Privacy Company. Volgens hen suggereert Wolfsen dat het inhuren van Nebu onrechtmatig was en zij vinden het kwalijk dat Wolfsen de slachtoffers opjut. De AP zou zich volgens hen beter kunnen richten op het handhaven van niet gemelde datalekken en het naleven van de meldplicht. 

8 identity management best practices to have in place 

Security Magazine, 19 april 2023

IDSA’s Trends in Security Digital Identities toonde vorig jaar al aan dat 84% van de respondenten te maken had gehad met een identity-gerelateerd lek. 96% gaf daarbij ook aan dat het lek voorkomen of geminimaliseerd had kunnen worden als identity security beter ingericht was. Mede daarom geeft Jeff Reich, Executive Director van IDSA in dit artikel 8 best practices om IAM goed in te richten:

  • Krijg inzicht in de bedrijfsmiddelen en systemen: zonder inzicht in wat je hebt, kan je het ook niet beschermen.
  • Definieer eigenaarschap: bijvoorbeeld eigenaarschap over de verschillende identiteitstypen, zoals interne medewerkers, externen, virtuele identiteiten en klanten.
  • Gebruik unique identifiers: zodat de activiteit van een identiteit te traceren is.
  • Creëer een gezaghebbende bron voor identiteiten.
  • Automatiseer provisioning en deprovisioning.
  • Beheer privileged toegang.  
  • Stel een governance programma en processen op: Zorg hierbij ook voor een multifunctioneel team dat toeziet op de naleving van de processen en het beleid.
  • Zorg dat de identiteit centraal staat in de beveiliging.  

 


Privileged Access Management element

The risks of not implementing Privileged Access Management in your organization 

One Identity, 12 april 2023

In dit artikel zet One Identity de risico’s van het niet implementeren van PAM uiteen:

  • Verhoogd risico op datalekken  
  • Schending van wet- en regelgeving  
  • Verlies van productiviteit  
  • Financiële verliezen
  • Reputatieschade 

Naast de risico’s wordt ook stilgestaan bij verschillende hacks en datalekken bij onder andere Equifax, Yahoo en Tesla. Hacks die bij een goede implementatie van een PAM-oplossing en -processen voorkomen hadden worden. 

 

CIAM element

Passwordless (In)Security: A Self-Help Guide for IT Leaders 

Ping Identity, 6 april 2023

Volgens Ping Identity zijn wachtwoorden één van de zwakste schakels in de beveiliging van organisaties en ook nog eens slecht voor de gebruikerservaring. Passwordless authenticatie kan deze problemen oplossen voor zowel klanten als medewerkers. Toch worden wachtwoorden nog steeds gebruikt. Onder andere door technical debt en angst voor verandering. Uit recent onderzoek bleek bijvoorbeeld dat 97% van de organisaties die nog niet is overgestapt is op passwordless vreest dat bij de implementatie daarvan uitdagingen komen kijken. Ondanks dat organisaties dus niet goed weten waar te beginnen, erkende 100% van de respondenten wel de voordelen. In het artikel zet Ping Identity vervolgens vijf key capabilities uiteen:

  • Identity verification (identity proofing): Dit maakt accountherstel sneller en veiliger.  
  • Central adaptive authentication: Door het koppelen van MFA met SSO.
  • Hybride eisen: Een oplossing die zowel SaaS als on-premises mogelijkheden biedt.
  • Dekking voor alle identiteiten.
  • Orkestratie: Door meerdere workflows te creëren en optimaliseren zonder code. 

 

Overheid element

‘Veilige vorm van digitale identificatie is gewoon nodig’ 

Binnenlands Bestuur, 3 april 2023

Ondanks dat de Tweede Kamer bezorgd is over de komst van een eID, zijn de Nederlandse ontwikkelaars van de Yivi-app (voorheen Irma) hoopvol. Volgens hen moet er een veilige vorm van digitale identificatie komen en is ‘niets doen gewoon geen optie meer’. ’Onze app laat namelijk zien dat het wél mogelijk is om tot een veilig systeem zonder achterdeurtjes te komen, waarbij de burger zelf de baas is over zijn gegevens. Yivi probeer momenteel in Europa voet aan de grond te krijgen en wacht op de benodigde Nederlandse certificering. Yivi verwacht dat deze komende zomer verkregen wordt – mits de overheid de certificering dan gereed heeft. Yivi’s verwachting is dat het gebruik van ID-wallets in 2024 pas echt een vlucht gaat nemen, wanneer Nederlandse identificatiemiddelen de certificering vanuit de Wet Digitale Overheid rond hebben. 

AcICT zet terugkerende adviezen op rij 

Binnenlands Bestuur, 4 april 2023

Het Adviescollege ICT-toetsing (voorheen BIT) heeft in de jaarrapportage 2022 enkele terugkerende adviezen uiteengezet:

  • Doordenk de start: Als je aan een ICT’er vraagt of iets mogelijk is, zal het antwoord wel ja zijn. Technisch is immers alles mogelijk, maar niet alles kan zonder consequenties voor kosten en doorlooptijden. Kijk bij het opstellen van beleid dus ook naar de uitvoerbaarheid en welke alternatieven er zijn om het doel te bereiken. Dit alles zorgt voor een goede business case – met aandacht voor kostenbatenmanagement.
  • Kleine stapjes: Kijk bij de start van het project naar de onderlinge verwevenheid tussen bestaande ICT-systemen en probeer niet alles tegelijkertijd op te pakken. Anders worden kosten en doorlooptijden namelijk te optimistisch ingeschat.
  • Kernproblematiek ontbreekt: Maak weloverwogen gebruik van interne en externe onderzoeken. Het effect van deze onderzoeken is vaak beperkt omdat de kernproblematiek in de opdrachtformulering ontbreekt. Geef de opdrachtnemer daarnaast ook ruimte om relevante observaties buiten de gevraagde opdracht te onderzoeken.
  • Stevige basis: Kies voor een projectaanpak waarbij wordt voldaan aan noodzakelijke voorwaarden om een oplossing te kunnen ontwikkelen.  

Nationale Veiligheidsstrategie 2023 - 2029 

Rijksoverheid, 4 april 2023

De Nationale Veiligheidsstrategie 2023-2029 schetst verschillende dreigingen. Als een dreiging één of meer veiligheidsbelangen aantast, kan dat maatschappelijke ontwrichting veroorzaken en daarmee de nationale veiligheid aantasten.  

De veiligheidsstrategie in vogelvlucht

De Veiligheidsstrategie vertaalt het dreigingslandschap vervolgens naar een integrale strategische koers en integrale sturing op de nationale veiligheid. Dit wordt beschreven aan de hand van 3 doelstellingen en 12 actielijnen:

Een veilig Koninkrijk in een multipolaire wereld

Een weerbare democratische rechtsorde
 
 

We hebben een winnaar: Renske Leijten is IT-politicus van het jaar 2022 

AG Connect, 5 april 2023

De lezers van AG Connect hebben Renske Leijten (SP) verkozen tot IT-politicus van het jaar 2022. Met 80% van de 14.717 stemmen bleef zij de concurrentie, met onder andere Hind Dekker-Abdulaziz, Bart Groothuis, Queeny Rajkowski en Alexandra van Huffelen (minder dan 1% van de stemmen) ruim voor. Politici die eerder de prijs hebben ontvangen zijn: Lisa van Ginneken (2021), Jan Middendorp (2020), Kees Verhoeven (2019, 2016) en Martin Wörsdörfer (2017). In 2018 werd de prijs niet uitgereikt vanwege een gebrek aan geschikte kandidaten.  

Eerste Kamer stemt in met elektronische gegevensuitwisseling in de zorg 

AG Connect, 19 april 2023

De Eerste Kamer heeft unaniem ingestemd met het Wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz). De Wegiz verplicht elektronische gegevensuitwisseling en schrijft voor hoe dit moet gebeuren. Daardoor is het niet meer mogelijk om gegevens uit te wisselen via fax, dvd of papier. De wet treedt per 1 juli geleidelijk in werking volgens een meerjarenplanning. 

Jaarverslag MIVD: Chinees leger wil Nederlandse technologie 

AG Connect, 21 april 2023

In haar jaarverslag schrijft de MIVD dat zij zich zorgen maakt over China. China ontwikkelt in 2022 in hoog tempo hoogtechnologische wapens en investeert flink in militaire toepassingen van onder andere AI en kwantumcomputers. Omdat het land deze kennis zelf nog niet altijd bezit, probeert China, onder andere via zijn inlichtingendiensten, maar ook via commerciële bedrijven, in het buitenland kennis te verwerven en Nederland is daarbij een “aantrekkelijk doelwit”. “China maakt bovendien persoonsgegevens buit waardoor ook de privacyrechten van Nederlandse burgers in het geding zijn”, waarschuwt de MIVD. 

19 Big Tech-bedrijven vallen nu onder nieuwe, strenge EU-wetgeving

AG Connect, 26 april 2023

Eurocommissaris Thierry Breton heeft bekendgemaakt dat bedrijven als Amazon, Apple, Facebook, Booking.com, Google, LinkedIn, TikTok, Twitter en Wikipedia binnen vier maanden aan de regels van de Europese Digital Services Act moeten voldoen. De DSA-verordening moet (minderjarige) gebruikers beter beschermen tegen schadelijke content, reclame en privacyschendingen. Platforms die zich niet aan DSA-verordening houden kunnen gestraft worden met boetes tot 6 procent van de wereldwijde omzet. 


 

overige ontsikkelingen

17 Nederlanders vast in internationaal onderzoek online ID-diefstal

AG Connect, 5 april 2023

In een groot internationaal onderzoek naar online identiteitsdiefstal van miljoenen mensen, waaronder 50.000 Nederlanders, zijn 200 mensen aangehouden. Onder de arrestanten bevonden zich ook 17 Nederlanders. Op de criminele handelswebsite “Genesis Market’ werden miljoenen gebruikersprofielen met unieke digitale vingerafdrukken verkocht. "Normaal gesproken raden we mensen in dit soort zaken aan om meteen al hun wachtwoorden te vervangen. Maar deze malware zit zo in elkaar dat dit alleen niet helpt". "De crimineel die jouw gegevens heeft aangekocht, krijgt dan gewoon een update van jouw nieuwe wachtwoord." De politie raadt daarom aan om te checken of je gehackt bent op: http://www.politie.nl/checkjehack   


Waarom CFO’s zich zorgen moeten maken over cybersecurity 

AG Connect, 24 april 2023

Ondanks dat ze het zelf (nog) niet altijd zien, zijn toenemende cyberrisico’s één van de belangrijkste onderwerpen waar CFO’s zich mee bezig moeten houden. Een CFO is namelijk niet alleen verantwoordelijk voor het beperken van de financiële risico’s, maar ook hoofdelijk aansprakelijk als er schade ontstaat door een cyberaanval. In dit artikel geeft Daan Keuper, ethical hacker en hoofd van Sector7, 4 tips aan CFO’s:

  • Ken de cyberrisico’s: Bijvoorbeeld door een wekelijkse update van de CISO. Met inzicht in de risico’s wordt ook duidelijk waar de zwakke plekken liggen en welke maatregelen genomen kunnen worden.
  • Maak cybersecurity onderwerp van board meetings.
  • Houd regelmatig een crisisoefening.
  • Zorg voor een mix van maatregelen. 

Impact en volwassenheid van digitale trends nader bekeken 

Binnenlands Bestuur, 25 april 2023

De Rijksinspectie Digitale infrastructuur (RDI) en ICTU hebben afzonderlijk van elkaar gekeken hoe Nederland ervoor staat met digitale ontwikkelingen en welke consequenties dit heeft voor de overheid. Hun onderzoek resulteert in een trendradar en een technologiescan:

  • Trendradar RDI: Een visualisatie van 31 trends in digitalisering onderverdeeld binnen thema’s als maatschappij en digitale weerbaarheid. De visualisatie geeft aan wanneer het doorbraakmoment plaatsvond. De grootte van de bol is een indicatie van de impact op de samenleving.
  • Technologiescan ICTU: 33 technologieën en methodieken zijn naast de thema’s van de Werkagenda Waarde gedreven Digitaliseren gelegd. Per technologie wordt het volwassenheidsniveau omschreven binnen de context van de publieke sector.  

Softwaresupplychain en cloud-ecosysteem frustreren security

AG Connect, 20 april 2020

Uit onderzoek van Dynatrace dat uitgevoerd werd onder 1300 CISO’s wereldwijd blijkt dat zij pessimistisch zijn om de software van en bij hun organisaties veilig te houden. 68% van de Europese CISO’s vinden het bijvoorbeeld steeds moeilijker om hun software veiliger te houden nu hun hybride en multicloud-omgevingen complexer worden terwijl teams blijven vertrouwen op handmatige processen. Andere in het oog springende uitkomsten uit het onderzoek zijn:

  • 47% is er volledig van overtuigd dat de software die ontwikkelteams opleveren volledig is getest op kwetsbaarheden voor livegang in de productieomgeving.
  • 79% vindt het moeilijk om prioriteiten te stellen voor kwetsbaarheden.
  • 61% van de waarschuwingen die securityscanners geven voor kritieke kwetsbaarheden zijn in de praktijk eigenlijk helemaal niet zo kritiek.

 

WI elemenet (1)

The Week in Identity

The Week in Identity: In deze podcast staan Simon Moffatt (oprichter van The Cyber Hut) en David Mahdi (ex-Gartner analist en CISO-adviseur) commentaar en advies over enkele trends binnen het IAM-landschap.  

 

Nooit meer het Digital Identity Compass missen?

Schrijf je in en ontvang maandelijks automatisch de update.

 

idea 2
- Suzanne van Oosterum,
Suzanne has a background in political science and international relations. In her work as a business consultant at Grabowsky, she strives to bridge the gap between IT and the business, so that IAM is not just seen as an "IT party." She does this by providing insight into the problem and realizing business value, including by improving processes and raising awareness within organizations.

Gerelateerde berichten