In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
Thuiswerkers doen weinig om veiliger te werken
Uit onderzoek van Capterra Nederland onder 1045 medewerkers van mkb-bedrijven blijkt dat zij onvoldoende cybermaatregelen nemen. Zo gebruikt slechts 25% een wachtwoordmanager en 21% gebruikt overal hetzelfde wachtwoord. 42% van de thuiswerkers beheert wachtwoorden door ze te onthouden. Andere genoemde methoden zijn het opschrijven van wachtwoorden (28%) en het delen van wachtwoorden met collega’s (20%). Als meest genomen veiligheidsmaatregel voor het thuiswerken noemt 32% het opzetten van 2-factorauthenticatie. Andere maatregelen zijn het regelmatig installeren van updates (30%) en antivirussoftware (30%).
ITDR combineert en verfijnt bekende cybersecurity aanpak
Door gebruikersgedrag te monitoren en afwijkingen te detecteren, maakt Identity Threat Detection and Response (ITDR) het mogelijk om ongeautoriseerde toegangspogingen real-time te detecteren. Dit doet ITDR onder andere door gebruikersactiviteit uit verschillende bronnen te verzamelen en een baseline van “normaal” gebruikersgedrag te creëren. Op deze manier kan gemonitord worden op afwijkingen en bepaald worden wat er gedaan wordt in het geval van een afwijking. Naarmate het cyberbeveiligingslandschap zich blijft ontwikkelen, wordt de behoefte aan ITDR-oplossingen steeds groter.
Slachtofferlijst MoveIT-hack wordt steeds langer
De gevolgen van de hacks bij MoveIT, een applicatie voor het uitwisselen van bestanden, blijven maar groeien. Het lijkt er zelfs op dat de lijst van getroffen organisaties steeds groter wordt. Volgens cijfers van cybersecuritybedrijf Emisoft zijn er meer dan 23 miljoen particulieren en meer dan 400 organisaties, waaronder publieke organisaties wereldwijd en onderwijsinstituten, getroffen. Een belangrijke reden voor die hoge cijfers is dat Cl0p, het Russische hackerscollectief achter de aanvallen, veel dienstenbedrijven, die werken met grote klanten, in het vizier heeft genomen. Getroffen organisaties zijn onder andere Shell, TenneT ING, TomTom en Landal. Inmiddels meldt Security.nl dat ook de eerste gegevens van getroffen organisaties, waaronder consultancybedrijven PwC en EY, op verschillende clearnet websites gepubliceerd is.
2023 Cloud Security Study
Thales zet in haar 2023 Cloud Security Study de uitdagingen rondom databeveiliging en soevereiniteit in een multi-cloud wereld uiteen. Volgens Thales neemt het gebruik van SaaS-applicaties toe (gemiddeld 103 applicaties per organisatie) en het is daardoor ook een veelgenoemd doelwit voor aanvallers (30%). 46% van de organisaties hebben een datalek in hun cloud omgeving gehad, en 53% van de respondenten geeft aan dat het beveiligen van (gevoelige) data in de cloud complex is. IAM wordt gezien als één van de belangrijkste maatregelen om datalekken te voorkomen. Mede daarom is het gebruik van MFA gestegen naar 67%, maar er is meer nodig: een zero-trust benadering. Slechts 41% van de respondenten heeft momenteel zero-trust controles ingericht.
6 reasons Microsoft customers choose Okta for Identity
In dit artikel zet Okta zes redenen uiteen waarom Microsoft-klanten voor Okta zouden moeten kiezen voor het beheren van identiteiten:
- Versimpelde SSO vanuit Active Directory.
- Geautomatiseerde lifecycle management van gebruikers.
- Snellere Office365 implementaties.
- Adaptieve beveiliging.
- Makkelijkere fusies en overnames.
- Okta werkt goed met Microsoft en andere technologieën.
Linux Ransomware vormt een aanzienlijke bedreiging voor kritieke infrastructuur
In 2022 nam het aantal aanvallen op Linux-systemen met 75% toe ten opzichte van 2021. De reden? De “always on, always available” aard van Linux, aanvallers hebben veel inzicht doordat Linux open-source is en de systemen zijn interessant voor ‘lateral movement’. Kortom, organisaties moeten hun verdediging verbeteren. Dit kan door in ieder geval basismaatregelen te treffen, waaronder:
- Bescherming van end points.
- Werk software bij en patch.
- Zorg voor een back-up van gegevens.
- Pas netwerksegmentatie toe en implementeer ‘least privilege’.
- Verhoog awareness onder de gebruikers.
Google Cloud Build Flaw Enables Privilege Escalation, Code Tampering
Een nieuw ontdekte kwetsbaarheid in Google Cloud Build, genaamd Bad.Build, stelt aanvallers in staat om malware te injecteren in images die zijn opgeslagen in Artifact Registry, Google's opslagplaats voor het hosten onder andere container-images. Applicaties die hiervan gebruikmaken riskeren malware en denial-of-service aanvallen. De fix die Google in juni uitbracht, zou onvoldoende zijn. "Zoals we hebben gezien bij de SolarWinds en recente 3CX en MOVEit supply chain-aanvallen, kan dit verstrekkende gevolgen hebben” voor de supply chain, aldus Roi Nisimi, onderzoeker van Orca. Volgens Orca is het een ontwerpprobleem en heeft het te maken met de standaard privileges die zijn gekoppeld aan de service. De buitensporige privileges geven een kwaadwillende relatief gemakkelijk toegang tot auditlogs. "Wat deze informatie zo lucratief maakt, is dat het laterale bewegingen en privilege-escalatie (…) enorm vergemakkelijkt."
2023 Identity Security Threat Landscape Report
CyberArk’s 2023 Identity Security Threat Landscape Report onderzoekt hoe het spanningsveld tussen moeilijke economische omstandigheden en het tempo van technologische innovatie, waaronder de evolutie van kunstmatige intelligentie (AI), bijdraagt aan identity-centric aanvallen. Het rapport zet verschillende bevindingen uiteen, waaronder:
- 99% verwacht een identiteit gerelateerde compromise.
- In 2023 groeit het aantal menselijke en niet-menselijke identiteiten met 240%, waarvan bijna de helft ‘gevoelige’ toegang heeft.
- Derde partijen – partners, consultants en serviceproviders, worden gezien als het meest risicovolle identiteitstype.
- 63% van de meest risicovolle medewerkerstoegang is onvoldoende beschermd.
Why identity should be at the centre of your customer strategy
Security Boulevard, 19 juli 2023
Veel organisaties willen sterke klantrelaties opbouwen. Eén ding wordt daarbij vaak over het hoofd gezien: identiteit. Terwijl dit juist een strategische noodzaak is. Door gebruik te maken van identiteitsgegevens kunnen organisaties gerichte, persoonlijke en consistente klantreizen creëren. Daarnaast is het beschermen van de identiteit- en klantgegevens van cruciaal belang om vertrouwen te creëren. Organisaties kunnen zich daarmee onderscheiden als een betrouwbaar merk, risico’s op datalekken voorkomen en een sterke(re) klantrelatie opbouwen.
Know Your Customer: Enable a 360-degree view with Customer Identity & Access Management (CIAM)
Een 360° klantbeeld stelt organisaties in staat om de behoeften van klanten te voorspellen en op maat gemaakte, gepersonaliseerde producten en diensten te leveren op het juiste moment, via het juiste kanaal. Dit klinkt mooi, maar in de praktijk is dit niet zo makkelijk. Veel organisaties hebben namelijk te maken met verschillende (interactie) kanalen. Het resultaat: doordat het lastig is om de verschillende datastromen bij elkaar te brengen, is er een versnipperd klantbeeld. Een CIAM-platform stelt de klant in staat zijn gegevens te valideren, bij te werken en/of te bevestigen. Na verloop van tijd wordt zo een "ruggengraat" van vertrouwde identiteiten ontwikkeld die verschillende systemen met elkaar verbindt. Een CIAM-platform helpt organisaties onder andere bij:
- Het verbinden van klantidentiteiten via unieke en geauthentiseerde waarden in verschillende systemen.
- Een gecentraliseerde klantauthenticatie- en autorisatiedienst.
- Het vastleggen van toestemming en voorkeuren in de juiste stappen van de klantreis.
- Een centraal klant gestuurd model om accounts te koppelen.
- Zekerheid dat de gebruiker is wie hij zegt dat hij is.
Cybersecuritybeeld Nederland (CSBN) 2022
Waar het Cybersecuritybeeld Nederland (CSBN) 2022 vorig jaar nog waarschuwde dat aanvallen door statelijke actoren “het nieuwe normaal” zijn, moeten we inmiddels het “onverwachte” verwachten. De digitale dreiging is namelijk onverminderd groot en verandert voortdurend – mede door nieuwe technologieën zoals generatieve AI. Door verwevenheid van processen in het digitale ecosysteem ervaart iedereen de gevolgen van een cyberincident. Voorkomen kan je nooit helemaal, maar het is wel mogelijk om onze weerbaarheid te vergroten. Naast bevindingen en risico’s, reflecteert het CSBN ook op de 6 strategische thema’s en zijn er dreigingsscenario’s opgenomen.
Digital Identity standards
Dit rapport van ENISA geeft een overzicht van de belangrijkste standaarden en standaardisatieorganisaties op het gebied van Digital Identity. Het biedt ook een analyse van standaarden die betrekking hebben op verschillende Digital Identity-middelen, zoals vertrouwensdiensten, eID’s en de EU Digital Identity (EUDI) wallet. Tenslotte doet ENISA ook een aantal aanbevelingen, waaronder:
- Geef in de herziene eIDAS een juridische definitie van de term ‘digitale identiteit’.
- Maak in de context van de EUDI-wallet gebruik van de Digital Markets Act om zo toegang tot mobiele apps te garanderen.
- Zorg voor standaardisatie en coördinatie in interfaces, toezicht en evaluatie.
- Definieer een geharmoniseerd authenticatieprotocol voor de EUDI-wallet
Internationale Cyberstrategie 2023- 2028
Rijksinspectie Digitale Infrastructuur, 3 juli 2023
In het Samenhangend Inspectiebeeld cybersecurity vitale processen 2023 bundelen toezichthouders die toezicht houden op de Wet beveiliging netwerk- en informatiesystemen (Wbni) hun resultaten. Ondanks dat cybersecurity steeds hoger op de agenda staat, is er ruimte voor verbetering. “Door snelle digitale en maatschappelijke ontwikkelingen is wat vandaag veilig is, morgen onvoldoende.”
De belangrijkste rode draad is risicomanagement. Zeker als middel om te sturen op de veranderende dreigingen, maar ook in het kader van een goed ISMS en logische toegangsbeveiliging (IAM). Volgens de toezichthouders hebben een aantal IAM-onderwerpen meer aandacht nodig:
Toegang voor eigen medewerkers:
- Insider threat leidde het afgelopen jaar tot meerdere incidenten. Regelmatig bleken zowel preventie als detectie onvoldoende te zijn ingericht. Ook ongeautoriseerde toegang tot OT-systemen moet worden voorkomen.
Toegang voor leveranciers:
- Veel leveranciers krijgen toegang tot delen van de complexe digitale infrastructuur. Bij uitgebreide leveranciersketens of bij leveranciers buiten Europa, levert dit extra risico’s op. Veel organisaties hebben onvoldoende zicht op leverancierstoegang en hun activiteiten.
- De risico’s van applicaties die hiervoor worden gebruikt zijn niet altijd duidelijk. Een ander belangrijk risico zijn aanvallen op nieuwe identificatieprocessen, waarbij aanvallers vaak even innovatief zijn als de gebruikte applicaties.
Om dit tegen te gaan, moet onder andere de cyberhygiëne van organisaties verbeterd worden. Succesvolle digitale aanvallen maken namelijk vaak gebruik van zwakheden die door het toepassen van basismaatregelen, zoals het inrichten van IAM, voorkomen hadden kunnen worden. Ook het risicomanagementproces vraagt meer aandacht, bijvoorbeeld door het verder ontwikkelen en implementeren van beveiligingstesten. “Als in de volle breedte aandacht is voor deze opdracht dan maakt dat Nederland weerbaarder tegen digitale dreigingen.”
Europese digitale wetgeving dendert toch wel door
Binnenlands Bestuur, 10 juli 2023
Burgers hoeven zich geen zorgen te maken dat zij per 1 juli – de dag waarop de wet Digitale Overheid gefaseerd in werking treedt – niet meer bij de overheid kunnen inloggen met SMS. Omdat er nog onduidelijkheid bestaat over (de toelating van) toekomstige inlogmiddelen, blijft de oudere, relatief onveilige inlogmethode voor onbepaalde tijd in stand.
EC neemt nieuwe privacyregels aan voor datadoorgifte aan VS
Drie keer is scheepsrecht: in een derde poging heeft de Europese Commissie het ‘EU-US Data Privacy Framework’ vastgelegd die de overdracht van Europese persoonsgegevens naar de VS in haar ogen veilig(er) maakt. Nu is het de vraag hoe stabiel en houdbaar de nieuwe regels in de praktijk zullen zijn.
Nederlandse proef met digitaal reisdocument op telefoon loopt vertraging op
De proef met een digitaal reisdocument op de smartphone heeft vertraging opgelopen. Volgens demissionair staatssecretaris Van Huffelen was de planning van de pilot, die voor de eerste helft van 2023 stond gepland, te ambitieus. Het is nog onduidelijk wanneer de pilot, waarmee een investering van zo’n € 2,3 miljoen gemoeid is, nu zal beginnen.
Ambtenaren mogen niet meer shoppen op AliExpress vanwege spionagevrees
Nadat TikTok al niet op de werktelefoon van ambtenaren mocht staan, zijn er nog negen applicaties op de zwarte lijst gezet, waaronder het Chinese AliExpress en WeChat, het Russische VKontacte en CapCut en een aantal onbekendere applicaties uit Iran en Noord-Korea. De vrees is dat buitenlandse overheden de apps gebruiken om bij klantdata te komen, en die misbruiken voor spionage. Overigens meldt de NOS dat de overheidsblokkade lang niet altijd goed gaat. Sommige ICT-afdelingen blokkeren alleen TikTok. Ook is het verbod soms lastig door te voeren. Zo is het niet altijd mogelijk om apps te verwijderen als ze al zijn gedownload.
Top 10 Cyber Security risico's voor organisaties in 2023
Cybersecurity News, 14 juli 2023
In dit artikel zet Cybersecurity News de top 10 cybersecuritydreigingen uiteen. Organisaties kunnen zich hiertegen beschermen door onder andere sterke wachtwoord policies en MFA te implementeren, software te updaten, data back-ups uit te voeren en encryptie toe te passen.
Top 10 cybersecurity risico's:
| Kwetsbaarheden | Insider Threats (dreigingen die uitgaan van mensen binnen een organisatie) |
| Datacenter aanvallen | Supply Chain aanvallen |
| Compromitteren van zakelijke e-mail | Aanvallen op cloudsystemen -en diensten |
| Ransomware | Cyberoorlogsvoering gesponsord door staten |
| Hacken van IoT-apparaten (Internet of Things) | Crime-as-a-Service |
365-hack bij Microsoft had veel groter bereik
De grote cyberaanval waarbij mailaccounts van Amerikaanse ministeries en andere Microsoft-cloudklanten zijn gekraakt, blijkt veel ernstiger te zijn dan werd gedacht, schrijft Shir Tamari, hoofdonderzoeker van Wiz in een blogpost. Doordat de Chinese aanvallers een cryptografische sleutel van Microsoft hebben gestolen, konden ze in theorie ook toegang krijgen tot andere Azure Active Directory-diensten, waaronder SharePoint, OneDrive en Teams. Ondanks dat Microsoft de gestolen sleutel allang heeft ingetrokken, is het in het geval van applicaties van derden maar de vraag of dat intrekken overal is ‘doorgedrongen’. Bovendien is het mogelijk dat de aanvallers inmiddels andere manieren hebben om weer binnen te komen. Tamari schrijft dat deze gebeurtenis mogelijk langdurige gevolgen zal hebben voor “ons vertrouwen in de cloud en de kerncomponenten die deze ondersteunen, vooral de identiteitslaag die de basis vormt van alles wat we in de cloud doen.” Organisaties die Microsoft- en Azure-diensten gebruiken, worden dan ook geadviseerd om stappen nemen om de mogelijke impact in te schatten.
Datalek kost gemiddeld 4 miljoen euro
IBM meldt in het jaarlijkse rapport ‘Cost a Breach’, waarin de kosten van datalekken worden onderzocht, dat de gemiddelde kosten van een datalek bij organisaties gemiddeld € 4 miljoen bedragen. In drie jaar zijn de kosten daarmee met 15% gestegen. De stijging zit met name in kosten voor het detecteren van lekken (stijging van 42%) en het voorkomen van verdere schade. Uit het onderzoek blijkt ook dat de gestegen kosten vaker worden doorberekend aan klanten (57%) dan dat het beveiligingsbudget wordt verhoogd (51%).
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Het ministerie van Digitale Zaken
Het ministerie van Digitale Zaken: In deze wekelijkse podcast gaan Lotte de Bruijn en Robin Rotman in gesprek met politici over hun digitale ambities en plannen.
