In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Overheid
Overige ontwikkelingen
Podcast tip van de maand
In the age of digital accelaration, Identity Security is a C-level strategic imperative
Ondanks dat 87% van de CISO’s een belangrijke rol heeft in de IAM-strategie van hun organisatie en 97% van de organisaties voor de komende twee jaar investeringen op het gebied van IAM heeft gepland, heeft slechts 32% vertrouwen in hun IAM-programma. Ondanks dat de gemiddelde schade van een datalek in 2021 $ 4,24 miljoen bedroeg, blijft de kloof tussen de IAM-strategie en bedrijfsdoelstellingen bestaan doordat:
- 56% van de organisaties een tekort aan resources heeft.
- 55% van de organisaties afhankelijk is van handmatige processen en een complex IT-landschap.
- Minder dan 50% van de organisaties weten wie er toegang heeft tot (cloud) applicaties.
Unauthorized network access most common cause of third-party attacks
Security Magazine, 7 februari 2023
Uit het jaarlijkse Third-Party Breach report van Black-Kite blijkt dat de omvang en impact van third-party aanvallen blijft toenemen. De belangrijkste bevindingen van het rapport:
- Ongeautoriseerde netwerktoegang was de meest voorkomende oorzaak van third-party aanvallen (40%).
- Ransomware was goed voor 27% van de third-party aanvallen - een daling ten opzichte van 2021.
- De gemiddelde tijd tussen een aanval en de openbaarmakingsdatum was 108 dagen.
- Infrastructuurdienstverleners waren het belangrijkste doelwit en betrokken bij 30% van de incidenten.
- De gezondheidszorg het meest voorkomende slachtoffer (34%), gevolgd door de financiële sector (14%) en de overheid (14%).
LastPass wil weinig kwijt over gestolen wachtwoorden
Volgens Follow the Money (FTM) is LastPass zeer terughoudend met het delen van informatie rondom de hacks die afgelopen maanden aan het licht kwamen. "Nog steeds beweert het bedrijf dat de informatie veilig is indien mensen een goed ‘master password’ hebben gebruikt. Daarmee verlegt het bedrijf de verantwoordelijkheid naar zijn gebruikers". De gekopieerde database bevat volgens FTM bovendien allerlei persoonsgegevens die niet versleuteld waren, en geheimen waarvan gebruikers dachten dat die versleuteld waren.
Wachtwoordlek in wachtwoordbeheerder KeePass toch nog gedicht
KeePass heeft een kwetsbaarheid, waarvoor eerder al gewaarschuwd werd door het NCSC, alsnog gedicht. De meest recente versie 2.53.1 verwijdert namelijk de optie van data-export zonder dat daarvoor het hoofdwachtwoord moet worden ingevoerd.
Passend beveiligen – hoe doe je dat?
Steeds vaker is in wet- en regelgeving de verplichting tot ‘passende’ beveiliging opgenomen. Maar wat is dit eigenlijk? Aan de hand van sanctiebesluiten van de Autoriteit Persoonsgegevens belichten Jeroen van Helden en Michelle Wijnant tien belangrijke aandachtspunten:
-
Risicoanalyse: Tref beveiligingsmaatregelen op basis van een risicoanalyse en veranker deze in een Plan-Do-Act-Check-cyclus.
-
Beveiligingsplan: Leg vast welke beveiligingsmaatregelen zijn ingericht op basis van risicoanalyses.
-
Opleiding personeel: Zorg voor passende informatiebeveiliging trainingen.
-
Autorisatiematrix: Leg formeel vastgestelde procedures vast voor het activeren en afmelden van toegangsrechten tot systemen.
-
Sterke wachtwoorden: Voorkom dat een aanvaller toegang krijgt tot systemen via veel gebruikte of eerder gelekte wachtwoorden.
-
MFA: Sterke wachtwoorden zijn niet altijd voldoende. Zorg voor een extra factor.
-
Netwerksegmentatie: Plaats systemen die onderling moeten communiceren in aparte segmenten.
-
Cryptografie: Maak – waar passend – gebruik van versleuteling van persoonsgegevens.
-
Logging en controle logbestanden: Log handelingen die gebruikers uitvoeren met persoonsgegevens en controleer deze logbestanden periodiek en proactief.
-
Procedure datalekken: Zorg voor een procedure voor het melden en opvolgen van beveiligingsincidenten en datalekken.
LastPass-hack vond plaats door hooggeplaatste werknemer te hacken
In een nieuw supportdocument schrijft LastPass dat bij een tweede aanval op het bedrijf de inloggegevens van een seniorprogrammeur gestolen zijn van zijn thuiscomputer. De aanvaller wist binnen te komen door het masterwachtwoord van de programmeur te downloaden. De programmeur heeft vervolgens zelf de MFA goedgekeurd. Bij deze aanval zijn ook cloudback-ups met veel informatie gestolen. Ondanks dat de systemen van LastPass gemonitord werden, lukte het de aanvaller om tussen 12 augustus en 26 oktober de LastPass-systemen te verkennen en data te stelen.
De 10 grootste cyberaanvallen van 2022
In 2022 was weer een groot aantal organisaties doelwit van een cyberaanval. VPNgids zet in dit artikel de tien ‘meest in het oog springende’ aanvallen en datadiefstallen op een rij:
- Cyberwarfare in Europa.
- BlackCat valt Europese transport- en logistieksector aan.
- LAPSUS$ aanvallen op techbedrijven.
- Eerste beelden GTA VI op straat door cyberaanval op Take-Two Interactive.
- Gegevens van bijna 10 miljoen Mediabank-klanten belanden op straat.
- Hackers stelen wachtwoorden van onbekend aantal LastPass-gebruikers.
- Rode Kruis vergeet beveiligingspatch.
- Hackers stelen persoonsgegevens van honderden Kamerleden en ambtenaren.
- Conti pikt data van meerdere Nederlandse woningcorporaties.
- Tandartspraktijken betalen losgeld om erger te voorkomen.
Keeper Security Survey Finds Most Privileged Access Management Solutions are too Complex, With 68% of Organizations Paying for Wasted Features
Uit onderzoek van Keeper Security onder 400 IT- en Security executives blijkt dat maar liefst 84% van de ondervraagde organisaties hun PAM-oplossing wil vereenvoudigen zodat het gemakkelijker te implementeren en integreren is. Gemiddeld gebruiken IT-teams 62% van hun huidige PAM-functionaliteit omdat dure en overbodige PAM-functionaliteiten juist voor meer complexiteit zouden zorgen. Opvallend is ook dat 56% van de IT-teams een PAM-oplossing hebben geprobeerd in te zetten, maar dit uiteindelijk niet hebben gedaan omdat de PAM-oplossing te complex en duur was en omdat er speciaal personeel benodigd zou zijn om de oplossing te beheren en onderhouden.
Zeker 1TB gevoelige data van Defensie VS gelekt via openstaande Azure-server
Via een openstaande Azure-server was een intern mailboxsysteem - met meer dan één terabyte aan gevoelige data - van het Amerikaanse ministerie van Defensie enkele weken toegankelijk via het internet. Door een misconfiguratie was de Microsoftserver niet met een wachtwoord beschermd, waardoor iedereen met een bekend IP-adres toegang kon krijgen tot de gegevens. Het is onduidelijk of de schuld bij het ministerie van Defensie of bij Microsoft ligt en of de gegevens zijn ingezien door kwaadwillenden.
An Exclusive CIAM Benefit: The Role of Access Management in Cost Optimization
KuppingerCole, 2 februari 2023
De afgelopen jaren is de CIAM-markt stabiel gegroeid en de verwachting van KuppingerCole is dat dit nog wel even doorgaat. Als er gekeken wordt naar kosten voor licenties, onderhoud en abonnementen, verwacht de analist dat het marktvolume in 2025 $ 4,55 miljard bedraagt. De grootste markt is Noord-Amerika (43,1%), gevolgd door EMEA (37,8%). De overige regio’s laten nog lagere adoptie zien, maar verwach wordt dat dit de komende jaren zal groeien.
Microsofts 'verified'-status misbruikt voor OAuth
Experts van Proofpoint hebben ontdekt dat het verificatieproces in het Microsoft Cloud Partner Programma (MCPP) gaten vertoont. Criminelen konden zich voordoen als geverifieerde OAuth-applicaties, waardoor gebruikers sneller toestemming aan kwaadaardige applicaties konden geven. Microsoft heeft de processen voor goedkeuring van partners en documentatie over OAuth-applicaties inmiddels bijgewerkt.
Ton Elias: “Er is veel te weinig gedaan met ons rapport”
Bijna 9 jaar na het parlementair onderzoek naar grote ICT-projecten van de Commissie Elias is Ton Elias boos en teleurgesteld. In gesprek met iBestuur constateert hij dat er weinig gedaan is met de tientallen aanbevelingen. De grootste oorzaak is volgens Elias een “gebrek aan deskundigheid en kwaliteit” – mede door het te lage overheidssalaris.” Een andere ergernis van Elias is dat ICT nog altijd “niet sexy” wordt gevonden terwijl er honderden miljoenen euro’s aan uitgegeven worden.
Privacy sneuvelt soms bij de overheid
Binnenlands Bestuur, 9 februari 2023
Op basis van onderzoek door Pro Facto en Hooghiemstra & Partners meldt het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) dat privacy bij overheidsorganisaties soms sneuvelt door politieke belangen. De onderzoekers adviseren om al aan het begin privacy-experts te betrekken. Ook zou de AP niet alleen regels moeten handhaven, maar ook advies moeten geven.
Privacy sneuvelt soms bij de overheid
De Volkskrant, 16 februari 2023
Op basis van onderzoek door Pro Facto en Hooghiemstra & Partners meldt het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) dat privacy bij overheidsorganisaties soms sneuvelt door politieke belangen. De onderzoekers adviseren om al aan het begin privacy-experts te betrekken. Ook zou de AP niet alleen regels moeten handhaven, maar ook advies moeten geven.
Google wil ‘vertrouwen winnen’ door Europese lidstaten te helpen met de NIS2-richtlijn
Google schrijft in een blog dat het Europese organisaties wil helpen bij het voldoen aan de nieuwe NIS2-richtlijn. Google Cloud heeft meerdere tools, zoals compliance tools, procesbeschrijvingen, trainingen en workshops, ontwikkeld waarmee klanten geholpen kunnen worden. Daarnaast zegt Google Cloud vastbesloten te zijn om samen te werken om kennis en best practices te delen.
AP: ‘JenV moet massaverwerking passagiersdata stoppen’
De AP heeft het ministerie van Justitie en Veiligheid (JenV) opgedragen om per direct te stoppen met de grootschalige verwerking van gegevens van vliegtuigpassagiers (pnr-gegevens). Op dit moment worden de reisdetails van alle passagies verzameld en vijf jaar bijgehouden in een database. JenV krijgt 14 dagen om de verwerking toe te spitsen op terroristen en zware criminelen. Als dit niet lukt, legt de AP JenV een verwerkingsverbod op.
Na een jaar oorlog in Oekraïne trekt het NCSC vier belangrijke cybersecuritylessen
Na een jaar oorlog trekt het NCSC vier lessen voor organisaties:
-
Opleving hacktivisme: ‘hacktivisten’ zijn nadrukkelijk aanwezig in de context van de Russische invasie van Oekraïne. Zij voeren verstorende (DDos)-aanvallen uit.
-
Rol private organisaties: Private organisaties spelen een belangrijke rol om de digitale weerbaarheid van (Oekraïense) organisaties te verhogen en vitale organisaties toegankelijk te houden.
-
De basis op orde: De snelle escalatie van de oorlog laat zien hoe belangrijk het is om goed voorbereid te zijn op een cybercrisis.
-
Keteneffecten: Cyberaanvallen beperken zich niet tot landsgrenzen en kunnen een internationaal effect hebben. (Internationale) samenwerking tussen publieke en private organisaties is daarom essentieel.
European Digital Identity Architecutre and Reference Framework
European Commission, 22 februari 2022
De Europese Commissie heeft het framework van de eID-wallets openbaar gemaakt. Het is de bedoeling dat de eerder aangekondigde ‘large scale pilots’ deze toolbox gaan gebruiken.
Gegevensdeling meer geborgd voor privacy en veiligheid
Het wetsvoorstel Gegevensverwerking door samenwerkingsverbanden (WGS) dat bij de Eerste Kamer ligt, maakt het mogelijk dat samenwerkingsverbanden van de overheid meer helderheid krijgen wanneer informatie onderling mag worden gedeeld. Daarnaast worden er meer waarborgen ingebouwd voor de bescherming van persoonsgegevens.
EZK werkt aan cyberoefening niet-vitale bedrijven
Minister Adriaansens van EZK meldt in een Kamerbrief dat het Digital Trust Center (DTC) werkt aan een cyberoefening voor niet-vitale bedrijven. Een eerste stap is om de behoeften binnen het MKB en het huidige aanbod aan cyberoefeningen in kaart te brengen. Op basis van die uitkomsten worden vervolgstappen genomen. Daarnaast wordt er gewerkt aan een ‘keurmerk’ voor ICT-leveranciers om MKB’ers beter te ondersteunen.
SIDN brengt KVK Handelsregister naar Irma-app
SIDN maakt het mogelijk voor ondernemers om hun bij de KVK geregistreerde en openbare gegevens via een al bestaande API-koppeling in de Irma-app te laden en te delen met derden. Daarmee wordt vooruitgelopen op de eIDAS-verordening. Het is de bedoeling dat de API-koppeling uiteindelijk ook beschikbaar komt voor andere eID’s.
Drie mannen vast voor stelen persoonsgegevens van miljoenen Nederlanders
De politie heeft na een jaar onderzoek drie Nederlanders aangehouden die verdacht worden van het stelen van honderden miljoenen mensen. Volgens de politie verkregen zij deze gegevens door computersystemen van duizenden internationale bedrijven, waaronder het Nederlandse Ticketcounter, te hacken. De Nederlanders eisten losgeld aan getroffen bedrijven, maar ondanks dat sommige bedrijven het geëiste bedrag overmaakten, werden gestolen gegevens vaak alsnog doorverkocht op zwarte markten.
Grote uitloop van CISO’s verwacht
Gartner voorziet dat tegen 2025 bijna de helft van de CISO’s van baan veranderd. Volgens Gartner zou een kwart van de CISO’s een andere, minder stressvolle functie willen. Volgens Gartner-analist is de stress voor CISO’s onhoudbaar en is de psychologische impact hiervan enorm. Bovendien vertrekken talenten als cybersecurity onvoldoende aandacht krijgt. Gartner voorspelt dat een gebrek aan talent of menselijk falen in 2025 verantwoordelijk zijn voor meer dan de helft van de cyberincidenten.
.png?width=750&height=378&name=WI%20elemenet%20(1).png)
Smashing Security
Smashing Security: In deze podcast gaan Graham Cluley en Carole Therialt in gesprek over cybercriminaliteit, hacken en privacy.
