Het belang van een veilige omgang met identiteiten wordt binnen bedrijven nog te vaak onderschat, vindt Erno Doorenspleet, Vice President Security Strategy bij KPN. Daardoor liggen risico’s zoals datalekken en non-compliance op de loer. “We moeten echt anders na gaan denken over identiteiten.” Maar hoe brengen we een kentering teweeg?
“Identity and access management (IAM) is de niet te onderschatten basis van cybersecurity”, zegt Doorenspleet stellig. “Data verlaten de organisatie door een persoon, of door een ding. In beide gevallen gaat het om een identiteit. Als je dan niet weet welke identiteit achter een dataflow zit, sta je machteloos.”
Die identiteiten worden door verschillende vormen van digitalisering alleen maar belangrijker. Als voorbeeld geeft Doorenspleet de trend richting massaal thuiswerken. “Als ik thuiswerk, log ik niet meer via een VPN in bij mijn werkgever. In plaats daarvan heb ik via een cloud op verschillende manieren toegang tot verschillende toepassingen zoals Microsoft Teams en Office 365. Op basis van wie ik ben gaan er deuren open, of blijven ze gesloten.”
Identiteiten deel je niet
Toch merkt Doorenspleet dat bedrijven en hun medewerkers in de praktijk vaak nog nonchalant omspringen met identiteiten en de daarbij behorende toegangsrechten. “Het is een onderwerp waar vrij gemakkelijk overheen wordt gestapt. ‘Oh, iedereen kan inloggen en zijn werk doen, dan zal het wel goed zijn.’ Iets als Role-Based Access Control waar we al jaren over praten, wordt al snel afgedaan als ‘moeilijk’ en ‘lastig’.”
Als voorbeeld van die nonchalance geeft hij het gemak waarmee identiteiten worden gedeeld. “Tijdens een phishingcampagne merkten we dat relatief veel managers op phishingmails klikten. Maar die zeiden vervolgens ‘dat was ik niet, dat was mijn secretaresse’. Maar geef je dan zomaar je identiteit aan iemand anders? Dat doe je toch ook niet met je paspoort? Het besef moet nog indalen dat een digitale identiteit ook echt persoonlijk is. Je digitale identiteit is je paspoort.”
Beperk de kans op fouten
“Hoe minder mensen ergens toegang toe hebben, hoe kleiner de kans op fouten met ernstige gevolgen”, vervolgt de Vice President Security Strategy. Een klik op een phishingmail kan bijvoorbeeld leiden tot een datalek of diefstal van bedrijfsgegevens. In het ergste geval is het de opmaat naar een cyberaanval die het hele bedrijf platlegt. “Maar ook privacyschendingen zijn een serieus risico. Als in een ziekenhuis of bij een bank te veel medewerkers toegang hebben tot een dossier, kan dat leiden tot problemen met de toezichthouder.”
Bedrijven kunnen meerdere stappen zetten om dergelijke nare gevolgen te voorkomen. Doorenspleet noemt er drie:
1. Bewustzijn vergroten
“Dit is denk ik meteen de belangrijkste stap: mensen bewust maken van het feit dat een identiteit strikt persoonlijk is, en dat je die niet zomaar weggeeft. Al bij scholieren moet het besef indalen dat identiteiten belangrijk zijn, en wat de gevolgen kunnen zijn als je daar onzorgvuldig mee omspringt. Je identiteit is je ‘ik’, waar je ook bent. Als dat bewustzijn al jong wordt ingeprent, nemen ze dat ook mee naar het bedrijfsleven.”
2. Inloggen makkelijker maken
“We maken het gebruikers vaak te moeilijk, en dat kan ten koste gaan van de veiligheid. Als bijvoorbeeld single sign-on niet is geïmplementeerd en gebruikers telkens opnieuw moeten inloggen, gaan ze eenvoudigere wachtwoorden gebruiken. Met de juiste tools is dit proces echter goed en laagdrempelig in te richten. We moeten het makkelijker maken.”
3. Beperk (en onderhoud) de toegangsrechten
“Te vaak zien we dat er bij het toekennen van rechten even een ‘kopietje van Pietje’ wordt gemaakt, inclusief oude rechten die ten onrechte niet zijn weggehaald. Het gevolg is dat een gebruiker te veel rechten heeft, en dat is een feestmaal voor hackers. Een beter model is dat je standaard nul rechten toekent, en vervolgens alleen aanzet wat nodig is. En rechten ook weer intrekt als ze niet meer nodig zijn, bijvoorbeeld als de rol van Pietje is veranderd.”
Managed IAM
In de visie van Doorenspleet moet IAM ‘by design’ aanwezig zijn in bedrijfsprocessen. “Het moet altijd inzichtelijk zijn wat de bedrijfskritische processen zijn, en wie daar toegang toe heeft. En daar moeten controles op worden uitgevoerd, bijvoorbeeld om te kijken of die toegang nog nodig is. Deze constante evaluatie van de gebruikerstoegang vindt vaak niet plaats, omdat het te complex is en bedrijven er niet de juiste skills voor in huis hebben.”
“Dan is het beter en goedkoper om IAM als een beheerde dienst af te nemen”, besluit Doorenspleet. “Met Managed IAM biedt KPN de standaard bouwblokken, de best practices, voor een gedegen identity and access management. Die bouwblokken houden we continu op-to-date met de nieuwste wet- en regelgeving. Wij zorgen ervoor dat IAM loopt en niet die baksteen is die steeds zwaarder wordt, zodat u zich kunt richten op uw corebusiness.”
Meer weten over Managed IAM van KPN?
Neem contact op met een KPN Security Expert.
