Congres Identity & Access Management
Een van de vakgebieden binnen ICT – Identity & Access Management – wordt steeds belangrijker. In de beginjaren, toen het zakelijk gebruik van internet groeide, ging IAM voornamelijk om het aan elkaar koppelen van mailsystemen en het synchroniseren van adresboeken. Inmiddels zorgt IAM ervoor dat de juiste deuren opengaan voor de juiste mensen op het juiste moment om de juiste redenen. Ook houdt het de juiste deuren dicht.
Op 9 mei organiseert Heliview hét Nederlandse congres over Identity & Access Management. In het NBC Congrescentrum te Nieuwegein delen vele experts die dag hun kennis over digitale identificatie, authenticatie & autorisatie met de bezoekers. Het hoofdthema voor 2019 is: Wendbaar, efficiënt, klantvriendelijk en compliant. ICT/Magazine sprak vooraf enkele van de sprekers en we lichten hier een tipje van de sluier van wat u op 9 mei kunt verwachten.
Decentraal gegevensbeheer
Eric Brouwer is werkzaam bij Stichting ICTU, de onafhankelijke advies- en projectenorganisatie van de Nederlandse Overheid, die overheidsorganisaties helpt om hun dienstverlening te verbeteren door samenwerking en slimme inzet van ICT. Brouwer zal hij een blik werpen in de toekomst van IAM. Sinds 2010 is Brouwer betrokken bij de NORA (Nederlandse Overheid Referentie Architectuur).
“In dat kader,” zo vertelt hij, “zijn we de laatste anderhalf jaar bezig met IAM. Gecombineerd met mijn eerdere ervaring in dit vakgebied en de bestaande inzichten zien we een ontwikkeling waarbij IAM deel gaat uitmaken van een groter geheel. Momenteel hebben veel partijen – publiek dan wel privaat – gegevens over personen die daar een account hebben. De vraag is of al die verschillende partijen zoveel persoonlijke gegevens moeten hebben. Over die gegevens heb je namelijk nauwelijks regie en sommige partijen verkopen ze zelfs door. Waarom moet je bij on-line shops al die persoonsgegevens als geboortedatum en adres invullen terwijl die partij alleen hoeft te weten of je ouder bent dan 18 of 21? En waarom moet je, als je een WW-uitkering aanvraagt, van de uitkerende instantie allerlei vragen beantwoorden over arbeidsverleden en andere persoonlijke dingen, terwijl die voor het recht en de uitbetaling van de uitkering zeker niet altijd verplicht zijn? Mensen willen zelf de regie behouden over hun persoonlijke gegevens. Daarom zou je bijvoorbeeld via MijnOverheid toestemming kunnen geven om relevante informatie over jou aan een andere partij beschikbaar te stellen. Zij hebben dan niet de onderliggen de gegevens, maar de overheid verklaart dan bijvoorbeeld dat de besteller een persoon is van minimaal 18 jaar. Het idee is dat deze vorm van gegevensbeheer optimaal decentraal is georganiseerd. Computers in de cloud beantwoorden waarheidsgetrouw vragen van dienstverleners over persoonlijke situaties. Zo kan ik mijn bank toestemming geven om vragen over mijn kredietwaardigheid te beantwoorden als ik elders een financiering wil aanvragen. En kan ik mijn gemeente of een andere overheidsorganisatie vragen laten beantwoorden over mijn nationaliteit.
De eigenaar van de onderliggende gegevens bepaalt wie of welke computers welke informatie aan welke dienstverleners mag tonen. Waar de gegevens geregistreerd staan, doet er niet meer toe. Dit hoeft alleen de eigenaar te weten, zoals deze er ook zeker van moet zijn dat de verstrekker en de informatie gewaarmerkt zijn. Juist omdat certificering binnen dit verhaal van groot belang is, ligt volgens mij hier een belangrijke rol voor de overheid. Dit decentrale beheer van gegevens voorkomt ook dat bedrijven te sterk afhankelijk worden van de steeds complexer wordende IAM-softwaresuites.”
Tijdens zijn presentatie zal Brouwer nog meer voordelen alsmede de huidige stand van zaken van deze toekomstvisie nader toelichten.
Laat je niet h@cken
Maria Genova studeerde journalistiek aan de Academie voor Journalistiek in Tilburg. Ze schreef diverse bestsellers over actuele onderwerpen. Na haar boek ‘Komt een vrouw bij de h@cker. Hoe je identiteit gestolen kan worden’ werd ze een veelgevraagd spreker op het gebied van privacy, identiteitsfraude en informatiebeveiliging. Haar lezingen geeft ze voor multinationals, ministeries, gemeentes, woningcorporaties, ziekenhuizen, onderwijsinstellingen en ondernemersverenigingen. “Veel mensen,” vertelt ze, “gaan op de vragen over privacy en cybercrime die ik aan ze voorleg de mist in. Zelfs ict’ers maken dezelfde basale fouten als niet-ict’ers, zoals het reageren op phishing mails. Dat is best verontrustend. Veel mensen voor wie ik spreek voelen zich na mijn verhaal onveiliger dan daarvoor. Tegen hen zeg ik dat ze nu eigenlijk veel veiliger zijn dan eerst, omdat ze zich meer bewust zijn van de risico’s. Vooraf zeggen mensen vaak, ja hoor, ik weet het allemaal wel, maar als ik ze overlaad met voorbeelden van hoe het in de praktijk misgaat, realiseren ze zich hoe nonchalant ze al die tijd zijn omgesprongen met bijvoorbeeld wachtwoorden. Er kan ook veel beter worden gecommuniceerd wat er nu precies met ‘sterke’ wachtwoorden wordt bedoeld. Letters, cijfers en leestekens, maar als iemand dan Robert01!, Robert02! enzovoort gebruikt, schiet het nog niet op. Dan kun je veel beter een lang wachtwoord als ‘Ikhebeenhekelaanmijnschoonmoeder’ hanteren. Gewoon een zin die gemakkelijk te onthouden is en net zo moeilijk te hacken is als een niet te onthouden wachtwoord met allemaal rare tekens. Met mijn lezingen probeer ik mensen wakker te schudden met veel concrete voorbeelden uit de praktijk. Wanneer ik voor een bedrijf spreek, gebruik ik voorbeelden uit hun eigen sector. Of ik laat de medewerkers ter plekke zien hoe eenvoudig het is om hun identiteit te stelen. In het begin van mijn verhaal mag ik echt alles weten van het publiek, maar al snel worden ze scherper en houden ze hun persoonlijke informatie voor zich. Gezonde paranoia is niet slecht, liever paranoia dan dat ze een bedrijfsnetwerk te grabbel gooien voor hackers. Gelukkig zijn er ook organisaties die goede dingen doen om de awareness van de medewerkers te vergroten. Zo organiseerde een bedrijf een speelse zoektocht naar verborgen datalekken. Zelf hadden ze tien datalekken in het gebouw verstopt en aan het einde van de zoektocht waren er 25 gemeld!”
Machine learning
David Goodman is Principal Consultant Analyst bij TechVision Research. Hij heeft meer dan 25 jaar ervaring op het gebied van identity management. Binnen Europa en in de Verenigde Staten werkte hij als technologisch analist en adviseerde enkele van de grootste bedrijven ter wereld. Tijdens zijn keynote zal hij onderzoeken waar IAM volgens hem naartoe gaat.
“Er is veel gaande op dit moment,” vertelt hij. “Ik zal enkele van de huidige trends en zelfs ‘gamechangers’ benoemen in het veld van IAM. Naast de trends in traditionele enterprise IAM zal ik ook ingaan op consumenten- of klanten-IAM. Veel mensen denken dat dit iets nieuws is, terwijl het er toch al zeker vier jaar is. We hebben enkele grote overnames gezien, zoals Gigya door SAP in 2017 en recent nog nam Akamai Janrain over. Dergelijke overnames zijn altijd een indicatie dat de markt op een bepaald gebied flink aan het opwarmen is. Vanzelfsprekend heeft ook GDPR een grote invloed, met name op het gebied van consent management. En dat beperkt zich niet alleen tot klanten, maar gaat ook over medewerkers en bedrijven als geheel. Bedrijven zullen bijvoorbeeld minder controle houden over de IAM-gerelateerde data, vanwege ontwikkelingen als ‘self-souvereign identity’ en Bring Your Own Identity. De meningen over in hoeverre dat allemaal werkelijkheid gaat worden, zijn verdeeld, maar ik verwacht dat bedrijfs-centraal of gebruikers-centraal identiteitsbeheer zal veranderen. Ook verwacht ik dat AI, of beter gezegd, machine learning, binnen enkele jaren een belangrijke bijdrage binnen het IAM-domein zal leveren. De verzamelde en geanalyseerde data gaat nu al niet meer alleen over naam, adres en telefoonnummer, maar ook of iemand actief is op sociale media en wat iemand online doet buiten het werk om. Dit wordt belangrijker voor reputatiedoeleinden. Een medewerker kan namelijk informatie over het werk twitteren of via blogs op LinkedIn of een eigen website publiceren of iemand kan online persoonlijke activiteiten laten zien die eventueel de goede naam van het bedrijf kunnen schaden. Mag een bedrijf die informatie zien en er iets mee doen? Vanuit het bedrijf bezien, zouden we misschien ‘ja’ antwoorden op die vraag, maar anderzijds leven we in een Westerse democratie, waar vrijheid van iemands meningen of voorkeuren een groot goed is. Dus wanneer je buiten de bekende grenzen een persoon gaat surveilleren in de context van diens werk, kom je op hele andere gebieden van identity management terecht. Nog los van de ethische kwesties zal machine learning een belangrijke rol spelen in de ontwikkeling van deze trend.”
