Thuiswerken maakt toegangscontrole cruciaal
Massaal thuiswerken als gevolg van de lockdowns heeft een oud thema actueel gemaakt. IAM (Identity and Access Management) staat sinds bijna een jaar weer in de frontlinie – maar IAM-oplossingen blijken zelf ook kwetsbaar.
Tot maart vorig jaar was autorisatie en identificatie nog relatief simpel: IAM beveiligde de algemene toegangspoort terwijl hackers probeerden door een raam of achterdeur naar binnen te komen. De voordeur was voor medewerkers, partners en vaste klanten en IAM regelde dat slechts vertrouwde bezoekers een sleutel van die poort kregen, in de vorm van de combinatie gebruikersnaam/wachtwoord (identificatie), aangevuld met toegangsrechten die gekoppeld waren aan de functie van de persoon die inlogt (autorisatie).
Om verschillende redenen voldoet deze oplossing niet meer. Ten eerste bevindt zich het IAM-systeem zelf binnen het netwerk – en is daarmee in potentie net zo kwetsbaar als alle andere (interne) systemen. Ten tweede bevinden zich de gebruikers niet meer binnen het kernnetwerk, maar werken thuis met hotspots en/of eigen devices waarop IT-beheerders geen zicht hebben. Dit betekent dat we anders naar IAM moeten kijken.
Gedrag medewerkers
Laten we eerst analyseren welke problemen optreden doordat IAM-oplossingen zich binnen het (te beschermen) netwerk bevinden. In een groot aantal gevallen is bij ‘security breaches’ sprake van het gebruik van gekaapte accounts. En niet voor niets: ramen en achterdeuren zijn inmiddels zo goed beveiligd met hard- en software-oplossingen, dat AIM nu de eenvoudiger te slechten hindernis is geworden.
Hackers hebben als voordeel dat het functioneren van AIM altijd aan een persoon gekoppeld is. En personen maken fouten. Sterker nog: het merendeel van de succesvolle hacks is terug te voeren op nonchalant gedrag van de medewerkers. Zo worden identiteiten verbazend makkelijk gedeeld, bijvoorbeeld doordat managers en hun secretaresse dezelfde inlogs gebruiken. Of omdat username en wachtwoord met andere (parttime werkende) collega’s worden gedeeld omwille van de continuïteit van bepaalde werkzaamheden. Het wachtwoord is kortom niet meer voldoende nu we door middel van AIM ook ‘echte’ hackers moeten weren. En dat betekent dat het toegangssysteem ook, na een eventuele aanval, informatie moet kunnen geven over de weg die onverlaten volgden.
Verschillende categorieën
Een modern IAM-platform stelt beheerders in staat de identificatie en autorisatie te monitoren en managen via een centraal dashboard. De meeste organisaties onderscheiden gebruikers in meerdere overkoepelende categorieën. Ten eerste de eigen medewerkers (workforce identity). Werknemers willen laagdrempelig toegang tot de applicaties waartoe ze rechten hebben – terwijl beheerders juist forse drempels wensen. Bij de toegang van klanten (customer identity CIAM) moeten kwaadwillenden uiteraard geweerd worden. Tegelijkertijd wil je een optimale gebruikerservaring bieden én benaderbaar zijn via een groot aantal verschillende devices. De derde categorie, de identificatie van businesspartners (B2B-identity) is de meest ingewikkelde vorm van IAM. Partners, zeker in een kritische supply-chain, willen informatie namelijk rechtstreeks met elkaar uit de applicaties (CRM, ERP) delen. Zelfs als je slechts één centraal IAM-platform inzet voor de authenticatie en identificatie van alle gebruikers, zul je voor elk van de drie categorieën een specifieke strategie nodig hebben.
AIM-Tooling
Gelukkig hoeven IT-afdelingen het wiel niet helemaal zelf uit te vinden. Er is voldoende tooling op het gebied van IAM als nuttige (en noodzakelijke) aanvulling op de traditionele password/username combinatie.
1. Single sign on (SSO)
SSO is een IAM-tool die ervoor zorgt dat een medewerker na het inloggen op een applicatie toegang krijgt tot alle applicaties waartoe hij of zij rechten heeft. Dit betekent dat medewerkers niet een eindeloze hoeveelheid wachtwoorden hoeven te gebruiken, maar er dus maar één moeten onthouden – dat kan voorkomen dat wachtwoorden op briefjes worden genoteerd of in de telefoon onder ‘wachtwoorden’ worden opgeslagen. Daarnaast kunnen beheerders eenvoudig monitoren en analyseren welke applicaties op welk moment door medewerkers of externen gebruikt worden. De SSO-module registreert dit.
2. Federated Identity
Dit is in feite familie van SSO, maar dan tussen verschillende platforms van meerdere organisaties. Het bekendste voorbeeld is het inloggen bij een applicatie door middel van een Apple ID of met Facebook credentials. Je zoekt dan niet daadwerkelijk toegang tot Facebook, maar tot een derde applicatie. Het IAM-systeem vertrouwt de externe platforms voldoende om de gebruiker toegang te geven. Dit is vooral handig bij AIM-voor klanten (CIAM). AVG-technisch is deze vorm van toegang mogelijk wel ingewikkeld vanwege de koppeling met een extern platform.
3. Multi Factor Authentication (MFA)
Het implementeren van MFA is cruciaal om de data van een organisatie te beschermen tegen kwaadwillenden. Tegenwoordig biedt bijna elk IAM-platform een vorm van MFA. Om het inloggen niet te zeer te bemoeilijken, kan MFA gekoppeld worden aan toegang tot bepaalde specifieke applicaties. Ook is het in veel gevallen mogelijk na een succesvolle authenticatie toegang voor meerdere dagen te verlenen (indien gewenst).
MFA gaat vaak samen met een ‘zero trust’-benadering. Die gaat ervan uit dat een vertrouwde gebruiker eigenlijk niet bestaat. In de praktijk betekent dit dat een gebruiker zich voor elke sessie opnieuw moet aanmelden. Daarbij zal in de regel ook biometrie een rol spelen. Denk aan vingerafdruk- of gezichtsherkenning of het gebruik van een QR-code in combinatie met een device met vingerafdruk- of gezichtsherkenning.
Beheerde dienst
Nu naast klanten ook medewerkers van buiten het netwerk toegang zoeken tot bedrijfsgegevens en applicaties, en de verwachting is dat ook na de pandemie deze vorm van werken zal blijven bestaan, is toegangsmanagement zo belangrijk dat het ‘by design’ onderdeel moet zijn van elk bedrijfsproces. Het moet altijd duidelijk zijn wat de bedrijfskritische processen zijn, en wie daar toegang toe heeft. En daar moeten controles op worden uitgevoerd, bijvoorbeeld om te kijken of die toegang nog nodig is. Om de eigen IT- en HR-afdelingen te ontlasten (IAM is immers een gecombineerde verantwoordelijkheid van die departementen) is het vaak veiliger en goedkoper om IAM als een beheerde dienst af te nemen.
Lees ook:
- Aantal incidenten met inloggegevens verdubbeld
- Impact Identity & Access management (IAM) op de business
