Een wachtwoord is al lang niet meer voldoende om de toegang tot een netwerk te beheren. Daar is cybercriminaliteit de voorbije jaren veel te gesofisticeerd voor geworden. In 2020 zagen we, onder impuls van de pandemie en de plotse populariteit van telewerk, een exponentiële toename van het aantal cyberaanvallen. Zeker nu veel organisaties versneld naar de cloud migreren, moeten ze ook nadenken over data security en Identity & Access Management (IAM).
Traditionele security oplossingen, zoals een firewall, kunnen hackers slechts binnen een beperkte netwerkperimeter tegenhouden. Van zodra ze over de juiste gegevens beschikken en binnen geraken, genieten ze het volle vertrouwen en hebben ze vrije toegang om data te stelen. Zeker nu bedrijven steeds meer data genereren en hiervoor naar cloud-oplossingen teruggrijpen, verschuift de focus in security vaker naar de identiteit van de gebruiker die toegang vraagt. Identity & Access Management (IAM) biedt een extra security laag die bijvoorbeeld een aantal cruciale vragen kan stellen: wie wil er toegang en wat moet die persoon kunnen doen? Welk apparaat gebruikt de persoon en wat is de locatie van waar toegang wordt gevraagd? Als er bijvoorbeeld in het midden van de nacht plots iemand vanuit Oekraïne inlogt, dan is dat op z’n minst verdacht.
Context
IAM maakt het voor IT-beheerders dus mogelijk om op basis van de context te bepalen welke autorisatie iemand krijgt. Welke data mag deze persoon zien en wat mag hij/zij ermee doen? En hoe zit het met de risico’s die verbonden zijn met deze identiteit? Misschien is er een extra certificering nodig? Een simpele vergelijking: wanneer je op hotel gaat zal de dame aan de balie eerst bepalen op basis van de juiste identificatie en authenticatie, welke autorisatie je krijgt. Is het die luxe kamer met jacuzzi of een eenvoudigere kamer; is de fitness beschikbaar etc. Als het een zakelijke reiziger is zullen wellicht andere faciliteiten gelden voor die identiteit. Ook personen die het onderhoud doen in het hotel zullen weer andere soorten toegangen hebben en wellicht anders geauthentiseerd worden aangezien hun toegangen kritischer zijn.
Met behulp van IAM krijgt iemand dus al dan niet de toestemming om bepaalde data te gebruiken. Net zoals een patiënt z’n arts kan toelaten om voor een behandeling gegevens te verzamelen. Als er nadien nog andere artsen worden geraadpleegd, dan moet de patiënt telkens apart z’n toestemming geven om de data te delen. Of hij kan de eerste dokter het privilege geven om zelf te autoriseren wie de data moet kunnen zien. We passen het principe dus eigenlijk al in ons dagelijkse leven toe, maar voor bedrijven zit de complexiteit in het beheren van al die autorisaties. Er moeten zo veel controles gebeuren dat ze het proces zo veel mogelijk willen automatiseren.
Wie draagt de verantwoordelijkheid?
De meeste bedrijven beginnen security op basis van identiteit te adopteren. Ze zijn zich bewust van de problematiek en van de gevaren die identiteitsfraude met zich meebrengt. In sommige sectoren worden ze bovendien door de overheid verplicht om alles op een veilige manier te organiseren. Denk maar aan financiële instellingen die met standaarden rekening moeten houden, en ziekenhuizen hebben er eveneens belang bij om data te beschermen. Ook reputatieschade ten gevolge van een incident valt niet te onderschatten. Bij een ransomware-aanval kan een bedrijf soms wekenlang stilliggen, maar het wordt nog erger als de aanval ook partners treft die een vertrouwensrelatie met de organisatie hebben. Dat kan op termijn zelfs grotere financiële gevolgen hebben dan de downtime na een aanval.
Het belang van cybersecurity is intussen ook helemaal doorgedrongen in de directiekamer van bedrijven. Wanneer het fout gaat, zal immers vaak de CEO of manager verantwoordelijk worden gesteld. Behalve een Chief Information Security Officer (CISO) nemen steeds meer bedrijven daarom een Data Protection Officer (DPO) aan. Voor sommige instellingen is het zelfs al verplicht vanuit de overheid om zo iemand aan boord te hebben.
Stap voor stap
Bedrijven beseffen dus wel dat ze toegang moeten autoriseren, maar vaak weten ze niet hoe ze eraan moeten beginnen. Of denken ze dat het wel goed zit, terwijl er gegarandeerd nog ergens een toegangspoortje openstaat. Hoeveel apparaten beschikken tegenwoordig immers niet over een internetverbinding?
Het toekennen van een autorisatie aan een identiteit impliceert veel meer. Daarom is het belangrijk om pragmatisch te werken en in kaart te brengen welke facetten een impact hebben op het autoriseren van een identiteit. Denk maar aan het afnemen van een toegang. Wanneer een identiteit een organisatie verlaat, willen we zeker zijn dat de betrokken autorisatie ook verdwijnt. Het is belangrijk om te weten wie geautoriseerd is om dit te bepalen.Daarbij zijn processen, governance & compliancy eveneens belangrijke uitdagingen die van grote invloed zijn op IAM en dus is het noodzakelijk dit grondig in kaart te brengen.
IAM als blueprint
Identity & Access Management vormt de blueprint voor het preventief onder controle brengen van de levenscyclus van identiteiten. De complexiteit bij de meeste organisaties is historisch gegroeid. We moeten daarom alle informatie via een soort blueprint inzichtelijk maken. Welke data en welke identiteiten zijn er in de organisatie? Behalve de vaste medewerkers kunnen er bijvoorbeeld ook studenten en freelancers zijn die bepaalde toegang nodig hebben.
Daarnaast moet gekeken worden naar het proces om toegang te verlenen en te beheren. Wie mag zo’n autorisatie toekennen en hoe gaat dat in z’n werk? En wat is de procedure bij een medewerker die ontslagen wordt en z’n toegang moet verliezen? Bij de data zelf moet eveneens een classificatie gebeuren om te bepalen waar het risico het hoogst of het laagst is. Afhankelijk van de context kan het risico rond bepaalde data of rond de identiteit van een gebruiker ook regelmatig veranderen.
Verlies jezelf dus niet in details en neem je tijd om deze analyse te maken. Het is een maturiteitsscan waarmee we de roadmap kunnen uitwerken. Sommige zaken vragen onmiddellijk aandacht, terwijl andere misschien iets minder dringend zijn. Het is daarom vaak beter om eerst alle processen in te richten en pas daarna een oplossing te installeren die helpt met het automatiseren van IAM.
Wat brengt de toekomst voor IAM?
Het belang van IAM neemt de komende jaren alleen maar. Men zal het vanuit organisaties aandrijven. Die eindklant wil het natuurlijk zo gemakkelijk mogelijk hebben en moet alles in zowat één klik kunnen doen. Als een procedure te complex wordt, zoekt deze al gauw andere oorden op. Gebruiksvriendelijkheid is dus een belangrijk aspect van consumer-driven IAM.
Tot slot blijft de gebruiker de zwakke schakel en moeten we nog veel meer inzetten op awareness training. Dagelijks worden heel wat mensen via goed opgezette campagnes, bijvoorbeeld op de sociale media, het slachtoffer van identiteitsfraude. Het ziet er zo realistisch uit dat dit soort aanvallen steeds moeilijker te detecteren valt. Het beste recept dat we kunnen voorschrijven, is dus een combinatie van IAM en een goede dosis (aangeleerd) gezond verstand.
Dave Vijzelman, IAM Business Development Manager bij Orange Cyberdefense.
