Ook in tijden van Corona vraagt de samenleving om veilige uitwisseling van data, die niet herleidbaar is naar een persoon. Het is nog nooit zo duidelijk geweest dat we anno 2020 beschikken over onze eigen digitale identiteit! Maar hoe gaan we er mee om? Deze blog beschrijft de vijf meest prangende vragen.
1. Wat is een digitale identiteit?
Mensen wisselen steeds vaker digitaal gegevens uit, zowel onderling als met bedrijven en overheidsorganisaties. Dat is efficiënt, maar vereist een veilige informatie-uitwisseling tussen het persoonlijke device en de ontvangende computer of server.
Met certificaten maak je betrouwbare digitale communicatie mogelijk met interne en externe actoren. Certificaten werken als een digitaal paspoort voor een website, IT-systeem of persoon. Met een certificaat kun je veilig bewijzen dat je daadwerkelijk bent wie je zegt dat je bent en digitaal informatie en documenten uitwisselen. En omdat hiervoor een zeer hoogwaardige en veilige infrastructuur wordt gebruikt, zijn certificaten de standaard voor het beveiligen van elektronische diensten op het hoogst mogelijke niveau.
2. Wat voor invloed heeft de digitale identiteit op het bedrijfsleven?
Het veilig uitwisselen van informatie en omgang met digitale identiteiten is niets nieuws. In organisaties verwachten medewerkers, partners en leveranciers een veilige toegang tot bedrijfsapplicaties en -netwerken. En als bedrijf wilt je natuurlijk ook zeker zijn van de identiteit van de gebruikers die erop inloggen Er is behoefte aan een digitaal paspoort dat hier rekening mee houdt.
Anderzijds verwachten klanten, burgers of patiënten die inloggen ook van een bedrijf dat het op de juiste manier omgaat met hun data en deze beschermt, zodat hun privacy beschermd blijft. In feite verplicht de Algemene Verordening Gegevensbescherming (AVG) je om ditzelfde te doen.
Gebruikersnamen, wachtwoorden en andere gevoelige gegevens zijn steeds vaker het doelwit van een aanval
Maar dat is makkelijker gezegd dan gedaan, want ook cybercriminelen weten hoe waardevol digitale identiteiten en privacygevoelige informatie zijn. Daarom worden gebruikersnamen, wachtwoorden en andere gevoelige gegevens steeds vaker het doelwit van een aanval. En dit kan verstrekkende gevolgen hebben voor een organisatie, zoals een gebrek aan vertrouwen in een bedrijf of specifieke producten met reputatieschade als gevolg.
Tot slot wil je ook voorkomen dat applicaties en websites niet beschikbaar zijn door verlopen certificaten, of door onduidelijke en niet afgesproken interne processen. Met andere woorden, de continuïteit van je bedrijf staat op het spel.
3. Wat zijn de problemen waar bedrijven tegen aanlopen in de omgang met deze identiteiten?
Veel organisaties zijn zich niet bewust van de noodzaak om digitale identiteiten te beveiligen. Een digitale identiteit is informatie over iets of iemand binnen een intern/extern netwerk. Certificaten zijn een manier om een sterke/veilige digitale vastlegging van deze identiteiten te bewerkstelligen.
Het beheer van deze certificaten gebeurt in organisaties vaak reactief. Door dat er storingen optreden in intern of externe systemen, zoals in webservers of applicaties komen we achter verlopen certificaten. Vaak worden vervaldata van certificaten niet geregistreerd en zien we bij uitval pas het probleem ontstaan. Daarnaast is bij het beheer van certificaten belangrijk om te weten wie de eigenaar en houder van het certificaat is. Te allen tijde weten wie er toegang mag hebben tot welk deel van je netwerk/diensten/informatie is cruciaal voor de continuïteit van je primaire proces.
>> Lees ook: Bescherm jezelf tegen ransomware: 7 tips
Ook zijn er in der loop der jaren onbekende en onbeheerde certificaten aanwezig in de organisatie. Deze vormen een beveiligingsrisico vanwege kwetsbaarheden in zwakke cryptografische standaarden, zoals Secure Hash Algorithm 1 of verkeerd gebruik van sleutellengten.
Verder wordt er veel te vaak gebruik gemaakt van gratis certificaten, die intern gebruikt worden door ontwikkelaars of IT-personeel. Deze uitgifte voldoet niet aan de vertrouwde standaarden en leidt tot te makkelijk verkregen digitale paspoorten. Iets wat dus niet het vertrouwde keurmerk heeft. Daarbij zijn de eigenaren vaak niet op de juiste manier geregistreerd. Dit resulteert in een out-of-compliance digitale Public Key Infrastructure (PKI).
4. Wat kunnen we doen om in-control te zijn over deze digitale identiteiten?
Om een bedrijf digitaal te beveiligen, moeten identiteit en beveiliging/privacy samenwerken. Als organisatie moeten we de balans vinden tussen: gebruikersgemak, conversie en beveiliging/privacy. Een optimale balans tussen deze kernwaarden is dus noodzakelijk.
Ontwikkel een Digital Identity Strategie
Om de controle te krijgen in deze digitale wereld, moeten we gaan nadenken over onze eigen digitale identiteit en hoe deze in relatie staat tot het eigen bedrijf. Er dient een nieuwe Digital Identity-strategie ontwikkeld te worden, waarbij gekeken wordt hoe de huidige manier van werken invloed heeft op onze omgang met deze certificaten. In deze strategie moet worden beschreven hoe de organisatie omgaat met identiteiten in de digitale en fysieke wereld en hoe gebruikersgemak, conversie en beveiliging/privacy een rol spelen.
Onderzoek de huidige organisatie en haar kwetsbaarheden inzake digitale identiteiten
Na een nieuwe digitale strategie moet er een GAP-analyse gemaakt worden om te zien hoe de huidige organisatie is georganiseerd. Er moet een strategische risicoanalyse worden gemaakt om te zien hoe de huidige kwetsbaarheden in communicatie en authenticatie worden aangepakt. Bij deze risicoanalyse moeten we de risico’s groeperen en verdelen in strategische, tactische en operationele risico’s. We moeten de risico’s ook labelen in categorieën, zoals: vertrouwelijk, integriteit en beschikbaarheid.
Van een reactieve naar een proactieve security benadering
Geef vervolgens invulling aan de verschillende stappen vanuit een gekozen beveiligingsstandaard. Op basis van verschillende Plan, Do, Check & Act (PDCA) stappen volgt een gedegen ontwerp van de beheersmaatregelen, waarbij rekening moet worden gehouden met de verschillende aanwezige beveiligingsthema’s. Denk aan fysieke beveiliging, beveiliging van apparatuur, beveiliging van systemen, databeveiliging, en communicatie en bewustzijn.
De beveiliging van identiteiten in al deze beveiligingsthema’s is belangrijk. Het gebruik van PKI en Identity Access Management (IAM) is daarbij noodzakelijk. Net zoals het beheer van certificaten (digitale paspoorten).
Beheer je certificaten
Om controle te krijgen over je identiteiten: hardware, software en mensen, moet je certificaten aanmaken voor deze identiteiten in jouw organisatie. Het aanmaken en beheren van certificaten kan worden gedaan door eigen gemaakte oplossingen. Maar als het aantal certificaten toeneemt, kunnen professionele tools je daarbij op een meer gestandaardiseerde manier helpen.
Deze Certificaat Management Systemen helpen bij de registratie, validatie, uitgifte, intrekking en beheer van deze verschillende soorten certificaten. Daarnaast helpt het ook om certificaten in de organisatie te ontdekken, want vaak zijn bij meerdere afdelingen certificaten op verschillende manieren en personen uitgegeven. Om zo die applicatie, server, website snel de lucht in te krijgen.
Zorg voor veilige autorisatie, authenticatie en communicatie
>> Meer over het hoe, wat en waarom van fysieke beveiliging, cyber security en informatiebeveiliging
Het gebruik van certificaten helpt medewerkers bij het veilig inloggen op verschillende systemen en applicaties. Het biedt ook de mogelijkheid om communicatie en transacties te beveiligen met digitaal ondertekende documenten en e-mails. Dit leidt niet alleen tot de situatie dat je precies weet wie er deelneemt aan jouw netwerk en organisatie, maar het zorgt ook voor vertrouwen, integriteit en niet-afwijzing van informatie.
Naast controle over identiteiten, wil je ook je certificaten voor applicaties en servers beheren. Om te voorkomen dat deze machines/apps ongepland uitvallen, veroorzaakt door een verlopen certificaat.
Het is juist nu de tijd om in controle te zijn over je digitale business
5. Wat levert deze digitale strategie en controle over identiteiten op?
Het in controle zijn over je eigen digitale business zorgt voor vertrouwen bij klanten en partners. Naast alleen vertrouwen blijkt uit een onderzoek door Gartner (2017) dat tegen het jaar 2025, 20 procent van de digitale bedrijven met een sterke Digital Identity strategie dubbel zo hard groeien ten opzichte van bedrijven met een slechte digitale visie. Ook zegt een ander onderzoek (Gartner, 2017) dat bedrijven die momenteel digitaal betrouwbaar zijn 20 procent meer online omzet zullen genereren dan bedrijven die dat niet zijn.
Het is dus duidelijk dat een hogere mate van digitaal vertrouwen zorgt voor positievere resultaten. Dan blijft het toch gek dat we door de waan van de dag geen aandacht besteden aan onze digitale transformatie en de rol van identiteiten en certificaten in deze. Helemaal gezien het feit dat we nu sinds de coronacrisis versneld digitaal met elkaar gaan samenwerken. Het is juist nu de tijd om in controle te zijn over je digitale business.
Jordan van den Akker, Business Security Consultant bij AET Europe