Hoe voorkom je identiteitsfraude binnen organisaties? - VP&P
Search Icon
×

Hoe voorkom je identiteitsfraude binnen organisaties?

Hoe voorkom je identiteitsfraude binnen organisaties?


Het vorige IAM-artikel beschreef de uitdagingen om Access Management (toegangsrechten-beheer) goed te implementeren in een organisatie. Het inrichten van het 'Siamese zusje' Identity Management is minstens zo lastig. Gemakzucht in de dagelijkse operatie, slechte koppelingen met HR-systemen en (on)juist gebruik van identificatie-tools zijn de drie Identity Management uitdagingen om misbruik van systemen en data binnen organisaties te voorkomen.

Zonder goede identiteitscontrole geen betrouwbaar IAM

Een goed IAM is feitelijk een Siamese tweeling: Identity Managment en Access Management. In het vorige IAM-artikel lag de focus op de uitdagingen van Access Management: zorgen dat een medewerker de juiste toegangsrechten tot systemen en data heeft. Dit artikel gaat over Identity Management binnen organisaties. Identity Management is feitelijk de persoonlijke legitimatie voor de toegangsrechten van medewerkers: “als jij medewerker X bent, dan krijg jij toegangsrechten X, Y en Z”. Vergelijkbaar met een identiteitsbewijs, zoals het paspoort.

Voordat een medewerker bedrijfssystemen daadwerkelijk kan gebruiken moet zijn/haar identiteit worden gevalideerd. Dit valideren kan op verschillende manieren worden ingericht, bijvoorbeeld met een wachtwoord of een speciaal pasje. De laatste jaren is het gebruik van vingerafdrukken, gezichtsherkenning en andere technologie-gedreven controles in opkomst.

De digitale identiteit van een medewerker geeft dus toegang tot de systemen en data van een organisatie. Validatiefouten en misbruik van identiteiten moet voorkomen worden. In de dagelijkse praktijk zijn binnen organisaties drie Identity Management uitdagingen te onderscheiden.

1. Gemakzuchtig gedrag

Een manager die zijn smartcard uitleent aan een assistent(e) om de facturen en personele mutaties af te handelen. Systeembeheerders die elkaar de ‘superuser’ rol laten vervullen door onderling wachtwoorden/pasjes uit te wisselen. Door dit soort ‘identiteitsfraude’ kunnen medewerkers ongemerkt activiteiten uitvoeren, waarvoor zij formeel niet bevoegd zijn. Andere voorbeelden van gemakzuchtig gedrag zijn: wachtwoorden die met ‘geeltjes’ aan een scherm zijn bevestigd of in niet-afgesloten bureaulades liggen. Het is elke keer weer schrikken wat interne audit-onderzoeken aan risicovolle voorbeelden opleveren.

Gemakzuchtig gedrag verhoogt de kans op fraude en andere vormen van misbruik van systemen of data. De oorzaak van dit gedrag ligt overigens vaak in irritatie over slecht ingerichte administratieve processen. Verbetering van die processen is de meest effectieve manier om gemakzuchtig gedrag te reduceren. Maar, ook gerichte voorlichting is periodiek nodig, met concrete voorbeelden van de risico’s. Verplichte e-learnings zijn daarbij in opkomst, vergelijkbaar met Wwft-vereisten.

2. Slechte koppeling met HR-processen

Een effectief Identity Management start met drie basiselementen: een goede screening van nieuwe medewerkers, een personeelsadministratie die real-time op orde is en een unieke digitale identiteit per medewerker. Met die digitale identiteit worden bijvoorbeeld: salaris, opleidingen en toegangsrechten 1-op-1 aan een medewerker gekoppeld. Soms worden meerdere identiteiten aan een medewerker gekoppeld, bijvoorbeeld als een medewerker tijdelijk twee verschillende functies heeft. Dat lijkt handig, maar de IAM-processen worden hierdoor minder transparant en ook minder betrouwbaar.

In de dagelijkse IAM-operatie gaat het vaak mis bij personele mutaties. Bij vertrek van een medewerker moeten de toegangsrechten direct worden verwijderd, om te voorkomen dat die medewerker na zijn vertrek nog bij (vertrouwelijke) informatie van zijn oude organisatie kan. Maar, ook bij het veranderen van functie binnen een organisatie moet deze personele mutatie goed in de IAM-omgeving worden verwerkt. De toegangsrechten voor de nieuwe functie moeten worden toegekend en de toegangsrechten van de oude functie moeten worden verwijderd. Audit onderzoeken laten zien dat dit laatste regelmatig wordt vergeten. Zonder periodieke controles op de juistheid van toegangsrechten kan ongemerkt een groep medewerkers ontstaan die meer toegangsrechten hebben dan passend is voor hun huidige functie.

Idealiter heeft de HR-administratie een geautomatiseerde koppeling met de IAM-omgeving, zodat alle personele mutaties 1-op-1 leiden tot aangepaste toegangsrechten van medewerkers. Helaas is die geautomatiseerde koppeling niet altijd aanwezig. Handmatige acties zijn dan nodig, die in de dagelijkse operatie regelmatig te laat of onvolledig worden uitgevoerd. Dit verhoogt het risico op misbruik. Ook het compliance proces wordt aanzienlijk complexer bij veel handmatige activiteiten. Bij een geautomatiseerde koppeling tussen HR en IAM-systemen hoeft alleen de juistheid van de technische koppeling gecontroleerd te worden, terwijl bij handmatige activiteiten controles nodig zijn op de juistheid van toegangsrechten van alle individuele medewerkers.

3. Gemak versus veiligheid van digitale identiteitscontroles

Als een medewerker een bedrijfssysteem wil gebruiken moet eerst zijn/haar identiteit worden gecontroleerd: “Mag deze medewerker dit systeem gebruiken?”. Die controle wordt ook wel authenticatie genoemd. Voor de validatie van identiteiten worden nog vaak wachtwoorden gebruikt, in combinatie met ‘gebruikersnamen’. Veel wachtwoorden zijn echter relatief makkelijk te kraken. Om dat risico te verkleinen, moeten gebruikers regelmatig gedwongen worden om hun wachtwoord te veranderen. Dat vinden gebruikers vervelend, omdat ze steeds nieuwe wachtwoorden moeten onthouden. Dat leidt in de praktijk tot aanpassingen die niet bepaald veilig zijn: van ‘abcd1’ naar ‘abcd2’. Het gebruik van wachtwoorden biedt dus geen adequate bescherming voor de toegang tot vertrouwelijke data en cruciale systemen.

Een zogenaamde multi-factor identificatie biedt een betere beveiliging, waarbij een speciaal ‘token’ nodig is om toegang te krijgen. Voorbeelden van tokens zijn smartcards en scanner apparaten. De combinatie van een fysiek token en een token-code geeft een betere beveiliging dan een wachtwoord, maar leidt ook tot irritatie en weerstand. Een smartcard en scanner device zijn weer losse dingen die een gebruiker altijd bij zich moet hebben. Daarnaast hebben organisaties soms problemen met de kosten van deze tokens, bijvoorbeeld als laptops en toetsenborden moeten worden aangepast voor het gebruik van een smartcard. Speciale tokens zijn veiliger, maar toch niet echt aantrekkelijk om te gebruiken.

Gemak en veiligheid vormen dus een fragiel evenwicht. Een ‘single sign-on’ (SSO) methodiek kan helpen om zowel het gebruikersgemak als de veiligheid te vergroten. SSO betekent dat een medewerker zich in één keer registreert voor alle te gebruiken systemen, in plaats van een aparte identificatie voor elk systeem. Na registratie via SSO levert de SSO tooling de gebruikersidentificatie automatisch aan elke applicatie die de gebruiker opstart. De operationele beschikbaarheid van SSO tooling vergt wel extra aandacht. Zonder deze ‘sleutel van de voordeur’ kunnen gebruikers immers geen enkel systeem gebruiken. Het op SSO aansluiten van applicaties die in de Cloud opereren vergt ook speciale aandacht.

Nieuwe technologie: meer gemak, maar onveiliger?

In dit artikel is de identiteitscontrole binnen organisaties beschreven. Met het beschikbaar komen van nieuwe technologieën zijn ook nieuwe vormen van identiteitscontrole beschikbaar gekomen. De vingerafdruk als identificatiemiddel is inmiddels ingeburgerd, net als het gebruik van de smartphone. De laatste tijd is het gebruik van gezichtsherkenning en andere technologie-gedreven manieren in opkomst. Niet alleen binnen organisaties, maar ook in de interactie met klanten van die organisaties.  

De nieuwe technologie lijkt volwassen genoeg. Maar, is die technologie ook betrouwbaar genoeg om daarmee de identiteit zonder twijfel te kunnen vaststellen? Wat zou de rol van een formeel digitaal paspoort kunnen zijn? Kan de nieuwe technologie ook misbruikt worden voor andere doeleinden, bijvoorbeeld om mensen ‘te volgen’? Op deze vragen gaan we in het volgende artikel in.

Lees ook onze eerder verschenen artikelen: Implementatie Identity & Access Management: een hoofdpijn dossier en AVG is niet genoeg voor adequate bescherming van data!
Douwe

Douwe van der Meer

Lees meer over Douwe

Volg ons op LinkedIn, regelmatig posten wij updates over onze visie op de sector en over bureauontwikkelingen.