Skip to main content

Het volwassenheidsmodel voor authenticatie


Een effectieve manier om het risico op een aanval in jouw organisatie te verkleinen, is door authenticatie toe te passen. In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden. Wat dit precies inhoudt en hoe je dit doet, lees je in deze blog.

Wat is authenticatie?

Authenticatie is de techniek waarmee een systeem (applicatie) de identiteit van een gebruiker vaststelt. Als de authenticatie succesvol is, krijgt de gebruiker toegang tot accounts en systemen in een organisatie. Er zijn verschillende methoden om accounts en systemen te beveiligen met authenticatie. Het meest bekende voorbeeld van authenticatie is het inloggen met een gebruikersnaam en wachtwoord. Dit is echter ook de meest onveilige methode van authenticatie. Met name de lage gebruiksvriendelijkheid van wachtwoorden zorgt ervoor dat gebruikers vaak zwakke wachtwoorden kiezen, waardoor ze kwetsbaarder zijn voor phishingaanvallen. Gelukkig zijn er ook sterkere methoden voor authenticatie die het voor gebruikers eenvoudiger maken en tegelijkertijd de veiligheid van de organisatie verbeteren, zoals tweefactorauthenticatie (2FA) en de FIDO2-standaard van de FIDO Alliance. Bij 2FA moet een gebruiker naast een wachtwoord nog een extra stap voltooien, bijvoorbeeld door een unieke code te gebruiken die je per sms ontvangt of door het gebruik van biometrische gegevens, zoals een irisscan. De FIDO2-standaard maakt gebruik van een fysieke token voor extra beveiliging. Deze vormen bieden meer bescherming tegen dergelijke aanvallen.

Authenticatie is een belangrijk onderdeel van identiteits- en toegangsbeheer en wordt in toepassingen aangevuld met autorisatie. De relatie tussen die twee is dat authenticatie de identiteit van een gebruiker kenbaar maakt, terwijl autorisatie gaat over het toewijzen van bepaalde rechten binnen het systeem voor de gebruiker nadat de identiteit is vastgesteld. Wil je meer weten over autorisaties? Lees dan ook onze eerdere blog ‘Tien stappenplan voor het opstellen van een autorisatiematrix’.

Hoe veilig is authenticatie?

Kwaadwillende die toegang willen krijgen tot systemen kunnen zich richten op het omzeilen van de beveiliging van het inlogproces. Dit kan leiden tot toegang tot belangrijke accounts en systemen in jouw organisatie, bijvoorbeeld beheerderaccounts. De technieken die ze hiervoor gebruiken worden zijn steeds toegankelijker en gemakkelijker om uit te voeren. Hierdoor wordt de kans op ongeautoriseerde inlogpogingen groter. Als ze eenmaal binnen zijn, kunnen ze schadelijke software, zoals ransomware, installeren op de gegevens en systemen die toegankelijk zijn voor beheerders. Dit kan grote gevolgen hebben. Het is daarom van groot belang om accounts op een passende manier te beveiligen. Het Cybersecuritybeeld Nederland 2021 benadrukt hoe belangrijk goede authenticatie is en laat zien dat het dreigingsniveau voor zwakke authenticatie hoog is.

Volwassen authentiseren

Accounts met verhoogde rechten binnen een systeem worden steeds vaker aangevallen volgens het Nationaal Cyber Security Center (NCSC). Ze hebben daarom de factsheet ‘Volwassen authentiseren’ uitgebracht. Hierin wordt geadviseerd om accounts op een manier te beveiligen die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden. Dit wordt ook wel ‘volwassen authenticatie’ genoemd. In de factsheet kan je lezen welke afwegingen je kunt maken bij het bepalen van een geschikte authenticatiemethode voor de accounts en systemen in jouw organisatie, aan de hand van een volwassenheidsmodel voor authenticatie.

Het volwassenheidsmodel voor authenticatie

Het volwassenheidsmodel voor authenticatie helpt organisaties bij het bepalen van passende beveiliging voor verschillende accounts op basis van het bijbehorende risico. Accounts met een grote impact (high-impact accounts), zoals beheerdersaccounts, vereisen een andere mate van beveiliging dan accounts met een lage impact (low-impact accounts), zoals gastaccounts. Het volwassenheidsmodel voor authenticatie helpt je bij het bepalen van de juiste beveiliging. Dit model heeft verschillende niveaus van volwassenheid, waarbij niveau 0 onvoldoende bescherming biedt en niveau 4 de hoogste mate van bescherming biedt. De verschillende volwassenheidniveaus zijn als volgt:

  • Niveau 0: Je hebt nog niet geïnventariseerd welke accounts een lage, gemiddelde of hoge impact hebben. Je gebruikt alleen een gebruikersnaam en wachtwoord voor de beveiliging van de accounts.
  • Niveau 1: Je hebt geïnventariseerd welke accounts een lage, gemiddelde of hoge impact hebben. Voor accounts met een gemiddelde of hoge impact gebruik je tweefactorauthenticatie (2FA).
  • Niveau 2: Je hebt geïnventariseerd welke accounts een lage, gemiddelde of hoge impact hebben. Accounts met een hoge impact worden beveiligd door phishingbestendige authenticatie, bijvoorbeeld via een FIDO-authenticator, terwijl je voor accounts met een lage of gemiddelde impact tweefactorauthenticatie gebruikt.
  • Niveau 3: Je hebt geïnventariseerd welke accounts een lage, gemiddelde of hoge impact hebben. Voor accounts met een gemiddelde of hoge impact gebruik je phishingbestendige authenticatie, bijvoorbeeld via een FIDO-authenticator, terwijl je voor accounts met een lage impact tweefactorauthenticatie gebruikt.

Advies

Het NCSC adviseert CISO’s om op basis van een risicobeoordeling alle gebruikersaccounts van de organisatie in te delen in accounts met een lage, gemiddelde en hoge impact. Vervolgens kun je met behulp van het volwassenheidsmodel voor authenticatie de accounts op een passende manier beveiligen. Geef hierbij prioriteit aan de accounts met de hoogste impact. Hierbij kun je kiezen tussen het implementeren van tweefactorauthenticatie (2FA) en phishingbestendige authenticatie. Hierdoor wordt phishing vrijwel onmogelijk, waardoor jij altijd een stap voor blijft op aanvallers. Tot slot adviseert het NCSC om extra mitigerende maatregelen te nemen om de kans op ongeautoriseerde inlogpogingen te verminderen, bijvoorbeeld door monitoring en logging in te richten.

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…