Cyber Response Team
Authenticatiebeheerbeleid
- Raf Geuns (Unlicensed)
1. Introductie
Authenticatie is een begrip waar dagelijks gebruik van wordt gemaakt. Een voorbeeld: een burger wil online een adreswijziging aanvragen, maar hoe kan u als lokaal bestuur met zekerheid weten wie deze aanvraag doet? Authenticatie draait om de vraag: hoe kan met zoveel mogelijk zekerheid worden bepaald dat een individu is wie hij of zij beweert te zijn?
U kan zich wel voorstellen dat het belang om individuen te controleren groter wordt naarmate de gevoeligheid van de informatie of handeling van de persoon of organisatie die zich authenticeert, toeneemt. Lokale besturen werken met gevoelige informatie en daarom is het van belang om een degelijk authenticatiebeheer te hebben. Om een succesvol beleid te implementeren is het ook belangrijk dat het toezicht van dit beleid wordt toegewezen aan een beleidsmedewerker. Deze persoon heeft de verantwoordelijkheid en de bevoegdheid om de toepassing en naleving van het beleid op te volgen en eventuele inbreuken hiervan te rapporteren.
2. Wet- en regelgeving
Het is zeer belangrijk om uw authenticatiemethodes af te stemmen op dat wat de methode moet controleren, omdat bepaalde authenticatiemethodes moeten voldoen aan de nationale of Europese regelgeving. Voor lokale besturen is met name de naleving van de eIDAS-verordering1 van groot belang. Deze regelgeving stipuleert dat EU-burgers net zo gemakkelijk en veilig zaken moeten kunnen doen met buitenlandse overheidsdiensten als in hun eigen land. Concreet betekent dit dat buitenlandse EU-burgers met hun eigen identiteitskaart moeten kunnen inloggen op Belgische overheidsdiensten, inclusief lokale besturen. Met het oog op deze Europese dienstverlening is het aangewezen om na te gaan welke dienstverleningen binnen uw lokale bestuur wel of niet beschikbaar moeten zijn voor buitenlandse EU-burgers en uw website en betalingssysteem als het nodig is aan te passen (Bancontact is niet beschikbaar in het buitenland).
3. Beleid
Organisatorische maatregelen
Organisatorische maatregelen verwijzen naar het hebben van duidelijke processen, procedures en verantwoordelijkheden met betrekking tot authenticatiebeheer. Bij het inrichten van deze processen en procedures is het belangrijk om de informatieklassebepaling in het oog te houden, aangezien dit een bepalende factor is in de keuze voor adequate authenticatiemiddelen. Bijkomend is het belangrijk om de juistheid en continuïteit van deze voorwaarden op te volgen en te rapporteren naar het management.
Technische maatregelen
Technische maatregelen verwijzen naar het hebben van documentatie waarin de werking, voorwaarden, verantwoordelijkheden en onderhoud met betrekking tot de verschillende gebruikte authenticatiemiddelen beschreven staan. Het is belangrijk om de authenticatiemiddelen af te stemmen op dat wat u als organisatie wilt controleren, omwille van meerdere redenen. Wetgeving en de informatieklassebepaling kunnen er bijvoorbeeld voor zorgen dat niet alle informatie binnen een lokaal bestuur met eenzelfde authenticatiemiddel bereikt kan worden. Het is daarom belangrijk om per authenticatiestap na te gaan welk authenticatiemiddel u wilt gebruiken.
De verschillende authenticatiemiddelen die beschikbaar zijn via Toegangsbeheer Vlaanderen voor uw lokaal bestuur kunt u vinden in de tabel hieronder.
Mensgerichte maatregelen
Mensgerichte maatregelen verwijzen naar het hebben van bewustmakingscampagnes die het belang van een gedegen authenticatiebeheer benadrukken bij gebruikers en bij beheerders van toepassingen. Dergelijke campagnes zullen ervoor zorgen dat de beleidsprocedures en processen daadwerkelijk gedragen zullen worden door al uw medewerkers en partners.
4. Aanbevelingen
Hieronder vindt u een aantal aanbevelingen die het Cyber Response Team voor Lokale Besturen (Vo-CRT) geeft met betrekking tot de inrichting van een authenticatiebeheerbeleid.
Organisatorische maatregelen
Zorg ervoor dat er processen aanwezig zijn voor het authenticeren van externe identiteiten (bijvoorbeeld werknemers van een derde partij).
Zorg ervoor dat de verantwoordelijkheden rond het implementeren en onderhouden van verschillende authenticatiemiddelen goed gedefinieerd en bekend zijn.
Zorg voor een organisatiebreed wachtwoordbeleid.
Definieer authenticatie KPI’s, en monitor en review deze op geplande tijdstippen.
Voer regelmatig een audit uit die uw authenticatiebeheer controleert.
Technische maatregelen
Gebruik multifactor-authenticatie (MFA) en zet in op Single Sign On (SSO).
Zorg ervoor dat de beheerders van de authenticatiemiddelen bekwaam zijn en eventueel worden bijgeschoold.
Zorg dat er standaardprocedures en processen bestaan voor het aansluiten van de verschillende authenticatiemiddelen.
Het wordt aangeraden om gebruik te maken van tooling om authenticatie-beveiligingslogs te analyseren, of door te sturen naar SIEM-tooling.
Mensgerichte maatregelen
Sensibiliseer medewerkers en beheerders over het belang van een authenticatiebeheer door middel van bestaande documentatie.
Voer eventueel interne phishing-campagnes uit, om de bewustwording te vergroten.
Zorg ervoor dat in de on-boarding van nieuwe medewerkers, het belang van authenticatie benadrukt wordt.
5. Verklarende woordenlijst
Term | Verduidelijking | Link naar meer informatie |
|---|---|---|
electronic IDentification, Authentication and trust Services (eIDAS) | eIDAS staat voor electronic IDentification, Authentication and trust Services en is naast de gekende digitale sleutels een nieuwe aanmeldmethode om uzelf bij andere Europese landen te identificeren. | |
Single Sign On (SSO) | Met Single Sign On (SSO)-oplossingen kunnen gebruikers dezelfde inloggegevens gebruiken om in te loggen bij vele systemen en toepassingen. | |
Multifactor-authenticatie (MFA) | Multifactor-authenticatie is een elektronische authenticatie-methode waarbij gebruikers pas toegang krijgen tot een website of applicatie nadat gebruikers zich twee (of meer) keer geauthenticeerd hebben.  |
6. Referenties
Goede praktijken rond identiteit- en toegangsbeheer (CCB): CyberFundamentals Framework | CCB Safeonweb
Minimale IAM maatregelen Vlaamse Overheid: Vo_Informatieclassificatie_-_Minimale_maatregelen_-_IAM_xle0xg.pdf (vlaanderen.be)
Dit is een document voor publiek gebruik.