Weer volop in het nieuws; back-up’s niet op orde, duizenden onbeheerde websites, honderden organisaties waar ergens een achterdeur wagenwijd openstaat en dan natuurlijk de nodige “kleine” ongevalletjes met bijlages waar persoonlijke gegevens in staan. Het wachten is op de volgende ramp. Kunnen we hier nou echt niets aan doen?
U kunt het zelf nalezen. In iBestuur 29 Februari, duizenden, in de vergetelheid geraakte en dus onbeheerde gemeentelijke websites. In Jaarbeeld Ransomware 2023 van de Digitale Overheid waar uitgebreid gerapporteerd wordt over de redenen van ransomware incidenten en het vaak ontbreken van een (geteste) back-up strategie. Of in een BNR onderzoek dat gepubliceerd werd op 4 Maart over tientallen organisaties waar, door het niet navolgen van allerlei procedures, op cloud-servers allerlei achterdeurtjes openstaan. Je zou er slapeloze nachten van krijgen.
Cybercriminelen
Eén ding is zeker, bijna geen enkele IT-afdeling is opgewassen tegen een criminele organisatie die miljoenen tot hun beschikking hebben om hele slimme IT’ers hele vervelende dingen te laten doen. Het is een businessmodel en dat wordt heel zakelijk aangepakt. Helaas geldt voor veel IT’ers niet het spreekwoord “wie niet sterk is moet slim zijn”, maar “wie niet sterk is moet eigenwijs zijn”. Nog steeds zijn er mensen die denken dat zij zelf de een cybercriminelen wel kunnen tegenhouden. Maar er zijn simpelweg te veel afhankelijkheden waardoor het keer op keer spaak loopt.
Een tijdelijke userid/wachtwoord combinatie van een ontwikkelaar wordt “even” gebruikt om te testen en voor je het weet eindigt deze onopgemerkt in de productie omgeving. Om in te grijpen bij een kritiek productieprobleem moet een ontwikkelaar even hogere security rechten krijgen. API’s communiceren allemaal met een bestaande gebruikers-ID in plaats van specifiek voor dat doel aangemaakte credentials. Met duizenden handelingen per dag en honderden gebruikers die nooit achterdochtig genoeg zijn kan het simpelweg niet altijd goed gaan. In veel gevallen laat iemand wel eens een steekje vallen waar een cybercrimineel heel snel misbruik van kan maken.
Eén aanspreekpunt
Als iemand aan u vraagt hoe uw Access & Identity Management gaat u vast niet bij iedere applicatieleverancier langs om dat na te vragen. Als uw accountants u vragen of uw back-up & restore procedures aan strikte eisen voldoen heeft u daar hopelijk één aanspreekpunt voor. En dat geldt voor steeds meer disciplines.
Waar nu bijvoorbeeld het beheer van API’s nog vaak bij de verschillende applicatieleveranciers neergelegd wordt zien we steeds vaker dat integraties (of digitale koppelingen) van vitaal belang zijn voor organisaties. En als je je dan bedenkt dat gemeenten gemiddeld gebruik maken van 100 applicaties van 71 verschillende leveranciers (M&I Benchmark voor Gemeenten), dan wil je de verantwoordelijkheid voor de veiligheid, stabiliteit en beschikbaarheid van al die API’s niet bij die 71 leveranciers neerleggen. En dat hoeft ook niet. Steeds vaker worden integraties als SaaS dienst afgenomen en dat zorgt er voor dat er van al die zorgen over onbeheerde servers, achtergebleven wachtwoorden en open achterdeurtjes in ieder geval weer één probleem minder is om je zorgen over te maken.
Blogger: Marcel den Hartog – Trend & Innovations Expert EnableU.