Security Architect Peter Rietveld: ‘IAM is de nieuwe frontlinie van security’

Cyberbeveiliging mag dan steeds beter worden, hetzelfde geldt voor de aanvalsmethoden van hackers. Security Architect Peter Rietveld van Traxion ziet dat deze steeds vaker via de ‘voordeur’ binnenkomen. “We moeten op een andere manier met Identity & Access Management (IAM) omgaan.”

Cybercrime kost onze economie jaarlijks 10 miljard euro. Met name de publieke sector, banken, nutsvoorzieningen en techbedrijven lopen gevaar om slachtoffer van hacking te worden. Cyberbeveiliging mag dan steeds beter worden, hetzelfde geldt voor de aanvalsmethoden van hackers. Security Architect Peter Rietveld van Traxion ziet dat hackers steeds vaker via de ‘voordeur’ binnenkomen. “Door de inspanningen van cybersecurity zijn achterdeuren, zoals servers en netwerken, lastiger binnen te dringen. Toegangssystemen zijn nu de zwakste schakel. Dat betekent dat we op een andere manier met Identity & Access Management (IAM) moeten omgaan.”

IAM
Identity & Access Management (IAM) is een term die geregeld opduikt in IT-land. Het staat voor identiteit- en toegangsbeheer en draait om het toegang geven van de juiste individuen tot de juiste bronnen, op het juiste moment en om de juiste redenen. Een goede implementatie van IAM zorgt ervoor dat een gebruiker overal met dezelfde identiteit bij zijn bronnen kan. In de praktijk worden er bij IAM gebruikersaccounts voor verschillende applicaties, data en systemen automatisch aangemaakt, geüpdatet en verwijderd. Erg belangrijk, aangezien de eisen aan compliance steeds strenger worden. Bovendien is IAM essentieel om AVG-compliant te blijven nu clouddiensten, BYOD-programma's, mobiel werken en collaboration zo in opkomst zijn.

Cybercrime is big business. Zowel bedrijven als overheden hebben in toenemende mate te maken met aanvallen van buitenaf, die systemen platleggen en ervoor zorgen dat gevoelige data op straat komt te liggen. Hoewel sommige incidenten breed worden uitgemeten in de media - denk aan het Yahoo-hack uit 2013 waarbij miljarden persoonsgegevens uitlekten - blijft het gros onder de radar. “Onterecht, want dit soort aanvallen veroorzaakt minstens zoveel schade. Kassasystemen van winkels en horeca zijn geregeld doelwit – en dan gaat het om harde pegels in plaats van de abstracte schade door gegevensverlies”, vertelt security-expert Peter Rietveld.

Uit het recente Verizon DBIR-rapport blijkt dat in 81 procent van de daadwerkelijke ‘breaches’ sprake is van gekaapte accounts. “Hackers hebben door dat de beveiliging van toegangssystemen lang nog niet zo goed is als die van de ‘achterdeur’, die de afgelopen jaren vakkundig is dichtgetimmerd door cybersecurity. Identity & Access Management - de andere tak van sport wat security betreft - bleef lange tijd achter. Van oudsher wordt het toch vooral gezien als commodity, het toegang geven van medewerkers tot de juiste mappen, bestanden en applicaties. Maar inmiddels is IAM de frontlinie van security. IAM-systemen, en dan vooral de provisioningsystemen zelf, zijn echter zelden bestand tegen hackers.”

Cultuurverandering
Binnen organisaties moet het besef komen dat IAM essentieel is om hackers buiten de deur te houden. Er is een cultuurverandering nodig, vindt Rietveld. “Veel privileged gebruikers - beheerders en developers - die zich met IAM bezighouden, zien zichzelf niet als security-professionals. Terwijl ze door hun rol en autorisaties een aantrekkelijk doelwit voor hackers zijn. Een aanvaller kan zich via social engineering voordoen als iemand anders en zo toegang tot systemen krijgen. Vaak gaat dat via de privé-accounts van de beheerder of zijn familie. IAM-professionals moeten beseffen dat ze niet alleen service moeten verlenen, maar ook hoofdverantwoordelijk zijn voor de beveiliging van bedrijfsdata.”

Naast die cultuurverandering moeten organisaties volgens Rietveld ook aandacht besteden aan ‘cyber resilience’. “Bedrijven moeten weten hoe te handelen tijdens een inbraak of cyberaanval. Naast maatregelen om aanvallen te detecteren en tegenhouden, moeten er herstelplannen liggen voor het geval het toch mis gaat. Wordt een hack pas laat ontdekt, dan kun je ervan uitgaan dat inloggegevens zijn buitgemaakt. Dan moeten direct certificaten, gebruikersnamen en wachtwoorden (ook van applicaties en API’s) voor de hele organisatie veranderd worden. Een ingrijpende stap, maar wel eentje die zekerheid biedt.”

Rietveld heeft een achtergrond bij Defensie en de overheid, en werkte in het verleden ook in de luchtvaartsector. “Daar is het heel vanzelfsprekend om te simuleren en oefenen met beveiliging. Gelukkig begint het inzicht te komen dat ook IT-systemen getest moeten worden.” Daarvoor worden doorgaans voorbeelden uit de praktijk genomen, zoals het gigantische datalek bij het Amerikaanse kredietbureau Equifax. In september 2017 meldde het bedrijf dat de persoonsgegevens van 143 miljoen Amerikanen waren buitgemaakt bij een hack. In de maanden daarop bleken nog eens 5 miljoen gegevens op straat te liggen.

“We pakken hacks die zijn gepubliceerd en waarbij de volledige aanval bekend is. Dus van de werkwijze van de hackers tot de respons van de organisatie en de communicatie richting de pers. Door een simulatie op de eigen organisatie te projecteren, leer je ontzettend veel. In acht van de tien gevallen volgt een aanval hetzelfde patroon. Met dat inzicht kun je je goed voorbereiden en weet je hoe je moet reageren als het een keer echt misgaat. Leren van andermans fouten is een stuk goedkoper.”

Fusieperikelen
Sinds medio 2015 is Rietveld via Traxion gedetacheerd bij Ahold Delhaize. Als domeinarchitect is hij betrokken bij de samenvoeging van de IT-infrastructuur van het gefuseerde retailconcern, dat onder meer supermarkten exploiteert in Europa, de Verenigde Staten en Indonesië. “In totaal werk ik met 6.500 winkels, meer dan 3.000 applicaties en 470.000 gebruikers. Die gebruikers moeten allemaal de juiste rechten en rollen krijgen, zodat ze bij de systemen kunnen die ze nodig hebben voor hun werk. Een monsterklus, waarbij een grote focus ligt op security.”

Omdat Ahold en Delhaize zo groot zijn, heeft Rietveld te maken met talloze (dubbele) processen en systemen die samengevoegd moeten worden. “Het helpt dat de organisatie zo daadkrachtig is; voor de meeste initiatieven krijg ik snel groen licht. Bovendien is met name Ahold ver op IT-gebied; IAM werd daar al vroeg ingevoerd.”

Naast het fuseren van talloze infrastructuren op accessgebied, werkt Rietveld bij Ahold Delhaize aan een volledige overstap naar de cloud. Over een jaar of twee moeten de eigen fysieke datacenters van het concern volledig zijn afgestoten. Een belangrijke reden voor de overstap naar de cloud is kostenbesparing. “In de retailbranche draait alles om marge. We grappen wel eens op de afdeling over de hoeveelheid pakjes boter die verkocht moet worden om een bepaalde tool of applicatie te bekostigen.”

Daarnaast biedt de cloud het retailconcern de flexibiliteit om geautomatiseerd en stapsgewijs verbeteringen aan systemen door te voeren volgens het DevOps gedachtengoed. “Een verandering aan het besturingssysteem staat bijvoorbeeld los van een verandering aan een applicatie. De impact van kleine aanpassingen is daardoor lager. In het geval dat er fouten optreden, kunnen we die terugdraaien zonder dat er storingen optreden. Voor supermarkten is het immers catastrofaal als een kassa- of voorraadsysteem opeens uitvalt. Bij een uitval zijn binnen een paar uur zijn de schappen leeg. Dat zal natuurlijk geen klant accepteren.”

Tekst: Gijs Ettes
Beeld: Lars van den Brink

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.