Wie heeft er eigenlijk toegang?

Niet-medewerker en niet-menselijke identiteiten in uw IT-infrastructuur 

door Steven van der Linden

 

Zoals de meeste organisaties heb je het identiteitenbeheer voor jouw medewerkers redelijk op orde. Nieuwe medewerkers krijgen na hun indiensttreding een account en die wordt na de laatste werkdag ook weer netjes afgesloten. Maar deze medewerker-accounts zijn maar een klein deel van alle identiteiten en accounts die in jouw informatielandschap leven.  

 

In jouw IT-landschap huizen een veelvoud aan andere identiteiten en accounts die vaak minder zichtbaar zijn. Omdat deze niet zo goed beheerd en bewaakt worden zijn ze aantrekkelijk voor kwaadwillende figuren.   

 

Niet-medewerker-accounts 

Naast de medewerkers zijn er nog heel veel andere personen die toegang krijgen tot jouw IT-infrastructuur. Deze personen worden niet (altijd) vastgelegd in de personeelsadministratie. Ze vallen daarmee vaak buiten de ingerichte aanmaak-, beheer- en intrek-werkstromen.  

 

Belangrijke groepen zijn: 



Daarnaast zijn er nog allerlei ‘kleinere’ groepen personen die toegang krijgen. 

 

Voor sommige van deze groepen is er een administratie aanwezig en soms zijn er voor die groepen uitgewerkte beheer- en controleprocedures. Maar vaak ook niet. 

 

Niet-menselijke-accounts 

Dit zijn de accounts die niet rechtstreeks aan een persoon zijn toe te wijzen. Daarvan bestaan ook allerlei typen, waaronder: 



Waar kan dit toe leiden? 

De marktanalisten en goeroes als ‘MR NHI’ (Lalit Choda | LinkedIn) stellen dat het aantal ‘niet-medewerker-identiteiten’ een factor 20 tot 50 keer hoger ligt als het aantal ‘medewerker-identiteiten’. Dus in een organisatie met 1000 medewerker kunnen er tot 50.000 van deze identiteiten aanwezig zijn! 

Sommige van deze worden min of meer beheerd, maar voor velen geldt dat: 

  1. de organisatie niet weet dat ze bestaan; 
  2. er geen eigenaren, of verantwoordelijken, voor deze identiteiten bekend zijn; 
  3. er geen duidelijk en betrouwbare vastlegging van deze identiteiten is. 

 

De risico’s zijn evident. Kwaadwillende actoren maken er graag hiervan gebruik. Omdat deze identiteiten zo onzichtbaar zijn wordt misbruik ervan ook niet, of veel te laat, ontdekt. 

 

Het is niet alleen kwade wil waar je je zorgen om moet maken. Er zijn meerdere gevallen bekend van losgeslagen ai-agents die in hun onschuld grote stukken data hebben gemutileerd. Er gaat zelfs een anekdote rond van een van dergelijke agents die, nadat deze cruciale bedrijfsdata had verminkt, doodleuk antwoordde op de vraag “Waarom heb je dat gedaan?” met “Ik raakte in paniek.”  

 

Dan komt ook nog de externe auditor vragen welke accounts er allemaal verwerkingen kunnen uitvoeren op jouw risicovolle data. En ook auditors weten inmiddels dat ze verder moeten vragen dan alleen naar de personen toegang hebben. 

Dus wat nu? 

De belangrijkste stap is al gezet, door dit artikel tot zover te lezen ben je bewust geworden van dit vraagstuk. Het maakt je niet vrolijker, maar wel alerter. Maar hoe dit aan te pakken?

 



Begin met het in kaart brengen van deze identiteiten. Welke zijn er in mijn organisatie. Een eerste brainstrom met de juiste personen – de senior beheerders en systeemeigenaren – zal al een groot deel hiervan naar voren brengen. 
 

Dit is een goede eerste stap, maar daarmee vind je niet alles. Later in het traject, als de ‘usual suspects’ zijn aangepakt kan er, door monitoring van accountgebruik, actief onderzoek en tooling, op zoek gegaan worden naar de beter verstopte accounts. Maar begin hier niet mee, haal eerst de duidelijke bomen uit het bos zodat deze verstopte accounts makkelijker gevonden worden. 

 



De volgende stap is om deze identiteiten in klassen in te delen. Hierboven zijn al een aantal klassen genoemd, gasten, service-accounts, ai-agents, … Vaak kunnen deze opgedeeld worden in kleinere subklassen. Bepaal voor elke klasse de contouren: wanneer hoort een identiteit erbij, hoeveel zijn het er ongeveer (dit kan ‘onbekend’ zijn), waarvoor en waar in de organisatie worden ze gebruikt. 

 



Op basis van deze classificatie kan er per klasse een inschatting worden gemaakt hoeveel risico de organisatie loopt ten aanzien van deze identiteiten. Dat heeft te maken met aantal, de rechten die die identiteiten hebben en de mate van inzicht en controle die er reeds aanwezig is.  

 

Stel op basis van deze inschatting een volgorde van aanpak op. Het is namelijk ondoenlijk om alles in een keer aan te pakken. Dit soort opschoningsprojecten hebben een veel grotere kans van slagen als ze in hapklare brokken worden verdeeld. 

 

Als de volgorde van aanpak is bepaald kunnen klasse voor klasse de volgende stappen worden gezet: 



Bepaal voor de identiteiten die in de klasse vallen de regels en richtlijnen:  

  • WIE: wie mag zo’n identiteit aanvragen, wie mag hem gebruiken, wie moet het gebruik goedkeuren? En zeker: wie controleert het gebruik? 
  • WAT: wat mag er met zo’n identiteit gedaan worden? Welke rechten worden eraan gekoppeld en vooral ook: wat mag niet
  • WAAR: in welke omgevingen mogen de identiteiten gebruikt worden, mag het vanuit de hele wereld, of alleen vanaf specifieke werkplekken, op specifieke momenten? 
  • WAAROM: wat is de reden van bestaan van dergelijke identiteiten, waarom heeft de organisatie ze nodig? 


Eigenlijk is dit een onderdeel van de vorige stap, maar omdat dit waarschijnlijk het allergrootste probleem is verdiend het een eigen plek in de aanpak. Elke identiteit heeft een verantwoordelijke – verantwoordelijk voor het juist gebruik van dat ene account - en elke identiteitsklasse een eigenaar – verantwoordelijk voor het juist gebruik van alle in de klasse horende identiteiten. Voor persoonlijke identiteiten is de eerste verantwoordelijkheid meestal wel duidelijk, de persoon zelf. Dat is voor niet persoonlijke identiteiten vaak al lastiger.  

 

De eigenaar per klasse is meestal nog moeilijker aan te wijzen. Wie is verantwoordelijk voor de juiste inzet en het juiste gebruik alle leveranciersaccounts? Wie bepaalt hoe het ‘on boardingsproces’ voor ai-agents eruit moet zien? 

 

Uiteindelijk is natuurlijk de voorzitter van de Raad van Bestuur eindverantwoordelijk, maar het is wijsheid om deze rollen daar te beleggen waar ook inhoudelijk begrip ligt. 

 



Elke klasse verdient een plek waar de basisgegevens van de identiteiten wordt vastgelegd. Voor de medewerkers is dat (meestal) de personeelsadministratie, maar voor de andere klassen ligt dit vaak op een andere plek in de organisatie, of waarschijnlijker nog, op geen plek. 

 

Bepaal voor de klasse waar het geadministreerd wordt en wat er (minimaal) geadministreerd moet worden. Neem daarin ook gelijk mee wie dat gaat bijhouden en hoe ervoor wordt gezorgd dat het klopt en blijft kloppen. 

 

Zodra deze zaken duidelijk zijn en een vorm van inrichting hebben is het tijd om te zorgen dat het bestendigd wordt. 



Richt monitoring in voor de identiteiten die moeilijk te controleren te zijn. Een persoonlijk account welke in drie milliseconden in twaalf doelsystemen informatie opvraagt is hoogstwaarschijnlijk een ai-agent zijn. Raar gedrag van een API kan worden gemonitord via Oauth-reviews en onwenselijk gedrag van externe accounts kan door goede identitity- & accessmonitoring worden opgemerkt. 

 



Een van de beste manieren om mensen betrokken te maken en te houden is om hen te voorzien van, voor hun relevante, informatie. Rapporteren is een kunst, zomaar een lijst met data naar een leidinggevende sturen zonder dat deze kan begrijpen wat de toegevoegde waarde ervan is werkt averechts.  

 

Het is van belang de eigenaren van de identiteiten te voorzien van informatie die hun verantwoordelijkheid raken. Dit kan op gebied van informatieveiligheid: ‘kijk, dit zijn alle mensen van dit bedrijf en daarbuiten, die bij jouw gevoelige informatie kunnen … klopt dat?’ of ‘kijk eens, 40 externe anonieme beheeraccounts, die allemaal toegang hebben tot jouw systeem, 7 dagen per week, 24 uur per dag … wat doen die eigenlijk?’ 

 

Maar ook op gebied van financiën: ‘deze mensen hebben allemaal een licentie voor dat dure pakket … en deze 35% heeft er de laatste drie maanden geen gebruik van gemaakt … wil je dat nog blijven betalen voor ze?’ 

 

Door goed en gericht te rapporteren creëer je besef bij de eigenaren en verantwoordelijken dat ze een verantwoordelijkheid hebben. 

 



Maar dit alles werkt alleen als de organisatie, en met name de betrokken functionarissen zich bewust zijn van welke identiteiten er allemaal in de organisatie leven en wat de schade kan zijn als deze identiteiten expres of per ongeluk kwaadaardig gedrag gaan vertonen. 

 

Het gebeurt maar al te vaak dat er even bewustzijn is als bij een grote speler iets zodanig is misgegaan dat het in het nieuws komt. Maar niet lang daarna sukkelen we weer in slaap met de geruststellende droom ‘dat gaat ons niet gebeuren’. 

 

Helaas moet ik je wakker maken, het gaat niet gebeuren, het is waarschijnlijk al gebeurt!  

 

Onder de duizenden accounts in jouw omgeving die niet onder controle zijn, zijn er een aantal die dingen doen die je niet wilt. Het is essentieel dat elke organisatie stappen gaat zetten om de effecten van deze risico’s te verkleinen, want helemaal uitdammen gaat nimmer lukken. 

 

 

 

Maak je je nu zorgen of wil je meer weten? Neem dan contact met ons op.