Inloggen Geen profiel? Registreer hier.

V-ICT-OR advies: Beheer uw Toegangsrechten

08/04/2021

V-ICT-OR adviseert de steden en gemeenten om werk te maken van hun toegangsrechten tot (informatie)systemen. Dit betekent dat u de manier waarop toegangen tot systemen zijn georganiseerd onder controle en gedocumenteerd hebt.

Wij adviseren dit alvast te doen op:

  • Accounts van medewerkers
  • Beheerdersaccounts (intern en extern)
  • Machine-accounts

Waarom nu dit advies?

We zien de afgelopen maanden een sterke toename van pogingen om gebruikersnamen en wachtwoorden te achterhalen en veel misbruik van bekende of zwakke gebruikersnaam/wachtwoordcombinaties.

Naast ons vorig advies rond 2FA/MFA zorgt de controle op de Toegangsrechten tot systemen voor de volgende stap naar een betere bescherming van de informatiesystemen.

Deze maatregel beschermt in hoge mate tegen misbruik van toegangsrechten, zoals het verschaffen van toegang tot systemen die niet voor specifieke medewerkers bestemd zijn. De maatregel zorgt ookvoor de controle en het sterker beheersen van de finaliteit en de proportionaliteit, in de wijze waarop toegangen tot systemen worden opgezet.

Volgens het dreigingsbeeld dat geschetst werd binnen overheden vormen de eindgebruikers - bewust of onbewust - een van de grootste dreigingen binnen het ICT-landschap. Om deze dreiging te verkleinen kunnen er een aantal maatregelen worden genomen op het gebied van 'logische gebruikerstoegang'.

Met betrekking tot deze 'logische' toegangen kan men voor de medewerkers alvast deze minimale maatregelen en aandachtspunten meenemen:

  • Gebruik enkel unieke, naar personen/individuen herleidbare accounts (wie is wie)
  • Ken alleen de noodzakelijke rechten toe per rol/account (finaliteit/proportionaliteit).
  • Zorg dat het wachtwoord regelmatig moet worden gewijzigd (blijvende toegangen vermijden)
  • Zorg ervoor dat het wachtwoord pas na 6 andere wachtwoorden weer mag worden gebruikt (ontmoedig hergebruik)
  • Dat op reguliere basis de accounts en bijbehorende rechten worden gecontroleerd (nog nodig?)

Beheerders hebben op hun beurt vaak speciale accounts met meer (extra) rechten. Met deze rechten kunnen zij bijvoorbeeld nieuwe gebruikers aanmaken, wijzigingen doorvoeren en rechten van gebruikers uitbreiden of beperken. Als er misbruik gemaakt kan worden van deze beheeraccounts zou men schade kunnen aanrichten of zichzelf toegang kunnen verschaffen tot (al dan niet gevoelige) persoonsgegevens.

  • Beheerdersaccounts worden enkel voor specifieke beheertaken gebruikt.
  • In ieder geval moet de toegang tot beheerdersaccounts worden beschermd met behulp van tweefactorauthenticatie en mogen deze niet meer rechten hebben dan strikt noodzakelijk.
  • Desnoods kan je diverse rechten opsplitsen in meerdere beheerdersaccounts, zodat de toegang tot één zo’n account de rechten vooralsnog beperkt.

Met name voor de authenticatie van eindgebruikers en beheerders is een goed 'wachtwoordbeleid' nuttig, neem zo’n beleid op in de richtlijnen naar alle eindgebruikers toe.

Wanneer bepaalde services gebruik maken van een account met speciale rechten, om deze taken te kunnen uitvoeren, creëert men een 'Machine account'. Deze voeren dan bepaalde geautomatiseerde taken uit (services), die net als een computerprogramma op de achtergrond de betreffende taken uitvoert. Een service is ook vatbaar voor misbruik en moet dus passend beschermd worden met minimaal de volgende maatregelen:

  • Iedere service gebruikt een eigen, uniek account
  • Het account beschikt over minimale rechten voor het uitvoeren van de taak (en enkel die taak)
  • De accounts en bijbehorende rechten worden regelmatig geëvalueerd (nog vereist?)

Meer informatie:

Indien nuttig adviseren wij u graag verder via security@v-ict-or.be