V-ICT-OR adviseert de steden en gemeenten om werk te maken van hun toegangsrechten tot (informatie)systemen. Dit betekent dat u de manier waarop toegangen tot systemen zijn georganiseerd onder controle en gedocumenteerd hebt.
Wij adviseren dit alvast te doen op:
We zien de afgelopen maanden een sterke toename van pogingen om gebruikersnamen en wachtwoorden te achterhalen en veel misbruik van bekende of zwakke gebruikersnaam/wachtwoordcombinaties.
Naast ons vorig advies rond 2FA/MFA zorgt de controle op de Toegangsrechten tot systemen voor de volgende stap naar een betere bescherming van de informatiesystemen.
Deze maatregel beschermt in hoge mate tegen misbruik van toegangsrechten, zoals het verschaffen van toegang tot systemen die niet voor specifieke medewerkers bestemd zijn. De maatregel zorgt ookvoor de controle en het sterker beheersen van de finaliteit en de proportionaliteit, in de wijze waarop toegangen tot systemen worden opgezet.
Volgens het dreigingsbeeld dat geschetst werd binnen overheden vormen de eindgebruikers - bewust of onbewust - een van de grootste dreigingen binnen het ICT-landschap. Om deze dreiging te verkleinen kunnen er een aantal maatregelen worden genomen op het gebied van 'logische gebruikerstoegang'.
Met betrekking tot deze 'logische' toegangen kan men voor de medewerkers alvast deze minimale maatregelen en aandachtspunten meenemen:
Beheerders hebben op hun beurt vaak speciale accounts met meer (extra) rechten. Met deze rechten kunnen zij bijvoorbeeld nieuwe gebruikers aanmaken, wijzigingen doorvoeren en rechten van gebruikers uitbreiden of beperken. Als er misbruik gemaakt kan worden van deze beheeraccounts zou men schade kunnen aanrichten of zichzelf toegang kunnen verschaffen tot (al dan niet gevoelige) persoonsgegevens.
Met name voor de authenticatie van eindgebruikers en beheerders is een goed 'wachtwoordbeleid' nuttig, neem zo’n beleid op in de richtlijnen naar alle eindgebruikers toe.
Wanneer bepaalde services gebruik maken van een account met speciale rechten, om deze taken te kunnen uitvoeren, creëert men een 'Machine account'. Deze voeren dan bepaalde geautomatiseerde taken uit (services), die net als een computerprogramma op de achtergrond de betreffende taken uitvoert. Een service is ook vatbaar voor misbruik en moet dus passend beschermd worden met minimaal de volgende maatregelen:
Indien nuttig adviseren wij u graag verder via security@v-ict-or.be