Verslag: Identity and Access Management als sleutel tot betere beveiliging in het Port Cyber Café

Ook gedoe? Nee hoor, IAM kan het je juist gemakkelijker maken en het gebruiksgemak van inloggen verhogen. Bijvoorbeeld met single sign-on (SS0), een authenticatietool die gebruikers met slechts één set inloggegevens en één SSO-applicatie veilig toegang tot meerdere applicaties en services kan geven.

Daarom beginnen we deze editie met een ‘crash course’ in IAM, en dat doen we met kersverse FERM-participant Schuberg Philis. Zij zijn Managed Service Provider, werken voor veel klanten in de haven, hebben net een gloednieuw kantoor in Rotterdam betrokken en zijn ook meteen lid geworden van FERM. Reden te meer voor Frank Breedijk, CISO bij Schuberg Philis én tevens als manager CSIRT collega van Chris bij het Dutch Institute for Vulnerability Disclosure, om bij ons aan tafel te gaan! We praten niet alleen over het belang van identiteitschecks, maar ook over het migratietraject daaromheen. Aansluitend gaan we in gesprek met Gerco Kanbier (security manager) en Diederik van Daal (programmamanager) over het programma ‘Samen veilig data delen’.

IAM of Identity Access Management is een raamwerk van beleid en technieken om ervoor te zorgen dat de juiste gebruikers de juiste rechten hebben, zo legt Frank uit. ‘Als je hebt het over IAM, dan heb je het eigenlijk over drie dingen: entiteiten, identiteiten en attributen. Allemaal zoals we hier aanwezig zijn, zijn we onze eigen entiteit. Ik ben Frank, jij bent Chris, en zo verder. Het heeft dus een één-op-één relatie, want ik ben niet iemand anders als ik hier straks weg ga, of wanneer ik ergens anders een presentatie geef. Maar, ik heb wel veel verschillende identiteiten’. Als voorbeelden geeft hij Frank van Schuberg Philis (in dienst daar), Frank van DIVD (vrijwilliger), Frank bij de scouting (kaderlid), en daarnaast ook Frank de consument, de vader, de opdrachtgever, et cetera. ‘Dat is dus niet één op één met een persoon verbonden.’

‘Daarnaast zijn er de attributen, de zaken die aan de identiteit hangen. Dingen die belangrijk zijn voor mijn identiteit. Ik ben vader, maar vader van wie? Attributen zijn eigenschappen van een identiteit. Denk onder meer aan e-mail, functie, dienstverband, afdeling en rollen; zaken die bepalen wat je mag en kan, bijvoorbeeld binnen een organisatie. Access management bepaalt vervolgens op basis van die attributen: wel of geen toegang verlenen.’

IAM is dus heel wat meer dan wachtwoordenbeleid alleen. Denk ook aan: niet meerdere gebruikers op 1 account (bijvoorbeeld info@ en admin@), het verwijderen van accounts als medewerkers uit dienst gaan, Role Based Access control (duidelijker aangeven vanuit welke hoedanigheid je waar toegang toe hebt), et cetera.

Portbase is “een neutraal platform met nationale dekking dat fungeert als stabiele basis voor operational excellence in de Nederlandse havens”, zo legt Diederik uit. Een nutsvoorziening zonder winstoogmerk, met aandeelhouders Port of Rotterdam (75 procent) en Port of Amsterdam (25 procent). Dat is de korte introductie.

Portbase is er van, voor en door de haven-community. Daarin is het programma Samen Veilig Data Delen een logisch verlengde, om samen met die community bij te dragen aan de realisatie van een veilige Rotterdamse haven. Dit lukt door een betrouwbare informatie-uitwisseling tot stand te brengen tussen de verschillende schakels in de logistieke containerketen. Met haar Port Community System (PCS) zorgt Portbase al bijna 20 jaar voor een soepele afhandeling in de Nederlandse havens, door de kernprocessen in deze havens te laten rusten op een vertrouwde en betrouwbare basisinfrastructuur voor het opslaan, ontsluiten en delen van data.

Het programma bestaat uit drie sporen: Veilige identiteiten, Veilige ketens en Veilig platform. ‘Veilige identiteiten’ draait om: weten met wie zaken gedaan wordt, en wie bepaalde handelingen uit mag voeren (inderdaad, de link met IAM, dus denk onder meer aan implementeren van MFA, periodieke validatie door hoofdbeheerders, verificatie van identiteiten en het aanscherpen van toelatingseisen tot het PCS). Veilige ketens gaat om een containervrijgaveproces op basis van machtigingen in plaats van het beschikken over de juiste ‘sleutel’ of pincodes, dus andermaal een rol voor IAM. Veilig platform tot slot betekent blijvend investeren in de digitale veiligheid van het PCS.

Niet alleen een logische link met IAM dus, maar ook met FERM! Kijk voor meer informatie over het programma op portbase.com/veilig-data-delen/.

Tot slot namen we aan het einde van de bijeenkomst afscheid van Peter van Loo van Deltalinqs, die jarenlang een spil was in onze bijeenkomsten, maar per oktober aan de slag gaat voor Rijkswaterstaat. Bedankt, Peter!

Bekijk bovenstaande video voor de volledige bijeenkomst.

In de periodieke FERM Port Cyber Cafés duiken we samen met experts uit het vak in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied. De volgende editie staat gepland voor donderdag 17 november, we houden je op de hoogte van de invulling van die bijeenkomst.

In de tussentijd: blijf alert. Installeer patches en let op phishing mails. En -voor alle bedrijven in de Rotterdamse haven- sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen en vragen kunt stellen aan de vertrouwde community om je heen. Dat blijkt in de praktijk erg nuttig te zijn voor bedrijven van klein naar groot, van mkb (zonder eigen IT) tot aan de grote multinationals. Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden.

En, voor MKB-ers (of grote bedrijven met kleinere partners in de keten): lees hier over onze actie rond de cyberscan van 1500 euro voor 250 met hulp van provincie Zuid-Holland!