Vroeger was een gebruikersnaam en een wachtwoord voldoende om toegang te verkrijgen tot jouw IT netwerk, applicaties en data. We weten inmiddels echter dat dit allang niet meer afdoende is. Wachtwoorden zijn vaak simpel te kraken en gebruikers zijn slordig met wachtwoorden. Vandaar dat dit al sinds enige tijd wordt uitgebreid met tweefactorauthenticatie, waarbij je naast gebruikersnaam en wachtwoord een derde authenticatie moet meegeven tijdens het inloggen. Bijvoorbeeld een code via je Microsoft of Google Authenticator app of een bevestiging binnen een 2FA app. Dit is al stukken veiliger dan voorheen.
Moderne IT technologie biedt tegenwoordig meer mogelijkheden tot veilige toegang
Meer mogelijkheden
Echter, moderne IT technologie biedt tegenwoordig meer mogelijkheden tot veilige toegang. Waar het primair om gaat is dat je zeker wilt weten dat degene die inlogt ook daadwerkelijk deze persoon is. Met Microsoft Conditional Access (Voorwaardelijke Toegang) kun je dit uitbreiden door ook af te kunnen dwingen vanaf welk apparaat, vanaf welke locatie of onder welke condities iemand mag inloggen.
Ik zal een voorbeeld geven. Stel je voor dat je medewerkers allemaal veilige inlog-accounts gebruiken. Je hebt ze voorzien van moderne laptops die ook volledig zijn dichtgezet met de laatste veiligheidsmaatregelen en antivirusscanner. Ze hebben een voldoende lang en complex wachtwoord en verder zijn ze verplicht om 2FA te gebruiken. So far, so good zou je denken.
Maar wat als die medewerker met zijn account inlogt op je zakelijke netwerk vanaf de game-PC van de kinderen thuis? Een PC die niet is voorzien van de laatste Windows updates, geen actuele antivirusscanner heeft en misschien zelfs wel besmet is met spyware waarbij ingetoetste wachtwoorden worden gelogd of zelfs de inhoud van je scherm stiekem wordt gedeeld met cybercriminelen. Dat wil je simpelweg niet, dat een dergelijk onveilig apparaat wordt gebruikt voor toegang tot jouw bedrijfskritische data en applicaties.
Of wat te denken van medewerkers die allen netjes in Nederland wonen en werken en zelden tot nooit in het buitenland komen. Tot je IT beheerder in de logbestanden van je netwerk ineens ziet dat iemand uit China of zuid-Afrika probeert in te loggen met dat account. Dan weet je ook redelijk zeker dat dat niet jouw collega is.
Een derde voorbeeld: je medewerkers gebruiken allen een smartphone die privé in bezit is bij hen. Toch willen zij hun zakelijke e-mail of Microsoft Teams omgeving kunnen benaderen vanaf deze telefoon. Je kunt als werkgever geen centraal veiligheidsbeleid toepassen op deze telefoons, omdat ze simpelweg geen eigendom zijn van de organisatie. Maar je wilt wel een beetje controle houden. Je wilt bijvoorbeeld niet dat een e-mailbijlage met vertrouwelijke zakelijke gegevens kan worden opgeslagen op de privé-telefoon of op de Dropbox omgeving van de gebruiker. Of je wilt tenminste afdwingen dat de gebruiker gebruik maakt van de laatste Android of iOS versie op zijn of haar telefoon, om enige zekerheid te hebben dat er gebruik wordt gemaakt van een veilig besturingssysteem.
Microsoft Conditional Access
Al deze zaken kun je regelen en afdwingen met Microsoft Conditional Access. Zo weet je zeker dat je gebruikers alleen kunnen inloggen vanaf goedgekeurde apparaten (dus niet vanaf die game-PC van de kinderen), ze alleen kunnen inloggen vanuit bepaalde goedgekeurde geografische locaties (inlogpogingen uit bijvoorbeeld China worden dus standaard geblockt) of dat medewerkers weliswaar hun zakelijke e-mail kunnen lezen op hun privé-iPhone maar dat ze geen bijlages kunnen opslaan of informatie kunnen kopiëren en plakken op hun telefoon.
Zo weet je zeker dat je gebruikers alleen kunnen inloggen vanaf goedgekeurde apparaten
Om dit beleid af te dwingen heb je verschillende mogelijkheden. Je kunt bepaalde handelingen simpelweg blokkeren maar je kunt ook vereisen dat er een extra 2FA authenticatie dient plaats te vinden. Dit kun je eventueel ook inrichten voor specifieke medewerkers of afdelingen binnen jouw bedrijf. Je kunt dus verplichten dat medewerkers van de financiële administratie een extra authenticatie dienen te doorlopen, omdat zij met meer vertrouwelijke data werken.
Met Microsoft Conditional Access heb je dus een veel bredere mogelijkheid om je kostbare en bedrijfskritische gegevens te beschermen. Er wordt niet alleen meer gekeken naar wie probeert in te loggen (gebruikersnaam, wachtwoord, 2FA) maar ook vanaf welk apparaat deze inlogpoging komt, of dit apparaat wel voldoet aan de gestelde condities (moet bijvoorbeeld verplicht voorzien zijn van een actuele antivirusscanner en de laatste Windows updates of het mag zelfs alleen vanaf een door het bedrijf verstrekte laptop) en vanaf welke locatie iemand tracht in te loggen. Verder beschikt Conditional Access over een uitgebreide vorm van kunstmatige intelligentie, waarbij op basis van veel verschillende factoren wordt ingeschat of een inlogpoging valide is of niet.
In de praktijk bij Freez.it
Bij Freez.it passen we deze techniek zelf ook al geruime tijd toe. Medewerkers van Freez.it dienen gebruik te maken van een goedgekeurde maximaal beveiligde Freez.it laptop, kunnen geen zakelijke gegevens vanuit Teams of Outlook op hun telefoon naar privé kopiëren en kunnen standaard alleen inloggen vanaf bekende west-Europese locaties. Iets waar ik zelf als reizer nog wel eens tegenaan loop, als ik ergens op de wereld zit (zoals momenteel in Mexico). 😉 Maar: better safe than sorry.
Mocht je meer willen weten of Conditional Access voor jouw organisatie of je hebt interesse? Stuur dan even een berichtje naar advies@freez.it. We helpen je graag verder.
Wouter Jorritsma
