Handreiking 2-Factor authenticatie (2FA) voor gemeenten

Dit document geeft algemene aanwijzingen over het 2FA in relatie tot het logisch toegangsbeleid en de maatregelen in de BIO.

In de BIO staan diverse eisen die te maken hebben met toegangsbeveiliging in hoofdstuk 9. De gemeente dient hier aanvullend beleid voor te ontwikkelen, er is een handreiking beleid logische toegangsbeveiliging van de IBD die hier op ingaat. In paragraaf 9.4 en bij control 9.4.2 staat een maatregel die gericht is op het aanvullend beschermen van login procedures, met name als er vanuit een onvertrouwde zone toegang verleend moet worden op de ICT-systemen van de gemeente (de vertrouwde zone). Deze eis is al van toepassing vanaf BBN1 en zeker sinds het uitbreken van de coronacrisis werken veel gemeenteambtenaren vanuit thuis. Dit betekent dat gemeenteambtenaren inloggen vanaf een onvertrouwde zone op gemeentelijke systemen. Het risico bestaat dan dat indien er geen 2-factor authenticatie (hierna 2FA genoemd) gebruikt wordt om toegang te krijgen tot gemeentelijke systemen, de enige bescherming tot gemeentelijke systemen de gebruikersnaam in combinatie met het wachtwoord is. Hierdoor loopt de gemeente onnodig risico tot toegang door onbevoegden. Op het Darkweb circuleren met regelmaat lijsten met e-mailadressen en wachtwoorden die buitgemaakt zijn en die gebruikt kunnen worden om in te breken. Het misbruiken van een digitale identiteit om in te breken in systemen is de meest voorkomende vorm van aanvallen op webapplicaties. Daarnaast proberen hackers bij een ransomware aanval administrator accounts te misbruiken, als deze voorzien zijn van een 2e inlog factor dan wordt dit bemoeilijkt, zie ook paragraaf 2.3.

Zie ook de handreiking beleid logische toegangsbeveiliging van de IBD.

Op 8 april 2021 verzorgde Microsoft op verzoek van de IBD een webinar over 2-factorauthenticatie in Microsoft 365. In deze sessie werd vanuit het Zero-Trust model, de architectuur, conditinal access en MFA/2FA toegelicht. De theorie werd toegelicht, maar Microsoft liet ook zien hoe MFA kan worden ingericht in Azure Active Directory.  De presentatie van deze sessie is beschikbaar, alsmede de vragen die zowel vooraf als tijdens de bijeenkomst door deelnemers werden gesteld en de antwoorden op deze vragen:

Presentatie 2FA webinar
Vragen en antwoorden 2FA webinar