Wachtwoorden zijn een belangrijk onderdeel van de gemeentelijke informatiebeveiliging. Door de Baseline Informatiebeveiliging Overheid (BIO), die sinds 1 januari geldt, zijn gemeenten verplicht een wachtwoordkluis voor medewerkers beschikbaar te stellen. Hoe doe je dit?
Gemeenten hanteren sinds 1 januari samen met de rijksoverheid, waterschappen en provincies één uniform normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). Deze BIO is een ‘update’ van de Baseline Informatiebeveiliging Gemeenten (BIG). Elke gemeente moet sinds 1 januari bezig zijn met het invoeren van de richtlijnen voor informatiebeveiliging, om eind 2020 aan de BIO te voldoen.
Wachtwoordeisen
In de BIO worden wachtwoordeisen benoemd. Hierdoor is het volgens de Informatiebeveiligingsdienst voor gemeenten (IBD) nodig dat nadere regels worden gesteld over wachtwoordbeleid en ondersteunende processen. Een van de BIO-eisen is: ‘Medewerkers worden ondersteund in het beheren van hun wachtwoorden door het beschikbaar stellen van een wachtwoordkluis.’
Daarom heeft de IBD de Handreiking Wachtwoordkluizen gepubliceerd. Deze geeft informatie over het omgaan met wachtwoordenkluizen in relatie tot het wachtwoordbeleid en de maatregelen in de BIO.
Goede wachtwoorden
Wachtwoordbeleid is geen overbodige luxe bij gemeenten. Bijvoorbeeld om te voorkomen dat er informatie op straat komt te liggen. Alle gebruikers van gemeentelijke informatiesystemen moeten goede wachtwoorden kiezen en zijn verantwoordelijk voor de geheimhouding ervan. En dat is best lastig volgens de IBD. Voor steeds meer diensten zijn verschillende wachtwoorden nodig. Daardoor worden wachtwoorden opgeschreven of opgeslagen op onveilige plaatsen. Of de medewerkers kiezen een wachtwoord dat steeds lijkt op het vorige wachtwoord of met een bepaald patroon, omdat het anders ondoenlijk wordt om te onthouden.
Wachtwoordkluis
Een wachtwoordkluis is een verzameling van alle opgeslagen accountgegevens, zoals gebruikersnaam en wachtwoord. Deze kluis is zelf ook weer beveiligd met een wachtwoord, dat doorgaans alleen bij de eigenaar ervan bekend is. De IBD wijst eerlijkheidshalve ook op het risico hiervan. Er is maar één wachtwoord nodig om bij alle andere te komen. ‘Echter het hergebruiken van wachtwoorden en het gebruiken van slechte wachtwoorden is vele malen slechter.’
Risico’s
De handreiking gaat onder meer in op de voordelen van wachtwoordkluizen en de verschillende soorten. Bijvoorbeeld standalone kluizen die als applicatie gebruikt kunnen worden of centraal beheerde kluizen. Ook wordt ingegaan op de risico’s en hoe je daarmee omgaat. Zoals het verliezen van het hoofdwachtwoord en aanvallen op de wachtwoordkluis.
Er zijn diverse eisen te stellen aan wachtwoordkluizen, die aan bod komen in de handreiking. Bij plannen om naar een gemeentebreed beheerde oplossing over te gaan, is het bijvoorbeeld belangrijk om te kijken naar importmogelijkheden vanuit eenvoudigere wachtwoordkluizen.
Acties
Als gemeente is het volgens de IBD het eenvoudigst om te starten met een standalone oplossing, die dan wel centraal als applicatie ‘gedistribueerd’ moet worden. Op die manier kunnen alle gemeentelijke gebruikers in een eigen profiel hun wachtwoorden opslaan en gebruiken. De handreiking biedt een stappenplan hoe je dit invoert in de gemeentelijke organisatie en een voorbeeld voor bijpassend ‘wachtwoordkluisbeleid’.
Geef een reactie