_Uitdaging

Een veiliger, inzichtelijk wachtwoordbeheer

Om te voldoen aan de BIO (Baseline Informatiebeveiliging Overheid) en voorbereid te zijn op NIS2, moest de Omgevingsdienst zorgen voor goed wachtwoordbeheer en duidelijke richtlijnen voor medewerkers. Maar centraal wachtwoordbeheer ontbrak: medewerkers gebruikten hun eigen oplossingen, van browserwachtwoordmanagers tot matige of lastig te beheren tools.

“De meeste mensen maakten gebruik van de wachtwoordmanagers van Chrome, Edge en iPhone,” vertelt Harald Inen, ICT-adviseur bij de Omgevingsdienst. “Hoewel deze oplossingen wel gebruiksvriendelijk zijn, misten we een centrale oplossing die ook inzicht bood in het gebruik.”

Er speelde ook een ander groot risico: hergebruik van wachtwoorden. “We weten dat wachtwoorden herhaald worden. Wachtwoorden die je gebruikt om in Windows in te loggen, worden ook weer buiten de deur gebruikt.” Dit leidde tot te grote risico’s voor de organisatie, zegt Harald.

‍

_Aanpak

Van IT naar de rest van de organisatie

De organisatie onderzocht de markt en koos uiteindelijk voor MindYourPass vanwege de unieke aanpak: geen traditionele “wachtwoordkluis” die zelf een aantrekkelijk doelwit vormt, maar een techniek die wachtwoorden dynamisch genereert en daardoor niet centraal opslaat. Ook speelde mee dat MindYourPass een Nederlandse partij is, met korte lijnen en goed contact.

Voor de implementatie werd eerst een nulmeting gedaan. Door inlog gedrag te meten werd in kaart gebracht welke sites wachtwoorden vroegen, hoe vaak wachtwoorden werden hergebruikt en waar de grootste risico’s zaten. Dit leverde waardevol inzicht op en gaf een startpunt voor gesprekken over beleid en bewustwording.

De uitrol zelf kende een leerproces. Aanvankelijk begon men met de IT-afdeling. “Dat moet je niet doen,” lacht Harald. “IT gebruikt een wachtwoordmanager op een andere manier dan de rest van de organisatie. Je pakt nu het meest complexe, ingewikkelde stuk op.”

Daarom werd de aanpak aangepast: kleine teams van 15-30 mensen die gemotiveerd zijn om het te gebruiken. Die worden intensief begeleid en opgeleid - waarna zij vervolgens de rest van de organisatie kunnen motiveren en aansturen.

‍

_Resultaat

Grip en inzicht

Dankzij deze gefaseerde aanpak krijgt de Omgevingsdienst Noordzeekanaalgebied steeds meer grip op haar wachtwoordlandschap. Er is nu beter inzicht in het applicatielandschap en in accounts die buiten Single Sign-On vallen.

“Behalve dat het een wachtwoordmanager is, biedt het ook een prettige functionaliteit om nog meer inzicht te krijgen in de veiligheid van je omgeving,” legt Harald uit. “En dat is geld waard.”

De tool ondersteunt het wachtwoordbeleid van de organisatie door afdwingbare eisen mogelijk te maken, zoals het niet hergebruiken van wachtwoorden. Inmiddels zijn 50-60 mensen met MindYourPass aan de slag en groeit het gebruik langzaam verder.

‍

_Reflectie

Bouwen aan een veiligere organisatie

De uitrol bracht waardevolle lessen. De eerste groep (IT) bleek geen logische pilotgroep vanwege hun technische behoeften en kritische houding. Ook blijkt adoptie in het algemeen uitdagend, vooral omdat browserwachtwoordmanagers veel eenvoudiger lijken. Daarom zet de organisatie nu in op betere voorlichting en visuelere communicatie, en worden uitzonderingen op het beleid zorgvuldig gemotiveerd en vastgelegd.

De samenwerking met MindYourPass wordt positief ervaren: het team is betrokken, denkt mee en de techniek sluit goed aan bij de strategie om wachtwoorden niet centraal op te slaan. De oplossing helpt niet alleen om aan de BIO-eisen te voldoen, maar vooral om risico’s te beheersen in een steeds complexere digitale omgeving. Zo bouwt de Omgevingsdienst Noordzeegebied stap voor stap aan een veiliger organisatie.

‍