Stelling: Jouw online identiteit bepaald wat je mag en kan online.
Online versus offline
Net als in het echte leven heb je ook online maar één identiteit. Deze kan bestaan uit verschillende accounts en mailadressen maar die zijn allen terug te leiden naar jou als persoon. Doordat deze online verificatie een steeds grotere rol speelt vervaagt de grens tussen privé en zakelijk steeds meer. Die online persoonlijkheid ben je namelijk op Facebook en LinkedIn maar ook op Bol, in Mijn Overheid, op Sharepoint, in Teams etc. “Onbewust maken we al veel vaker (automatisch) gebruik van onze online identiteit.” vertelt Ivan Peeters. De digitalisering en werken op afstand veranderen de work-life balance. Werk en privé lopen steeds meer door elkaar heen en online zet deze trend zich voort. Daardoor wordt online identiteit steeds belangrijker.
JOUW ONLINE IDENTITEIT = EEN SOCIALE IDENTITEIT DIE JE GEBRUIKT IN ONLINE GEMEENSCHAPPEN EN OP WEBSITES.
“Online identiteit is ons hoofd nog vaak een zelf gecreëerde identiteit waarbij mensen er al dan niet voor kiezen hun eigen naam te gebruiken. We zien echter al vaak dat dit niet voor online diensten niet meer geldt. Neem DigiD, hun voornaamste taak is voor de Nederlandse overheden iemands online identiteit te verifiëren en de zekerheid te geven dat jij bent wie je zegt dat je bent.”
Traditioneel werden werk- en privé strikt gescheiden gehouden maar we zien dat deze twee werelden steeds meer verweven raken. Werk is een deel van ons leven en imago en onze kennis is in beide werelden van toepassing. Je online identiteit is, zowel privé als zakelijk, van belang om toegang te krijgen tot de juiste data zoals een paspoort dat doet bij de douanepost. Jouw online identiteit bepaald dus wat je wel en niet mag in online (werk)omgevingen.
Hoe stel je een online identiteit vast?
Om een online identiteit vast te kunnen stellen maken we al lang gebruik van accounts en wachtwoorden. Met het groeien van de hoeveelheid online data is alleen het gebruik van een wachtwoord en gebruikersnaam vaak niet meer genoeg. Om toegang tot accounts en gegevens verder te beveiligen is het noodzakelijk om een tweede check te doen bijv. met een Authenticator. Deze Multi Factor Identication (MFA) wordt nog te vaak door bedrijven afgedaan als een onnodige beveiliging terwijl we zien dat het een noodzakelijke basis is om data veilig te houden. Je kunt tenslotte niet met eigen ogen zien of iemand echt wel Henk de Vries is en daar maken cybercriminelen graag gebruik van. Met behulp van MFA kun je aantonen dat je bent wie je zegt dat je bent: authenticatie. Aan de hand van die authenticatie worden je rechten bepaald en zo heb je enkel toegang tot jouw persoonlijke data en benodige informatie.
“HET APPARAAT ZORGT ERVOOR DAT JE DATA VEILIG BENADERT, JOUW IDENTITEIT BEPAALD OF JE DEZE DATA KUNT/MAG BENADEREN.”
Een online omgeving komt tot stand door: het geraadpleegde device en de account settings. Jouw account bepaald welke data en verbindingen voor jou te raadplegen zijn. Zo zal een bepaalde werkmap wel en een andere misschien niet te lezen zijn of kun je op Facebook van bepaalde personen wel en andere geen foto’s bekijken. Als we het enkel over identiteit en de daaraan gekoppelde accounts hebben maakt het niet uit of je met het een account inlogt vanaf een telefoon, werklaptop of privé iPad. Op elk van de devices zal dezelfde data toegankelijk zijn met jouw online identiteit.
Maar welke rol speelt het device dan nog kun je je afvragen? Het device bepaald naast het account of je veilig genoeg bent om de data te benaderen. Neem als voorbeeld vertrouwelijke data. Je kunt instellen dat deze vanaf een openbaar wifi-netwerk niet te benaderen zijn maar wel vanaf een beveiligde verbinding op kantoor. “Deze unieke combinatie, van het gebruikersaccount (identiteit) en de veiligheid van het device, maakt het mogelijk om data voor een specifieke groep gebruikers beschikbaar te stellen en tegelijkertijd voor anderen af te schermen.” legt Ivan uit.
De grote vraag: Wie bepaald dan wat wel en niet mag?
“Dat kan eigenlijk iedereen zijn. Wanneer jij als persoon een document aanmaakt en deze in een werkmap opslaat ben jij eigenaar van deze data en mag jij bepalen voor wie het document toegankelijk is.” aldus Ivan. Eigenlijk zoals je bij Facebook als dataeigenaar al aan kunt geven wie jouw foto’s en persoonlijke pagina wel en niet mag bekijken. Zo is het ook met (bedrijf)systemen en data. Over het algemeen zullen het de directie en managers zijn die in de werkomgeving bepalen welke systemen en data beschikbaar zijn voor wie. Aan de hand van authenticatie wordt vastgesteld wie je bent en met die kennis wordt bepaald wat je wel en niet mag. Jouw online identiteit vervult hierin dus een belangrijke rol.
IT, of de techniek is geen eigenaar van de data, al werd dat traditioneel wel zo gezien. Als IT-partij zorgen we voor de juiste toegang, beveiliging en systemen maar kunnen we niet bepalen welke data voor wie van belang is en dus toegankelijk moet zijn. Het is onze rol om te adviseren over de toegang en beveiliging van data en systemen en de mogelijkheden van dataclassificatie toe te lichten. “De dataeigenaars zijn degene die bepalen wie, wat mag inzien en dat richten wij dan vervolgens weer technisch in.” vertelt Ivan.
“ONLINE IDENTITEIT WORDT STEEDS MEER OMVATTEND MET SINGLE SIGN ON”
Het raamwerk voor een online identiteit die doormiddel van authenticatie bepaald wat je mag en kan online is er dus al. Neem weer even DigiD, een van de eerste authenticatie voorzieningen die in 2003 door de overheid in gebruik werd genomen. In 2003 werd deze online controle enkel gebruikt voor het invullen en raadplegen van data van de belastingdienst. Nu 20 jaar verder is één authenticatie via DigiD genoeg om data te benaderen van de belastingdienst, de gemeente, het UWV, waterschappen en andere overheidsorganen. Ivan voorspelt dat in de toekomst steeds meer van deze allesomvattende authenticatie voorzieningen beschikbaar worden. Single Sign On (toegang tot verschillende accounts met één inlogmoment) wordt alleen maar beter en groter. Misschien loggen we in de toekomst wel in met DigiD op onze werkomgeving? Wie zal het zeggen.
Onze rol als expert en IT-partner
Als IT-partner zien we het belang van online identiteit groeien maar zien we ook dat het bewustzijn van het gebruik ervan nog erg laag is. We vinden het daarom belangrijk extra aandacht te geven aan de veiligheid in online werkomgevingen. Door ons dagelijks bezig te houden met het management van data blijven we scherp. We zorgen dat iedereen de juiste data kan raadplegen maar deze ook veilig zijn. We houden zicht op de acties in jouw IT-omgeving en acteren bij onverwachte en verdachte acties.
