_Uitdaging

Zwak wachtwoordgebruik in een versnipperd applicatielandschap

Toen Peter in 2022 begon bij woningcorporatie Samenwerking, werd de urgentie van goede informatiebeveiliging direct duidelijk. “Er kwamen berichten naar buiten over gehackte corporaties. Dat was voor mij het moment om kritisch te kijken naar onze eigen kwetsbaarheden,” vertelt hij. Al snel werd duidelijk dat wachtwoordbeheer een belangrijk aandachtspunt was.

“De menselijke factor vormt het grootste risico. We hebben geen wachtwoordmanager, maar wel veel applicaties. Dan weet je dat medewerkers hun wachtwoorden op onveilige manieren onthouden – en dat is risicovol.”
- Peter van Dongen, Adviseur I&A

‍

Ook tijdens een BIC 4.0-toetsing door securitypartner VVA kwam het thema terug. Eén van de verbeterpunten: het invoeren van een wachtwoordmanager. “Maar eerst wilden we inzicht: hoe groot is het risico eigenlijk? Daarom hebben we een Online Security Risk Assessment van MindYourPass laten uitvoeren. Belangrijk voor ons was dat dit anoniem kon, om de privacy van medewerkers te waarborgen. Gelukkig bood MindYourPass die mogelijkheid.”

_Aanpak

Een veilige en anonieme nulmeting als basis

Het assessment van MindYourPass werd ingezet als nulmeting. De installatie van de software verliep soepel: “Binnen een uur was het geregeld. Daarna draaide de scan automatisch door,” zegt Peter. Gedurende ruim een maand werd veilig geregistreerd hoe medewerkers omgaan met wachtwoorden – zonder dat de wachtwoorden zelf zichtbaar of opgeslagen zijn.

“We hebben duidelijk inzicht gekregen in hoe sterk de wachtwoorden zijn die medewerkers gebruiken om in te loggen op onze applicaties,” zegt Peter. Het assessment checkt onder andere op hergebruik, gelekte wachtwoorden en zwakke combinaties. De resultaten worden gepresenteerd in een helder, visueel rapport.
- Peter van Dongen, Adviseur I&A

Een bijkomend voordeel was dat het assessment automatisch de gebruikte applicaties in kaart brengt. “Dat bood ons de kans om onze eigen inventarisatie te verifiëren. Gelukkig kwamen er geen grote verrassingen uit – het bevestigde vooral dat we het goed op orde hadden. Dat gaf vertrouwen.”

_Resultaat

Heldere inzichten, gedeeld met het management

Het eindrapport gaf Samenwerking een concreet beeld van de risico’s: waar zit het hergebruik van wachtwoorden, welke applicaties zijn kwetsbaar en hoe veilig is het gedrag van medewerkers?

“Voor het eerst konden we de risico’s objectief laten zien,” vertelt Peter. “Het rapport heb ik gedeeld met het management, waardoor ook zij nog meer het belang inzagen om dit serieus aan te pakken. Je hebt dan niet alleen een onderbuikgevoel, maar harde cijfers.”
- Peter van Dongen, Adviseur I&A

De inzichten gaven richting aan vervolgstappen. “Het mooie is dat het gekoppeld is aan ons applicatielandschap. Je ziet direct waar actie nodig is. En dat helpt enorm bij het prioriteren.”

_Reflectie

Van inzicht naar actie – met de juiste tools

De nulmeting bleek meer dan een momentopname: het werd de start van een structurele aanpak. “We hebben besloten om ook de wachtwoordmanager van MindYourPass aan te schaffen,” vertelt Peter. “Het assessment vormde de nulmeting, en nu starten we met de gefaseerde uitrol.”

De kracht zit volgens Peter in het afdwingen van beleid: “Je kunt instellen wat voor type wachtwoorden gebruikt moeten worden, en zeker weten dat iedereen daaraan voldoet. Zonder dat is een wachtwoordmanager vaak ineffectief – mensen gebruiken hem simpelweg niet.”

Zijn advies aan andere corporaties? “Neem het risico van zwakke wachtwoorden serieus. Met het MindYourPass Assessment kun je meten waar je staat en gericht verbeteren. Meten is weten – en verbeteren wordt pas mogelijk als je inzicht hebt.”

‍