Principle of Least Privilege (PoLP)

Wat is Principle of Least Privilege?

Het Principle of Least Privilege (PoLP) betekent dat gebruikers alleen toegangsrechten krijgen tot die applicaties en gegevens die ze nodig hebben om hun taken te kunnen uitvoeren. De gebruikers krijgen dus niet méér rechten dan strikt noodzakelijk. Het Principle of Least Privilege is daarbij niet alleen geschikt voor de toegangsbeveiliging bij menselijke gebruikers. Het principe kan ook worden gehanteerd tussen applicaties onderling.

Voorbeelden per branche

Wat houdt dat Principle of Least Privilege in de praktijk in? We geven hieronder een paar concrete voorbeelden:

• Binnen het onderwijs kunnen we de toegangsrechten zo organiseren dat iedere docent alleen toegang krijgt tot de persoonlijke gegevens en studieresultaten van de leerlingen waar hij of zij zelf les aan geeft.
• In een zogeheten zaaksysteem binnen bijvoorbeeld een gemeente kun je de toegangsrechten zo instellen dat iedere gebruiker alleen toegang krijgt tot de dossiers waar de betreffende ambtenaar verantwoordelijk voor is.
• Binnen zorginstellingen kun je het administratief personeel alleen toegang geven tot administratieve gegevens, terwijl zorgmedewerkers ook toegang krijgen tot medische gegevens van de patiënten waar ze verantwoordelijke voor zijn.

In deze voorbeelden bepaal je dus per gebruiker aan de hand van iemands rol en verantwoordelijkheden welke applicaties en gegevens daarvoor nodig zijn. Alle andere systemen en gegevens blokkeer je voor deze gebruiker.

Waarom is Principle of Least Privilege belangrijk?

Het belang van het Principle of Least Privilege zit in twee zaken die in elkaars verlengde liggen:

• Allereerst beperken we zo de schade als een onbevoegde gebruiker toch toegang krijgt via de inloggegevens van een medewerker. Iemand krijgt dan inderdaad toegang tot je IT-systemen, maar dankzij het least privilege uitgangspunt kan hij of zij niet direct overal bij. Wordt bijvoorbeeld het wachtwoord gestolen van een administratief medewerker in een zorginstelling, dan zijn de medische gegevens gelukkig nog steeds veilig.
• Maar ook bij rechtmatige gebruikers wil je niet dat iedereen zomaar overal bij kan. In het kader van de privacy richtlijnen mogen medewerkers alleen persoonsgegevens inzien die ze ook echt nodig hebben voor hun werk. In een ziekenhuis mag zorgpersoneel bijvoorbeeld niet zomaar gegevens inkijken van cliënten die ze niet zelf behandelen.

Wat is het verschil tussen Principle of Least Privilege en Privacy by Design?

Je zorgt dus met het Principle of Least Privilege dat gebruikers alleen toegang krijgen tot persoonsgegevens die ze ook echt nodig hebben voor hun werk. Daarmee is het één van de principes om te voldoen aan de privacy richtlijnen. Er zijn echter meer verplichte privacy maatregelen. Zo moet je alle toegangspogingen automatisch loggen en is het verplicht te registreren hoe en wanneer mensen toestemming geven voor het gebruik van hun persoonsgegevens. Ook moet je maatregelen nemen om te zorgen dat persoonsgegevens weer tijdig worden verwijderd als ze niet langer nodig zijn.

Om te voldoen aan al die privacy-eisen is het belangrijk dat IT-systemen en -processen zodanig worden ontworpen dat privacy en gegevensbescherming vanaf het eerste ontwerp tot en met de implementatie wordt meegenomen. Dus niet wat losse of zelfs reactieve aanpassingen die later aan een systeem worden toegevoegd, maar een oplossingsarchitectuur waarin de privacy maatregelen als het ware ‘in het dna’ zijn opgenomen. Dit noemen we Privacy by Design.

Beide principes – Principle of Least Privilege én Privacy by Design – zijn dus belangrijk voor privacy maar ze hebben een verschillend doel. Privacy by Design richt zich op het volledige ‘privacy-proof’ maken van je systeem- en procesontwerp; Least privilege is daarin één principe om rekening mee te houden.

Voordelen van Principle of Least Privilege

De voordelen van het Principle of Least Privilege zijn dus duidelijk. Je beperkt zo de schade als je inloggegevens kwijtraakt aan onbevoegden. En we voorkomen ook dat er bewust of onbewust persoonsgegevens worden gelekt door eigen medewerkers. Least privilege helpt je dus vooral om datalekken te voorkomen.

Datalekken, het ongewenst toegankelijk maken of verspreiden van persoonsgegevens is een belangrijk risico voor veel organisaties. Het kan enorme schadeclaims opleveren, vooral als blijkt dat je als organisatie niet het uiterste hebt gedaan om ze te voorkomen. Ook de eventuele boetes zijn vooral erg hoog als blijkt dat er niet is geïnvesteerd in goede beveiligingsmaatregelen. En ook je reputatie lijdt er direct onder als blijkt dat je aantoonbaar nalatig bent geweest met persoonsgegevens. Investeren in least privilege maatregelen betaalt zich dus vroeg of laat altijd weer uit.

Hoe voldoet HelloID aan Principle of Least Privilege

Toegangsbeveiliging begint met authenticatie en autorisatie. Authenticatie is het verifiëren van de identiteit van een gebruiker, bijvoorbeeld met een gebruikersnaam en wachtwoord. Autorisatie is de volgende stap en richt zich op de verstrekken van de juiste toegangsrechten. Zodra een organisatie groeit qua gebruikers en applicaties wordt het toegangsbeheer al snel enorm ingewikkeld. Dat los je op door je accounts en toegangsrechten te automatiseren met een Identity en Access Management systeem. Door daarin de juiste keuzes te maken kun je ervoor zorgen dat je accountbeheer volledig voldoet aan de least privilege principes.

HelloID ondersteunt least privilege met meerdere functies:

• Het verstrekken van accounts en toegangsrechten kunnen we beheren aan de hand van de rol, functie, afdeling en andere ‘attributen’ van medewerkers zoals die zijn geregistreerd in het HR systeem. HelloID beschikt altijd over de meest actuele gegevens dankzij een koppeling met dat HR systeem.
• Alle toegangsrechten worden uitgegeven aan de hand van business rules. Daarin is vastgelegd welke toegangsrechten nodig zijn bij welke combinaties attributen. Zo krijgt iedere medewerker alleen de strikt noodzakelijke toegangsrechten.
• Dankzij de rechtstreekse koppeling tussen HelloID en het HR systeem zijn de gegevens altijd actueel. Krijgt iemand een andere functie, dan worden automatisch de toegangsrechten aangepast. En als iemand de organisatie verlaat, wordt automatisch diens account geblokkeerd.
• Als iemand extra toegangsrechten nodig heeft voor bijvoorbeeld een specifiek project, automatiseert HelloID het aanvraagproces, de verificatie en goedkeuring door manager(s) en kan het er ook voor zorgen dat zulke rechten weer tijdig automatisch worden opgezegd.

Binnen HelloID is het Principle of Least Privilege dus volledig geborgd aan de hand van zo’n Attribute Based Access Control raamwerk. Dit is eenvoudig in te stellen aan de hand van flexibele business rules en dankzij diezelfde rules kun je dat ABAC raamwerk ook eenvoudig aanpassen als dat nodig is.