Tekst Martijn van Spijker
Foto Wim van Beek

Multifactorauthenticatie (MFA) – ook wel bekend als tweestapsverificatie – is een hele mond vol, maar betekent in de praktijk simpelweg ‘een extra code’. Die code wordt gebruikt om de authenticiteit of echtheid van een gebruiker te verifiëren op meer dan één enkele manier. Ook de managed laptops die SSC-ICT levert worden uitgerust met MFA. Bij het inloggen op een managed laptop moet vanaf nu een extra code ingevoerd worden, als aanvullende beveiliging op de VPN-verbinding. Maar waarom is dit eigenlijk nodig? Hoe pakt SSC-ICT dit op, en wat merken de klanten en eindgebruikers van deze ontwikkeling? Aan het woord zijn Frank van den Broek (projectleider bij SSC-ICT) en Petra Wit (leveranciersmanager bij het ministerie van Financiën). 

Geschatte leestijd:

7 minuten

Betere beveiliging

De vraag om extra beveiligingsmaatregelen kwam vanuit de CISO én de CISO-raad, weet Frank te vertellen. ‘Er lag een eis om de toegang tot het netwerk van de Rijksoverheid beter te beveiligen. Daarna kwam CIO Rijk ook nog met aanvullende eisen, dus het was best even puzzelen om aan alle vereisten te kunnen voldoen.’

In juli van 2023 is het project om de MFA te implementeren op de managed laptops van start gegaan. Frank vertelt dat het even zoeken was naar de juiste oplossing, want hoe kun je zo’n extra stapje het beste toevoegen, en waar? ‘Ik had persoonlijk liever gezien dat het vak voor het invoeren van de extra code in het inlogscherm van de laptop zou komen,’ zegt Frank. ‘Als een derde invoerveld, onder de gebruikersnaam en het wachtwoord. Net als bij DWR-online eigenlijk, want als je via Citrix inlogt maak je al gebruik van multifactorauthenticatie.’ Na wat onderzoek bleek echter dat er een vrij grote groep gebruikers is die lokaal moet kunnen inloggen als er geen netwerk beschikbaar is. ‘Denk aan inspecteurs en andere medewerkers die veel buiten kantoor werken. Om te zorgen dat die groepen ook konden werken, hebben we er uiteindelijk voor gekozen om de multifactorauthenticatie toe te voegen aan de Cisco AnyConnect-verbinding (VPN) van de managed laptops. Nu krijgt de gebruiker een pop-up te zien wanneer er verbinding wordt gemaakt met de VPN. In die pop-up kan de extra code worden ingevoerd, waarna de VPN-verbinding tot stand komt.’

Pilot

Het implementeren en in gebruik nemen van de MFA is een omvangrijke ontwikkeling. Frank: ‘Het is natuurlijk een behoorlijke verandering voor onze klanten. Veel gebruikers moeten 'anders' gaan inloggen.’ Daarom heeft er in december 2023 eerst een pilot gedraaid binnen SSC-ICT. Zo kon er waardevolle feedback opgehaald worden. ‘In deze pilot hebben we zowel de techniek als de ervaring van de gebruikers getest,’ vertelt Frank. Technisch bleek de verandering helemaal niet zo spannend te zijn, maar voor de gebruikers was het juist complexer dan verwacht. ‘Uit de pilot bleek bijvoorbeeld dat de naam van een van de nieuwe invoervelden onduidelijk was. Hierdoor voerden zelfs collega’s die direct bij het project betrokken waren hun wachtwoord in, daar waar ze de extra code hadden moeten invoeren. Deze veldnaam hebben we toen door de leverancier aan laten passen en dat scheelde enorm. Ook de verschillende handleidingen, e-mails en andere uitingen zijn op basis van de pilot verder aangescherpt. Na de pilot is eerst heel SSC-ICT uitgerold, daarna was het tijd om deze aanvullende beveiliging bij de klanten van SSC-ICT aan te gaan bieden. Op dat moment is Petra ook bij het project aangehaakt.’

Petra Wit en Frank van den Broek

Afstemming met de klant

‘Frank kwam bij mij op de lijn over de uitrol van de MFA binnen het ministerie van Financiën,’ zegt Petra. ‘Toevallig kende ik Frank al van een ander project dat hij bij Financiën had gedaan. Dat project had geen raakvlakken met de multifactorauthenticatie, maar hij gaf toen wel aan dat dit op stapel stond. De lijntjes tussen ons waren dus meteen kort, en dat is altijd prettig binnen een samenwerking.’ In het beginstadium van het project, begin oktober 2023, vinden er gesprekken plaats tussen SSC-ICT, de CISO en Financiën. Petra: ‘We hebben toen verkend wat voor Financiën een goede periode was qua uitrol, en of er andere zaken waren om rekening mee te houden. Gelukkig konden we daar als klant wel enige invloed op uitoefenen. We hebben in het jaar altijd een aantal vaste, drukke periodes, dus daar wilden we omheen plannen. In december zijn we druk met het afronden van het belastingplan. En de 3e woensdag van mei is Verantwoordingsdag. In het jaar volgend op het begrotingsjaar gaan de departementale financiële verantwoordingsstukken naar de Staten-Generaal. Het is voor een groot deel van het beleidsdepartement een hectische periode. Zodoende zijn we voor de uitrol uitgekomen op februari 2024.’

Maar voor die tijd is er – in samenwerking met Frank en SSC-ICT – al wel een proef met de MFA uitgevoerd binnen Financiën en de overige departementen. ‘Daarin hebben we collega's uit mijn directe omgeving, waaronder de CISO, vast gebruik laten maken van de multifactorauthenticatie,’ vertelt Petra. ‘Dat werd heel goed ontvangen. Zo goed dat de servicemanagers om een ‘early adaptor-groep’ vroegen. Die zijn we begin januari dan ook gestart. In die groep zaten onder andere functioneel beheerders en contactpersonen die toch wel even wilden weten hoe die MFA nou ging werken. Zo’n enthousiastste, nieuwsgierige groep collega’s helpt enorm om binnen de organisatie draagvlak en begrip te creëren voor zo’n verandering.’

Petra vertelt dat bij dit soort projecten de wandelgangen van bijvoorbeeld de Korte Voorhout ook belangrijk zijn. ‘We zitten met meerdere organisaties in het pand. Laatst sprak een collega van het Rijkstvastgoedbedrijf (RVB) mij aan over dit project, die had wel oren naar de multifactorauthenticatie. Ik geef dat dan weer door aan Frank zodat hij meteen contact kan zoeken met RVB.’

OneSpan Mobile Authenticator

Hoewel er geen opzienbarende zaken naar voren zijn gekomen uit zowel de pilot als de early adaptor-groep, heeft Frank op basis van de feedback nog wel verbeteringen doorgevoerd in de handleidingen. Frank: ‘En dat heeft ertoe geleid dat die teksten weer net iets beter aansluiten bij de behoefte van de gebruikers. Maar we blijven de handleidingen en andere informatie natuurlijk continu verbeteren. Dit doen we in samenwerking met onze klanten en met de gebruikersondersteuning van SSC-ICT.’

Al zijn er natuurlijk altijd verrassingen die naar voren komen tijdens een project. Zo bleek dat veel minder medewerkers dan verwacht de OneSpan Mobile Authenticator-app hadden geïnstalleerd op hun telefoon. Frank legt uit: ‘En die app heb je nou net nodig om de extra code van de multifactorauthenticatie op te vragen, zodat je kunt inloggen. Het downloaden en installeren van de app was niet de hoofdboodschap in de communicatie naar de gebruikers.
Bij een controle vlak voor de uitrol bleek dat veel gebruikers van Financiën de app nog niet geïnstalleerd hadden. Na kort overleg is toen besloten om de dag voor de ingebruikname van de MFA nog een e-mail te sturen om het installeren van de app onder de aandacht van de betreffende medewerkers te brengen. Dat is dan even snel schakelen, want er moet natuurlijk een tekst komen en je wilt zo’n e-mail alleen sturen naar de mensen die het aangaat. Dus een specifieke adressenlijst is ook nodig.’ Petra voegt toe: ‘Uit ervaring weet ik dat dat de berichten van SSC-ICT soms niet goed gelezen worden. Toen heb ik intern ook nog even overlegd of we de knop wel echt om konden zetten. Maar we hebben inmiddels zo vaak gecommuniceerd. Je kunt niet blijven wachten, de uitrol moest van start gaan.’

‘Een week na het invoeren van de extra code heb ik intern geïnformeerd of er nog problemen waren gemeld. Dit bleef gelukkig beperkt tot medewerkers die zeiden dat ze eigenlijk van plan waren om thuis te werken. Maar dat ging niet, want ze waren vergeten de OneSpan Mobile Authenticator-app te installeren. Dan werd het dus toch een kantoordag én gingen ze de app installeren en activeren.’  ‘Complimenten aan de servicedesk en servicebalie van SSC-ICT voor het ondersteunen van de gebruikers en voor het verhogen van de bezetting.’ voegt Frank toe.

Hoe nu verder?

‘In 2024 gaan we ook bij de overige klanten de multifactorauthenticatie op de managed laptops invoeren,’ vertelt Frank. ‘We hebben de ministeries van Sociale Zaken en Werkgelegenheid, Volksgezondheid, Welzijn en Sport, Infrastructuur en Waterstaat, Binnenlandse Zaken en Koninkrijksrelaties en uiteraard Financiën al afgerond. Later volgen de Kanselarij der Nederlandse Orden, het ministerie van Justitie en Veiligheid en de Immigratie- en Naturalisatiedienst nog. Dat duurt ongeveer tot eind mei. In totaal gaat het om ongeveer 35.000 laptops. Medewerkers van die departementen ontvangen ruim van tevoren informatie via e-mail en de ServiceInfo-app.’

Mogelijke vervolgtrajecten zijn het invoeren van de extra code op de kiosk-pc's en op het interne wifi-netwerk Rijk2Air-M. Toegang tot een rijkspand wordt namelijk niet gezien als een 2e factor, dus daar is nog ruimte voor verbetering.