Ga naar inhoud

Voorkom een problemen, zorg voor een uitdienst procedure

Als een kwaadwillige toegang krijgt tot een betaalprovider account zijn de mogelijke gevolgen groot. Denk bijvoorbeeld aan een datalek. Slapende gebruikersaccounts zijn een (onnodig) risico, zorg dus voor een uitdienstprocedure.

Wat is een slapend gebruikers account?

Als een gebruiker niet meer gebruikt maakt van zijn/haar gebruikersaccount maar deze nog wel actief staat.
Dit gaat dus bijvoorbeeld om [email protected] als gebruikersnaam en niet om het algemene account van een bedrijf bij betaalprovider.

Hoe krijgt een kwaadwillige toegang tot een gebruikersaccount bij een betaalprovider?

Er zijn verschillende mogelijkheden, een voorbeeld:.

De kwaadwillige brengt in kaart wie de (ex)medewerkers zijn van een bedrijf.
Vervolgens gaat de kwaadwillige op zoek naar gebruikersaccounts en wachtwoorden die al eerder bij een datalek zijn buitgemaakt. Deze inloggegevens test de kwaadwillige op de systemen van het bedrijf en diensten waar ze gebruik van maken (zoals de betaalprovider).

Verantwoordelijkheid betaalprovider

Betaalproviders nemen ook maatregelen om deze risico's te verkleinen, zoals:
1. Inloggen met een Authenticator code verplichten.
2. Webshops informeren over slapende gebruikers accounts.

Theoretisch kunnen betaalproviders slapende gebruikersaccount ook automatisch uitschakelen, bijvoorbeeld als er 1 jaar niet is ingelogd.
Dit is echter niet erg gebruikersvriendelijk, denk aan een boekhouder die ook toegang heeft en maar zeer sporadisch moet inloggen.

Middelgrote bedrijven zijn kwetsbaar

Grote bedrijven hebben vaak een uitdienst procedure. Dit kan bijvoorbeeld komen omdat dit onderdeel is van een certificeringsproces. Dan zijn er ook vaak weer audits om te controleren of alle procedures goed worden gevolgd.
Eenmanszaken hebben vaak 1 gebruikersaccount bij een betaalprovider. Het risico zit dus vooral in bedrijven die daar tussen vallen: Geen strakke procedures maar wel meerdere medewerkers.

Onboardings procedure omdraaien

Het opstellen van een uitdienstprocedure is in de basis simpel:
Alle accounts die worden aangemaakt voor een nieuwe collega dienen ook te worden afgesloten als iemand het bedrijf verlaat. In de praktijk is het wel iets complexer, denk aan langdurige ziekte of data die beschikbaar dient te blijven. Maar in de praktijk is het goed te doen en voorkomt problemen.