Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

MFA voor de zorg: Snel, eenvoudig en veilig… zonder zakelijke telefoon

In deze blog legt Leen Mulckhuyse uit wat MFA voor de zorg kan betekenen, wat de beperking zijn en hoe FIDO2, het nieuwe alternatief, daarop inspeelt.

Sinds maart 2021 ondersteunt Microsoft een nieuwe manier van online Multi Factor Authenticatie binnen Azure AD: authenticatie met FIDO2 sleutels. Het werkt sneller, gebruiksvriendelijker en veiliger dan klassieke MFA en een zakelijke smartphone is niet meer nodig. De eerste testen bij zorgorganisaties bevestigen onze vermoedens: dit is de doorbraak waar men op zat te wachten.

Het tempo waarin het applicatielandschap van de gemiddelde zorginstelling verSaaSt (klassieke Windows applicaties worden vervangen door online diensten) is onvergelijkbaar met enige andere sector. Die verandering zorgt ervoor dat er steeds meer eHealth toepassingen beschikbaar komen, samenwerken beter wordt gefaciliteerd, gebruik van ICT-diensten eenvoudiger wordt en de ICT-kosten dalen. Dat is ook hard nodig, want we weten dat er steeds meer zorg moet worden geleverd met steeds minder mensen en dat technologie een cruciale rol speelt om dat mogelijk te maken.

Tegelijkertijd beseffen steeds meer informatiemanagers binnen zorgorganisaties zich dat deze veranderingen niet alleen voordelig zijn voor zorgmedewerkers, maar zonder adequaat beveiligingsbeleid ook voor hackers, datadieven en digitale afpersers. Met al die veranderingen is straks alle vertrouwelijke data na eenmalig inloggen overal via het internet benaderbaar en overzichtelijk gepresenteerd in één werkplekportaal. Bedenk daarbij hoeveel van de zorgmedewerkers hetzelfde wachtwoord gebruiken voor hun werk-account als voor hun Facebook (die allang ergens rondzwerft op een lijst met gehackte wachtwoorden), een veelvoorkomend wachtwoord gebruiken (b.v. Welkom2021, Ajax020 of Picture1) of die gewoon de naam van hun kind met de geboortedatum erachter gebruiken, en besef hoe groot het risico is.

Het belangrijkste wapen in de strijd voor bescherming van vertrouwelijke data is de inzet van Multi Factor Authenticatie (MFA). Of zorginstellingen kiezen voor MFA is dus geen vraag meer, maar er zijn wel keuzes te maken voor de manier waarop. Klassieke MFA scenario’s gaan vaak uit van een ‘authenticator app’ op de telefoon of een code die wordt toegezonden per SMS. Hoewel dit een veilige methode is, levert het voor zorginstellingen toch een paar lastige beperkingen op:

  • Alle medewerkers moeten een telefoon hebben die ze kunnen gebruiken voor het ontvangen van SMS-berichten of het starten van een authenticator app en dat terwijl veel zorgmedewerkers geen beschikking hebben over een zakelijke toestel.
  • De MFA procedure kost relatief veel tijd en handelingen, met name wanneer apparaten door verschillende personen worden gebruikt (zodat steeds eerst de gebruikersnaam moet worden ingevoerd, daarna het wachtwoord en daarna nog de bevestiging op de authenticator app).

Gelukkig is er nu een nieuw alternatief voor MFA authenticatie via een app of SMS, namelijk ‘Fast IDentity Online 2 factor’ (FIDO2). FIDO2 authenticatie werkt met behulp van een persoonlijke ‘sleutel’ die de medewerker altijd bij zich draagt (aan de sleutelbos). Door de sleutel in een apparaat te steken of tegen het apparaat aan te houden, wordt automatisch de inlogprocedure gestart (de medewerker hoeft dus niet te klikken en zijn gebruikersnaam in te typen). Vervolgens typt de medewerker een pincode in en raakt de sleutel even aan, waarna het systeem inlogt (dus ook zonder een wachtwoord in te typen). Deze wijze van inloggen is dus veel gebruiksvriendelijker en sneller, maar ook nog eens veiliger (zoals bevestigd door o.a. Microsoft). Sinds maart 2021 wordt MFA met FIDO2 sleutels volledig ondersteund binnen Microsoft Azure AD en ook Google Cloud IAM en Okta ondersteunen FIDO2 authenticatie.

Dit zijn de belangrijkste voordelen voor zorginstellingen:

  • In plaats van een zakelijke telefoon met abonnement hoeft de instelling nu alleen nog maar een apparaat met eenmalige aanschaf van tussen de € 20,- en € 80,- ter beschikking te stellen om MFA mogelijk te maken.
  • De inlogprocedure op een gedeelde werkplek kost met een FIDO2 sleutel gemiddeld nog maar 7 handelingen (kliks, bewegingen en toetsaanslagen) in vergelijking met gemiddeld 43 handelingen bij MFA met behulp van bevestiging via een authenticatie app (bij SMS-codes ligt het gemiddeld aantal handelingen nog hoger).
  • Bepaalde FIDO2 sleutels (zoals de Yubikey 5 NFC) kunnen ook worden gebruikt als toegangspas voor gebouwen, parkeergarages, ruimten, kasten, tijdregistratiesystemen en als betaalmiddel in het bedrijfsrestaurant.

Nadelen van FIDO2 sleutels zijn dat medewerkers niet in kunnen loggen als ze hun sleutel vergeten of kwijt zijn en dat de registratie en koppeling van een FIDO2 sleutel door de medewerker zelf doorlopen moet worden, terwijl ondersteuning door ICT-personeel op locatie daarbij in de regel wel gewenst is. Deze nadelen gelden overigens in grote lijnen ook voor klassieke MFA en doen er niets aan af dat voor menig zorgorganisatie FIDO2 authenticatie een significante verbetering is ten opzichte van de klassieke MFA met een authenticator app.

Wilt u eens doorpraten over de mogelijkheden voor FIDO2 authenticatie binnen uw zorgorganisatie? Neem dan gerust contact met ons op.