Belangrijke beveiligingsmaatregelen in Microsoft 365 en Azure
Gisteren (op woensdag 30 augustus 2023) heeft APS IT een bericht gedeeld met al hun klanten over een groot incident bij een PO en VO school waar kwaadwillenden via een Microsoft 365-account zijn binnengedrongen op de Azure Portal van de scholen. Zij hebben daar betaalde diensten aangezet en in enkele dagen enorme kosten gemaakt. Bij de school in het vo gaat het om meer dan twee miljoen euro. Kosten waarvoor deze school in principe de rekening ontvangt.
Het belang van MFA (Multi Factor Authenticatie)
Als Heutink ICT zijn we blij dat APS vanuit haar rol het onderwijs heeft geïnformeerd over dit incident en het belang van MFA onder de aandacht heeft gebracht. Ook Heutink ICT adviseert al jaren om MFA op een voor het onderwijs praktische manier in te richten. Gelukkig hebben de meeste onderwijsinstellingen dat advies inmiddels opgevolgd. In dit bericht brengen we enkele belangrijke nuances aan voor wat betreft de impact van dit specifieke gevaar en leggen we tevens uit hoe MFA op een voor het onderwijs praktische manier kan worden ingericht.
Wat is er precies aan de hand bij de door APS IT genoemde incidenten?
Allereerst. Er is geen directe aanleiding tot zorg voor onderwijsinstellingen die hun omgeving door ons laten beheren. Beveiliging van deze omgeving heeft voortdurend onze aandacht. APS noemt in haar communicatie twee concrete acties die moeten worden uitgevoerd.
- Alle (beheerder) accounts zo snel mogelijk beveiligen met MFA
Al onze beheerder-accounts in Microsoft omgevingen zijn reeds voorzien van MFA. Daar waar de school/ stichting zelf het beheer op de omgeving uitvoert en dus actief toegang heeft tot de Beheerder-account, is de wens van de school / stichting in termen van toegangsbeveiliging leidend geweest. Daar is het beschreven risico dus van toepassing als er geen MFA op het Beheer-account is ingesteld.
MFA is niet alleen van toegevoegde waarde voor beheerder-accounts maar zeer zeker ook een belangrijke bescherming van gebruikers-accounts. Het is aan de school om daar een keuze in te maken. Ons advies is dus om dat wel te doen. Het beschreven incident benadrukt wel weer de waarde van goed ingerichte toegangsbeveiliging zoals bijv. MFA. - Een budget-waarschuwing instellen voor Azure
Heb je geen aanvullende diensten actief in Azure? Dan is dit advies niet voor jou van toepassing. Het instellen van deze waarschuwing kan namelijk alleen als er een aanvullend abonnement actief is in Azure (bijv. extra storage, virtuele servers, etc. etc.). Scholen die een Azure-omgeving hebben, maar geen betaalde diensten rechtstreeks in Azure afnemen, beschikken dan ook niet over deze functionaliteit. Het overgrote merendeel van de PO scholen heeft geen aanvullende betaalde diensten en kan deze instelling dus niet gebruiken.
Hoe gaan wij om met MFA?
MFA van Microsoft is een extra beveiligingscheck tijdens het inloggen, naast alleen een gebruikersnaam en een wachtwoord. Hierdoor moeten gebruikers hun identiteit nog een keer extra verifiëren wanneer ze toegang willen tot een account of app. Dat kan bijvoorbeeld via een speciale app of door het invoeren van een code die de gebruiker ontvangt via SMS. Dit maakt misbruik van het account voor een kwaadwillende aanmerkelijk moeilijker. Heutink ICT raadt het onderwijs al geruime tijd aan om dit in te richten, inmiddels hebben de meeste instellingen dat advies ook opgevolgd.
Belangrijkste voordelen:
- Aanzienlijke beperking van de kans op misbruik van accounts door kwaadwillenden
- Wij helpen bij het inrichten, het maken van keuzes hierin en het begeleiden van medewerkers die vervolgens met MFA aan de slag moeten
- Verificatie kan simpel gedaan worden d.m.v. een sms code of een simpele goedkeuringsverzoek via de Authenticator app. Hierdoor blijft het inloggen simpel voor de gebruikers
- Met de inrichting van MFA voldoe je aan een van de belangrijkste normen die het normenkader vanaf 2027 verplicht stelt. Je neemt als school/ stichting daarmee dus nu al de verantwoordelijkheid die vanaf 2027 verplicht is