MFA binnen 6 maanden verplicht voor Amerikaanse overheid

Nu president Biden een EO heeft getekend komt de uitrol van MFA (multifactor authentication) voor de Amerikaanse federale overheid in een stroomversnelling, het wordt zelfs binnen 6 maanden verplicht. Het lijkt waarschijnlijk dat deze opdracht ook door lagere overheden overgenomen gaat worden. Een goede ontwikkeling dus, maar hoe zit het ook al weer met MFA /2FA in Nederland.

PSD2 regels

Sinds eind 2019 zijn de banken in de EU en Nederland verplicht de klanten veiliger te laten inloggen. TAN codes en SMS zijn bijna overal taboe verklaard. Daarvoor in de plaats gekomen is een MFA of eigenlijk 2FA maatregel. De banken moeten dit doen vanwege de PSD2 regels voor het bankverkeer.

Het grote voordeel van deze stap is dat (bijna) iedere volwassene in de EU nu weet dat er iets bestaat als MFA en dat het veel veiliger is dan al het voorgaande. Inloggen met alleen username en wachtwoord kan al lang niet meer door de beugel, maar zeker voor het privé online activiteiten gebeurt het nog steeds. Daarbij moet wel worden opgemerkt dat menig online/clouddienst tegenwoordig de optie van MFA biedt.

MFA steeds vaker default aan

Binnen de zakelijke omgevingen wordt MFA niet alleen ondersteunt. Steeds meer applicaties hebben het als standaard optie aanstaan. IT beheerder zetten het ook sneller als default aan. Daarvoor zijn er twee bekende redenen. Het gebruik van MFA is echt nodig om misbruik, cybercrime en datalekken tegen te gaan. Andere bekende reden is dat MFA helemaal niet meer moeilijk is. Code generators op smartphones zijn simpel en door het thuisbankieren echt ingeburgerd.

In Nederland hebben we dat betreft een forse streep voor op de Amerikaanse ambtenaren. Die moeten nu voor het eerst verplicht gebruik gaan maken van MFA om zowel datadiefstal als ransomware besmettingen te voorkomen. Het niet naleven van de EO (Executive Order) is amper een optie.

AVG als stok achter de deur

Tegelijk is de scope van die EO wel beperkt. Alleen federale overheden moeten die volgen. Dat lagere overheden gaan volgen is logisch, maar er is geen wettelijke plicht. Wat in Amerika ook anders is dan bij ons is dat er geen AVG is die als stok achter de deur geldt. Want dat is binnen de meeste discussies over de voordelen van MFA wel een onderbelicht punt. Wie problemen met de AVG wil voorkomen moet kunnen aantonen data beschermd te hebben. MFA is daarbij een erkende optie van het juiste niveau en daarmee met zoveel woorden op heel veel plekken impliciet verplicht.