Ilman identiteettitietoista tietoturvaa digitaalinen omaisuutesi on heitteillä!

12.11.2018
Pekka Lindqvist

Ilman identiteettitietoista tietoturvaa digitaalinen omaisuutesi on heitteillä!

Digitaalinen omaisuus on organisaatioiden arvokkainta pääomaa, ja joidenkin yritysten koko liiketoiminta perustuu digitaaliseen sisältöön. Muutosvauhti on niin nopeaa, etteivät yritykset kykene suojaamaan sovelluksia, dataa ja käyttäjiä ilman identiteettitietoista tietoturvaa. Väitän, että identiteettitietojen hallinnan ja hyödyntämisen arkkitehtuuri (IAM/IGA) pitää nyt nostaa rivakasti tietoturvan keskiöön. Sitä vaatii myös GDPR.

Työnteko edellyttää helppoa pääsyä tietoon ajasta, paikasta ja laitteesta riippumatta. Kyky tunnistaa henkilö on ainoa keino varmistaa kuka saa päästä käsiksi ja mihin tietoon. Toisaalta henkilön pitää olla varma käyttämästään palvelusta. Yhä useammin tiedon käyttäjä on sovellus, jonka identiteetti on myös tunnistettava.

Kyberiskut kohdistuvat myös suomalaisyrityksiin

Europolin entinen johtaja Sir Rob Wainwright on arvioinut, että verkkouhkista on tullut uusi normaali. Tiedämme, että digitalisaatio ja verkkoon kytketyt IoT-laitteet avaavat uusia kanavia rikollisille. Ericssonin arvioiden mukaan IoT-laitteiden määrä nousee lähivuosina jo yli 20 miljardiin, eikä kasvulle näy rajoja. Töissä käytettävien päätelaitteiden ja datan määrä on kasvanut rajusti.

Suomalaiset yritykset ja julkishallinnon organisaatiot ovat myös jatkuvien kyberiskujen kohteina, kuten viime aikaiset palvelunestohyökkäykset osoittavat.

Cyber Edge Groupin 2018 Cyberthreath Defense Reportin mukaan 77 prosenttia yrityksissä toimivista tietoturva-ammattilaisista kertoi edustamansa yrityksen joutuneen yhden tai useamman onnistuneen kyberiskun kohteeksi. Pessimismi on lisääntynyt ammattilaisten keskuudessa selvästi, eivätkä pelkät palomuurit riitä digitaalisen omaisuuden suojaamiseen.

 

Tunnistautuminen tilanteen ja riskin mukaan

Riskin ja tilanteen huomioiminen tunnistautumisessa tulee entistä tärkeämmäksi. Palvelu, henkilö, laite ja paikka ovat esimerkkejä tekijöistä, joiden mukaan tunnistautumistapaa tulee säädellä.

Mitä arkaluontoisemmasta datasta on kyse, niin sitä vahvemmin henkilö pitää tunnistaa. Käyttäjään yhdistetyn laitteen tunnistaminen tuo lisävarmuutta siihen, että kyseessä on oikea henkilö. Tietojen käytön riskit ovat kovin erilaiset käyttäjän ollessa toimistolla, asiakkaalla tai webbikahvilassa.

Erilaisten rajapintojen, eli API:en, käyttö yleistyy yritysten rakentaessa uusia palveluita. Tietoa tarjotaan käytettäväksi yhä laajemmin omien työntekijöiden lisäksi asiakkaille ja kumppaneille. Miten varmistetaan, että API:en kautta tietoa hyödynnetään mahdollisimman monipuolisesti ja turvallisesti? Tarvitaan eri tasoisia käyttöoikeuksia, eli identiteettitietoinen tietoturva pitää ulottaa myös API-kerrokseen. Rajapinnassakin pitää osoittaa, että tiedon käyttäjällä on oikeus niiden käsittelyyn.

 

Käyttöoikeudet keskitetysti ja automatisoidusti

Tunnistautumisen perustan muodostavat oikeat ja ajan tasalla olevat käyttäjätiedot.

Käyttöoikeuksien hallinta on valitettavan usein hidasta, tehotonta ja riskialtista. Kyky raportoida henkilöiden käyttöoikeuksista tuottaa tuskaa, eikä läpinäkyvyyttä ja kokonaiskuvaa ole. Muutokset hoituvat hitaasti, kun esimerkiksi yksittäisen henkilön työtehtävä vaihtuu. Onko käyttäjien tietojen hallinta automatisoitu? Kuinka huolehditaan automaation ulkopuolella olevista oikeuksista? Miten tarkastan käyttäjien oikeudet kriittisiin järjestelmiin?

Yhä useammin käyttäjien joukkoon kuuluu myös oman organisaation ulkopuolisia käyttäjiä, asiakkaita ja kumppaneita. Roolien avulla isojenkin käyttäjämäärien hallinta on helpompaa. Myyjälle annetaan työntekijä- ja myyjä -roolien käyttöoikeudet. Roolien ulkopuoliset oikeudet käsitellään poikkeuksina, ja tarkastusprosessissa katsotaan vain noita poikkeuksia eikä kaikkia yksittäisiä oikeuksia.

 

Lokit ja kulkuoikeudet hallintaan

Voitko selvittää jälkikäteen, kuka on kirjautunut tietojärjestelmään ja mitä tietoa hän on sieltä hakenut? Lokien avulla tunnistetaan poikkeamia ja tietoturvauhkia verkossa. Väärinkäytösten selvittäminen vaatii lokitietoja. Lokien hallinta on kaikkien tieturvasertifiointien peruselementti ja käyttäjätietoihin tehtävien muutosten ja pääsyn lokittaminen on ensiarvoisen tärkeää.

Tietomurtoihin sisältyy usein tiedon kalastelua ja sosiaalista manipulointia. Rikollinen saattaa käydä tai jopa toimia yrityksen toimitiloissa. Fyysiset tilatkin pitää suojata, ja kulkuoikeuksia pitäisi ohjata identiteettitiedoilla. Kulkuoikeudet voidaan integroida käyttäjätietovarastosta saadun tiedon kautta käyttäjävaltuushallinnan piiriin.

 

Mikä on oma valmiutesi?

Digitaalisen muutoksen toteuttaminen ja digitaalisen omaisuuden turvaaminen ovat nyt jokaisen tietohallintojohtajan agendalla, koska sekä riskit että mahdollisuudet ovat niin valtavat! Digitaalisen muutoksen nopeuttaminen sekä pilvipalveluiden käytön laajentaminen vaativat identiteettitietojen hallinnan ja hyödyntämisen arkkitehtuuria sekä IGA-ratkaisun tuomia ominaisuuksia.

Kutsu meidät analysoimaan tilannettasi, ja pohtimaan kuinka riskipohjainen tunnistautuminen voisi auttaa paremman tietoturvan ja käyttökokemuksen tuottamisessa.

 

Pekka Lindqvist

Liiketoimintajohtaja, Micro Focus Suomi