Älykkäät esineetkin vaativat tietoturvallista identiteetin- ja pääsyhallintaa

Sitä, millä tavalla omistamamme tavarat ovat yhteydessä internetiin ja kuinka niiden toimintaa pystytään ohjaamaan, kehitetään jatkuvasti loppukäyttäjän arkea helpottavaan suuntaan. Tällaisten laitteiden käyttö vaatii tietoturvallisuuden näkökulmasta aiempaa tarkempaa kehitystyötä.

Tietotekniikan tutkimus- ja konsultointiyrityksen Gartnerin mukaan1 vuoden 2016 loppuun mennessä 6,4 miljardia tuotetta on kytketty internetiin. Olemme entistä vähemmän kytköksissä aikaan ja paikkaan, kun keräämme tietoa ja hallinnoimme laitteita verkon kautta etänä. Mikään mittari tai ennuste ei viittaa siihen, että tämä suunta tai vauhti olisi hidastumassa.

Sitä, millä tavalla omistamamme tavarat ovat yhteydessä internetiin ja kuinka niiden toimintaa pystytään ohjaamaan, kehitetään jatkuvasti loppukäyttäjän arkea helpottavaan suuntaan. Tällaisten laitteiden käyttö vaatii tietoturvallisuuden näkökulmasta aiempaa tarkempaa kehitystyötä. Tietoturvauhilta suojautumisesta on tullut digitaalisen liiketoiminnan elinehto. Asiakkaat valitsevat palveluntarjoajia sen mukaan, kuinka tietoturvallisiksi he kokevat järjestelmät ja kuinka hyvin heidän asiakastietojaan suojataan. Ilman näyttöä tai näppäimistöä olevien laitteiden oikeanlaisesta toiminnasta on pystyttävä vakuuttumaan.

Identiteetin- ja pääsynhallintaa tarvitaan myös esineiden internetissä

Asioiden tai esineiden internet (Internet of Things, IoT) tarvitsee tuekseen asioiden identiteetin (Identity of Things, IDoT), joka mahdollistaa esineiden tunnistamisen ja valtuuttamisen käyttäjän sijaan. Identiteetin- ja pääsynhallinta (Identity and Access Management, IAM) tarkoittaa myös verkkoon kytkettyjen laitteiden henkilöllisyyksien hallintaa kootusti, vaikka perinteisesti sen on ajateltu liittyvän ainoastaan henkilöihin.

Esineiden internet voi parhaimmillaan helpottaa käyttäjien elämää etäkäytön myötä, mutta tuotteiden yhdistäminen internettiin tuo mukanaan myös uudenlaisia riskejä: uusi digitaalinen rajapinta on samalla uusi mahdollinen hyökkäyskohde. Parhaat yritykset lähestyvät tietoturvariskejä suunnitelmallisesti ja tunnistavat omaan organisaatioonsa ja palveluihinsa kohdistuvat uhat – vain tätä kautta ne voivat ottaa käyttöön asianmukaiset suojauskeinot. Nämä kiinnostavat myös asiakkaita yhä enemmän.

Uusi digitaalinen rajapinta on uusi mahdollinen hyökkäyskohde.

Kyberavaruus suunniteltiin avoimeksi, riskinäkökulma tuoreempi

Uudet teknologiat ja innovaatiot avaavat uudenlaisia mahdollisuuksia liiketoiminnalle. Yrityselämän digitalisoitumisen taustalla on ajatus asiakaskokemuksen kehittämisestä teknologialähtöisesti. Bisneksen kannalta olennaisten tietojen ja palveluiden siirtyessä verkkoon mahdollistuu liiketoiminnan harjoittaminen missä ja milloin tahansa. Internetin ja muiden toisiinsa yhteydessä olevien järjestelmien kyberavaruus suunniteltiin helpottamaan digitaalisen tiedon jakamista. Tietojen vapaa jaettavuus ja pääsy tietoihin on aina ollut sille keskeinen ominaisuus. Tietoturvakysymyksiä on ryhdytty pohtimaan ja riskeihin alettu varautua vasta myöhemmin.

Innovaatiot ja liiketoiminnan kehitys luovat aivan uudenlaisia töitä ja mahdollisuuksia. KPMG:n kansainvälisen Global CEO Outlook2 -kyselytutkimuksen mukaan jopa 72 prosenttia haastatteluista yritysjohtajista kokee seuraavien kolmen vuoden olevan heidän toimialoillaan kriittisempiä kuin edelliset 50 vuotta yhteensä ovat olleet. Muutostahti on ennennäkemätön. Suurimpina uhkakuvina tutkimuksessa nousivat esille yritysten tietoturvaan liittyvät riskit ja uudenlaisen osaamisen katvealueet.

Automatisoitu, rooliperusteinen käyttäjänhallinta parantaa tietoturvaa

Palveluita tarjotaan yhä enemmän pilvipohjaisilla alustoilla, ja kriittisen tiedon säilyttämiseen ja käsittelyyn liittyvät uhat nousevat esille yhä useammin yritysten arjessa. Käyttöoikeuksien tulee olla kunnossa, jotta voidaan varmistua siitä, että sensitiivistä dataa käsittelevät vain ne, joiden työtehtävät sitä edellyttävät ja että heidän oikeutensa tiedon jakamiseen liittyen ovat kunnossa.

Kriittisen datan siirtyminen fyysisestä digitaaliseen muotoon helpottaa tiedon jakamista usealle henkilölle samanaikaisesti. ”Principle of least privilege” (vähimmän oikeuden periaate) tulee ottaa huomioon myös sähköisessä muodossa olevien tietojen käsittelyssä: jokainen työntekijä tarvitsee työnsä suorittamisen kannalta pienimmän mahdollisen käyttöoikeusmäärän. Käyttöoikeuksien ja käyttäjien identiteetin lisäksi tietoihin pääsyä täytyy pystyä hallinnoimaan. Pääsynhallinnalla voidaan varmistua siitä, että oikea käyttäjä pystytään valtuuttamaan ja väärinkäytökset estämään. Lisäksi hyvin toteutettu identiteetin- ja pääsynhallinta parantaa käyttökokemusta.

KPMG: Global profiles of the fraudster -tutkimuksen3 (05/2016) mukaan neljännes yritysten kohtaamista väärinkäytöksistä liittyy teknologioiden huolimattomaan käyttöön. Tutkimuksen kohteena olivat vuosina 2010–2015 KPMG:n rikosteknisten asiantuntijoiden tiedossa olleiden 750 väärinkäytöksen yksityiskohdat eri puolilla maailmaa. Tutkimuksen mukaan 86 prosenttia väärinkäytöksistä oli kohdeyritysten sisäisiä. Tästä määrästä noin viidennes oli kohdeyritysten entisiä työntekijöitä. Tutkituista väärinkäytöksistä 61 prosenttia raportoitiin olevan mahdollisia heikkojen sisäisten kontrollien vuoksi. Väärinkäytöksen tekijöistä 44 prosenttia oli puolestaan yrityksessä sellaisessa asemassa, jossa heillä oli mahdollisuus kiertää olemassa olevat kontrollit.

Parhaimmillaan identiteetinhallinta parantaa tietoturvan lisäksi myös käyttökokemusta.

Käyttäjien tunnistamiseen ja valtuutukseen keskittyneet työkalut mahdollistavat työntekijöiden rooliperusteisen käyttöoikeuksien hallinnan, joka automatisoi henkilöstöhallinnon tai joissakin tapauksissa yritysten sisäisten tai ulkoistettujen IT-palveluiden prosesseja. Samalla yritysten sisäisten kontrollien tasoa käyttöoikeuksien valvonnan osalta pystytään nostamaan. Tämä voi osaltaan vähentää sisäisten väärinkäytösten määrää.

Digitaalinen ympäristö on hyvä kasvualusta disruptioille

Neljäs teollinen vallankumous ja esineiden internet muokkaavat vauhdilla työelämän totuttuja rutiineita ja manuaalisia prosesseja. Digitaalisuuden kautta pystytään optimoimaan ja tehostamaan työn vaiheita, mutta digitaalisuus ja teknologian kehitys tuovat myös kokonaan uusia mahdollisuuksia innovaatioille. Digitaalisuuden aikakaudella yritysten on pystyttävä panostamaan resursseja kehitystyölle ja uusille teollisuutta ja markkinoita muokkaaville keksinnöille, jotta työelämän viimeisimmästä vallankumouksesta voidaan saada kaikki irti.

-Hannamari Sivonen, KPMG-