Kirjoittaja: Mika Aromaa, Trivoren toimitusjohtaja
Vuoden 2024 kolmella suurimmalla tietomurrolla oli yksi yhteinen tekijä: hyökkääjät kävelivät sisään käyttämällä tavallisia, valideja tunnuksia. Ticketmasterilta, Change Healthcarelta, ja AT&T:ltä vietiin yhteensä lähes 900 miljoonaa tietuetta. Syynä eivät olleet heikot salasanat vaan se, että kukaan ei nähnyt pirstoutunutta identiteettien sekamelskaa, joka oli hajallaan kymmenissä eri järjestelmissä.
Nämä eivät olleet yksittäisiä lipsahduksia. Ne olivat oireita laajemmasta ongelmasta, joka koskettaa lähes jokaista suurta organisaatiota.
IBM:n tuoreen Cost of a Data Breach -tutkimuksen mukaan lähes puolet kaikista tietomurroista johtuu luottamuksen väärinkäytöstä: tietojenkalastelusta, tunnusten varkauksista, haitallisista sisäpiiriläisistä tai kolmansien osapuolten käyttöoikeuksien väärinkäytöstä. Jos mukaan lasketaan sisäiset virheet ja väärin tehdyt konfiguraatiot, osuus nousee selvästi yli puoleen. Suurin osa tietomurroista ei siis johdu eksoottisista haavoittuvuuksista vaan pirstoutuneista ja huonosti hallituista identiteeteistä.
Identiteetit ovat uusi hyökkäyspinta
Viimeisen vuosikymmenen aikana identiteettien hallinta on mullistunut. Useimmat organisaatiot käyttävät HR-järjestelmien, Active Directoryn, Azure AD:n, pilvisovellusten ja kumppaniportaalien yhdistelmää. Jokaisella on oma käyttäjätietokantansa ja käyttöoikeuspolitiikkansa. Tuloksena on mitä analyytikot kutsuvat nimellä identity sprawl eli identiteettien leviäminen: jokainen järjestelmä, projekti tai liiketoimintayksikkö muodostaa oman pienen identiteettisiilon.
Työntekijöillä on nykyään usein kymmeniä erillisiä digitaalisia identiteettejä sisäisissä ja ulkoisissa järjestelmissä. Eräässä tutkimuksessa todettiin, että 60 prosentilla organisaatioista on yli 21 erillistä identiteettiä käyttäjää kohden. Toinen tuore raportti kertoo, että yrityksissä on käytössä keskimäärin 93 sovellusta – suurissa yrityksissä yli 230. Tämä luo laajan, pirstoutuneen hyökkäyspinnan.
Monet näistä tileistä ovat päällekkäisiä, vanhentuneita tai orpoja, jotka jäävät elämään, kun ihmiset vaihtavat roolia. Konsultit ja kumppanit saavat väliaikaisia tunnuksia, jotka usein jatkavat elämäänsä kauan projektien päättymisen jälkeen. Tietoturvan näkökulmasta jokainen unohtunut tili on potentiaalinen sisäänkäynti.
Pohjoismaisten yritysten tilanne on ironinen: niiden vahvuudet ovat kiihdyttäneet ongelmaa. Organisaatiot, jotka ottivat pilvipalvelut käyttöön aikaisessa vaiheessa, rakensivat hajautettuja toimintoja ja integroituivat syvästi toimittajaverkostoihin, hallinnoivat nyt identiteettejä kymmenissä irrallisissa järjestelmissä. Pirstoutuminen ei ole merkki huonosta suunnittelusta – se on väistämätön seuraus digitaalisesta muutoksesta ilman identiteettien federaatiota.
Perinteiset IAM-työkalut eivät pysy mukana
Perinteiset IAM-järjestelmät (Identity and Access Management) rakennettiin toisenlaiseen maailmaan. Suurin osa käyttäjistä ja sovelluksista toimi sisäverkossa ja oli kytketty keskitettyyn hakemistoon. Järjestelmät hallitsivat erinomaisesti sitä, kuka pääsi käsiksi mihinkin hyvin määriteltyjen rajojen sisällä. Mutta moderneissa IT-ympäristöissä ei enää ole selkeitä rajoja. Organisaatiot toimivat useissa pilviympäristöissä, integroivat ulkoisia palveluita API:en kautta ja luottavat kumppaniekosysteemeihin. Jokainen uusi yhteys lisää monimutkaisuutta ja heikentää ajatusta yhdestä ”totuuden lähteestä”.
Käytännössä useimmat perinteiset IAM-järjestelmät kattavat vain murto-osan sovellusmaisemasta. Arkkitehtuuri-, integraatio- ja ominaisuusrajoitusten vuoksi ne on tyypillisesti yhdistetty vain muutamaan vanhempaan, paikalliseen järjestelmään – usein vain 5–10 järjestelmään. Näin valtaosa nykyaikaisista SaaS- ja pilvisovelluksista, joita työntekijät käyttävät päivittäin, jää IAM:n ulkopuolelle. Ne luottavat erillisiin tunnuksiin ja epäyhtenäisiin käytäntöihin. Seurauksena IAM:n potentiaaliset hyödyt – näkyvyys, hallinta ja riskin vähentäminen – eivät koskaan ulotu sinne, missä suurinta osaa identiteeteistä todellisuudessa hallinnoidaan.
Analyytikot kuten Gartner ovat varoittaneet tästä vuosia. Ongelma ei ole se, ettemme tietäisi asiasta. Ongelma on se, että perinteiset IAM-toimittajat jatkavat saman vanhan arkkitehtuurin myymistä. Pirstoutumisen mittakaava tekee tehokkaasta hallinnasta yhä vaikeampaa. Vanhat IAM-työkalut eivät kompastu siksi, että ne olisivat huonosti suunniteltuja. Ne eivät toimi, koska ne ratkaisevat 2010-luvun ongelmaa.
Riski piiloutuu rutiineihin
Tietoturvassa suurimmat riskit ovat usein hiljaisia. Ne ovat rutiininomaisia toimintoja, joita kukaan ei tarkista, koska ne ”vain toimivat”. Kun identiteetit ovat hajallaan, jopa rutiineista tulee riskialttiita. Uusien käyttäjien provisionti kestää kauemmin. Oikeuksien poisto jättää aukkoja. Auditoijat eivät pysty näkemään kunnolla sitä, kenellä on pääsy mihin. Tietoturvapolitiikat ajautuvat erilleen järjestelmien välillä. Kun tietomurto sattuu, vaarantuneiden tunnusten jäljittäminen kymmenien irrallisten järjestelmien läpi voi kestää viikkoja.
Pirstoutuminen ei ainoastaan lisää riskejä – se myös kasvattaa kustannuksia. Jokainen manuaalinen synkronointi, jokainen päällekkäinen käyttöoikeuspyyntö ja jokainen auditoinnissa löytynyt poikkeus syö lisää aikaa ylikuormitetuilta IT- ja tietoturvatiiimeiltä. Tämän päivittäisen kitkan todellinen hinta on valtava – ja useimmissa budjeteissa täysin näkymätön.
AI:n valvonta ontuu
Tekoäly lisää sekä mahdollisuuksia että riskejä. IBM:n Cost of a Data Breach -raportti nostaa esiin AI-valvonnan kasvavan aukon: 13 prosenttia organisaatioista on jo kokenut tietomurron, joka liittyi niiden omiin AI-malleihin tai -sovelluksiin. Tutkimuksen mukaan 97 prosentilta yrityksistä puuttuu asianmukaiset AI-käyttöoikeuksien hallintamekanismit.
Shadow AI eli hyväksymätön AI:n käyttö aiheutti joka viidennen näistä tietomurroista ja lisäsi keskimääräisiin kustannuksiin noin 670 000 dollaria. Samaan aikaan hyökkääjät käyttivät AI:tä 16 prosentissa tietomurroista, useimmiten AI-generoidussa tietojenkalastelussa ja deepfake-identiteettivarkauksissa.
Tuloksena on uusi luokka ”ei-inhimillisiä identiteettejä”: mallit, agentit ja API:t, jotka vaativat nyt samaa hallintaa ja elinkaaren valvontaa kuin työntekijät tai kumppanit.
Federaatio ratkaisuna
Hyvä uutinen on, että pirstoutuminen ei ole peruuttamatonta. Edelläkävijäorganisaatiot kohtelevat identiteettejä jaettuna infrastruktuurikerroksena: ohjauskerroksena, joka yhdistää sen sijaan että se monistaisi.
Federoidussa IAM-mallissa eri järjestelmät omistavat käyttäjätietonsa, mutta niitä hallitaan keskitetysti. Politiikat, hyväksynnät ja elinkaaritapahtumat orkestroidaan yhdestä paikasta käyttäen standardiprotokollia ja rajapintoja.
Tämä malli heijastaa tapaa, jolla pohjoismaiset organisaatiot jo toimivat: hajautetusti, yhteistyöhakuisesti ja käytännönläheisesti. Se ei vaadi nykyisten järjestelmien täydellistä vaihtamista. Malli rakentaa koherenssia ylhäältä käsin ja varmistaa, että jokainen identiteetti – olipa se HR:stä, Azure AD:stä, toimittajaportaalista tai AI-agentista – on osa samaa hallintakudosta.
Analyytikot suosittelevat politiikan keskittämistä ja identiteettityönkulkujen automatisointia federoiduissa järjestelmissä. Tavoitteena on vähentää altistumista ja nopeuttaa ongelmien havaitsemista sekä niihin reagointia. Yhtä tärkeää on, että tällainen lähestymistapa antaa tiimeille enemmän aikaa – aikaa innovoida, vahvistaa valvontaa ja valmistautua NIS2:n ja EU:n tietoturvalain asettamiin vaatimuksiin.
Selkeys vaatii suunnittelua
Pohjoismaisten yritysten ongelma ei ole teknologian tai tietoisuuden puute. Haaste on pirstoutuminen: uusia järjestelmiä, toimittajia, palveluita ja nyt myös AI-agentteja tulee jatkuvasti ekosysteemiin, jokainen omalla identiteettitasollaan.
CISO:t tietävät, että ilman federaatiota ja automaatiota monimutkaisuus vain kasvaa – ja sen mukana sekä tietomurtojen että loppuunpalamisen riski. Trivorella näemme jatkuvasti, kuinka pohjoismaiset organisaatiot yhdistävät uudelleen pirstoutunutta identiteettimaisemaa. Ne eivät vaihda kaikkea vaan federoivat sen, mitä niillä jo on. Tämä on lähestymistapa, joka rakentaa turvallisuutta selkeyden, ei monimutkaisuuden kautta.
IAM:n modernisointi ei ole enää valinta, vaan välttämättömyys. Todellinen kysymys on, kuinka uudistuminen tehdään hallitusti. Federoitu ja politiikkavetoinen malli tarjoaa tasapainoisen ratkaisun: järjestelmät toimivat edelleen itsenäisesti, mutta identiteettien hallinta yhtenäistyy ja tulee näkyväksi koko organisaatiossa.
Pohjoismaisille CISO:ille, jotka hallinnoivat NIS2-säännöstenmukaisuutta, AI:n valvontaa ja identiteettien leviämistä kymmenissä järjestelmissä, tämä ei ole tulevaisuuden suunnittelua. Tämä on arkirealismia.
Identiteettien yhdistäminen vaatii harkittua suunnittelua, ei toiveajattelua. Organisaatiot, jotka federoivat nyt, nukkuvat yönsä rauhassa. Ne, jotka odottavat, joutuvat ennemmin tai myöhemmin käymään keskustelun aamuyön tunteina valvojien, asiakkaiden ja hallituksen jäsenten kanssa. Niiltä kysytään, miksi perustason näkyvyys ei ole kunnossa.
Ratkaiseva kysymys on: kuinka nopeasti pystyt tuomaan selkeyttä siihen, mikä sinulla jo on.
