Kirjoittaja: Kari Mattsson, Trivoren perustaja
Vuosi sitten identiteetinhallinnan trendit kiteytyivät salasanattomuuteen, integraatioihin ja sääntelyyn. Vuodessa maailma on muuttunut enemmän kuin edeltävänä viitenä vuotena yhteensä.
Geopoliittinen jännite on kääntänyt pilvistrategian suvereniteettikysymykseksi. Tekoäly on noussut sekä identiteetinhallintaa uhkaavaksi että sitä vahvistavaksi voimaksi. Koneiden ja ohjelmistoagenttien identiteetit ovat räjähtäneet hallitsemattomiksi. Samalla EU:n digitaalisen identiteetin lompakko lähestyy käyttöönottoa, ja markkinat konsolidoituvat vauhdilla.
Identiteetinhallinta on siirtynyt IT-osastolta johtoryhmän agendalle – ei vapaaehtoisesti, vaan pakon edessä. Suomen kyberturvallisuuslaki asettaa johdolle henkilökohtaisen vastuun, hyökkääjät eivät enää murtaudu järjestelmiin vaan kirjautuvat sisään varastetuilla identiteeteillä, ja väärä arkkitehtuurivalinta voi sitoa organisaation toisen valtion lainsäädäntöön.
Tässä viisi kehityssuuntaa, jotka määrittävät identiteetinhallinnan vuotta 2026.
1. Geopolitiikka ja datasuvereniteetti: identiteetti on uusi rajapinta
Pilvistrategia on geopoliittinen kannanotto, eikä vain tekninen päätös. Gartnerin vuoden 2026 strategisiin trendeihin nimeämä geopatriaatio kuvaa ilmiötä, jossa organisaatiot siirtävät työkuormia ja dataa globaaleista julkipilvistä paikallisiin tai suvereeneihin ympäristöihin. Yli 60 prosenttia länsieurooppalaisista IT-johtajista odottaa geopolitiikan ohjaavan heitä kohti paikallisia palveluntarjoajia.
Ranska ja Saksa järjestivät marraskuussa 2025 EU:n digitaalisen suvereniteetin huippukokouksen, jossa esiteltiin EuroStack, eli strateginen viitekehys eurooppalaisten vaihtoehtojen rakentamiseksi pilvipalveluihin, tekoälyyn ja kyberturvallisuuteen. Samanaikaisesti AWS avasi tammikuussa 2026 European Sovereign Cloud -palvelunsa, jossa metadata, identiteetinhallinta ja laskutus pysyvät EU:n sisällä. Eurooppalaisten luottamus ei kuitenkaan ole itsestäänselvyys: Airbusin digijohtaja on julkisesti kyseenalaistanut, voivatko yhdysvaltalaiset hyperscalerit todella olla immuuneja ekstraterritoriaaliselle lainsäädännölle.
Kyse ei ole pelkästä mielikuvasta. Yhdysvaltain CLOUD Act mahdollistaa viranomaisten pääsyn yhdysvaltalaisten palveluntarjoajien hallinnoimiin tietoihin riippumatta siitä, missä data fyysisesti sijaitsee. Identiteetinhallinta on tämän keskustelun ytimessä, koska se määrittää, kuka pääsee käsiksi mihinkin dataan ja millä ehdoilla. Jos IAM-järjestelmä toimii yhdysvaltalaisella alustalla, organisaation suvereniteettistrategia nojaa viime kädessä toisen valtion lainsäädäntöön.
2. Generatiivinen tekoäly: uhka, puolustaja ja työkalu
Tekoäly muuttaa identiteetinhallintaa kolmesta suunnasta yhtä aikaa:
- Tekoäly uhkana: Hyökkääjät käyttävät jo generatiivista tekoälyä tuottaakseen personoituja phishing-kampanjoita konenopeudella. Deepfake-teknologia on siirtynyt kokeiluista tuotantoon: tekoälyn generoima ääni on onnistunut ohittamaan pankin puhelintodennuksen, ja reaaliaikaiset videoväärennökset kykenevät esiintymään organisaation johtajina. Perinteiset MFA-menetelmät ovat yhä useammin riittämättömiä, kun hyökkääjät hyödyntävät MFA-väsytystä, SIM-kaappausta ja istuntojen kaappaamista.
- Tekoäly puolustajana: Samat teknologiat vahvistavat puolustusta. Jatkuva käyttäytymisen seuranta ja poikkeamien ennakoiva tunnistaminen mahdollistavat identiteettipohjaisten hyökkäysten torjunnan reaaliajassa – paljon nopeammin kuin manuaalinen valvonta. Tekoäly tehostaa myös arkisia IAM-operaatioita: roolien louhinta, käyttöoikeuksien automaattinen provisiointi ja data-aineistojen puhdistaminen lyhentävät käyttöönoton aikaa ja vähentävät inhimillisiä virheitä.
- Tekoälytyökalujen turvaaminen: Kolmas ulottuvuus on organisaation omien tekoälytyökalujen suojaaminen. Kun tekoälypohjaiset avustajat ja agentit operoivat tuotantoympäristöissä, niiden pääsy dataan ja järjestelmiin on hallittava yhtä kurinalaisesti kuin ihmiskäyttäjien. Tämä edellyttää siirtymää staattisista säännöistä kohti kontekstitietoista pääsynhallintaa, jossa päätökset perustuvat reaaliaikaiseen luottamuksen arviointiin.
3. Ei-inhimilliset identiteetit: näkymätön hyökkäyspinta
Palvelutilit, API-avaimet, automaatiobotit, IoT-laitteet – ja nyt tekoälyagentit. Ei-inhimillisten identiteettien määrä on kasvanut suhteessa ihmiskäyttäjiin räjähdysmäisesti: alan tutkimusten mukaan suhde on tyypillisesti 100:1, joissain organisaatioissa jopa 500:1. Silti valtaosa näistä identiteeteistä jää identiteetinhallinnan prosessien ulkopuolelle.
Ongelma ei ole uusi, mutta sen mittakaava on. Viisi vuotta sitten tyypillinen yrityssovellus oli monoliitti, joka keskusteli tietokannan kanssa. Nykyään mikropalveluarkkitehtuuri tuottaa kymmenistä satoihin palveluidentiteettejä yhtä sovellusta kohden. Kun tähän lisätään tekoälyagentit, jotka toimivat autonomisesti ja ylittävät järjestelmärajoja, perinteinen IAM-malli ei yksinkertaisesti pysy perässä. Tähän kertyneeseen identiteettivelkaan on puututtava järjestelmällisesti – organisaatio ei voi suojata identiteettejä, joiden olemassaolosta se ei ole tietoinen.
OWASP on julkaissut vuonna 2026 sekä Non-Human Identities Top 10 -listan että Agentic Applications Top 10 -listan. Cloud Security Alliancen tutkimuksen mukaan 78 prosenttia organisaatioista ei ole määritellyt käytäntöjä tekoälyidentiteettien luomiseen tai poistamiseen. Tämä on haaste, joka vaatii välitöntä huomiota – ei enää suunnittelua.
4. Identity Fabric: konsolidaation vuosi
Identiteetinhallinnan markkinat konsolidoituvat voimakkaammin kuin koskaan. Palo Alto Networks osti CyberArkin 25 miljardilla dollarilla. ServiceNow osti Vezan. CrowdStrike ilmoitti SGNL:n hankinnasta. Viesti on selvä: identiteetti on noussut turvallisuusarkkitehtuurin ytimeen, ja suuret toimijat haluavat sen osaksi alustaansa.
Organisaatioiden kannalta tämä tarkoittaa painetta siirtyä sirpaloituneista pistetuotteista kohti yhtenäistä identiteettiarkkitehtuuria, eli Identity Fabricia. Se on looginen kerros, joka tarjoaa identiteettipalvelut API-rajapintojen ja tapahtumapohjaisten arkkitehtuurien kautta riippumatta siitä, onko kyseessä pilvijärjestelmä, vanha liiketoimintasovellus tai tekoälyagentti. Oleellista on, että tämä kerros hallinnoi sekä ihmisten, koneiden että tekoälyn identiteettejä yhtenäisillä periaatteilla.
Modulaarinen, mikropalvelupohjainen Identity Fabric mahdollistaa myös tulevaisuuteen varautumisen tavalla, johon monoliittiset järjestelmät eivät kykene. Kun NIST julkaisi elokuussa 2024 ensimmäiset post-quantum-kryptografian standardit, alkoi kello käydä: organisaatioiden on pystyttävä päivittämään kryptografiset algoritmit ilman koko järjestelmän uusimista. Tätä kykyä kutsutaan crypto-agilityksi, ja se on luonteva ominaisuus arkkitehtuurissa, joka on alun perin rakennettu modulaariseksi.
5. EUDI Wallet ja sääntely: CIAM:in käännekohta
Joulukuuhun 2026 mennessä jokaisen EU-jäsenvaltion on tarjottava kansalaisilleen vähintään yksi sertifioitu EUDI Wallet, eli digitaalinen identiteettilompakko, joka mahdollistaa tunnistautumisen sekä julkisiin että yksityisiin palveluihin kaikkialla unionissa. Marraskuusta 2027 alkaen organisaatiot, jotka edellyttävät vahvaa tunnistautumista, ovat velvollisia hyväksymään lompakon.
Tämä on merkittävä muutos erityisesti asiakasidentiteetin hallinnalle (CIAM). Aiemmin organisaatiot rakensivat omat rekisteröitymis- ja tunnistautumisprosessinsa. EUDI Walletin myötä käyttäjä voi todistaa henkilöllisyytensä tai yksittäisen ominaisuutensa — kuten iän tai ammattipätevyyden — ilman, että organisaation tarvitsee kerätä tai tallentaa kaikkia henkilötietoja. Selective disclosure -periaate vähentää datariskiä ja yksinkertaistaa GDPR-vaatimustenmukaisuutta.
Samalla sääntely-ympäristö tiukkenee laajemminkin. Suomen kyberturvallisuuslaki (124/2025), joka toimeenpanee EU:n NIS2-direktiivin, astui voimaan huhtikuussa 2025 ja alkaa purra vahvasti tänä vuonna. Lain 10§ asettaa organisaation ylimmälle johdolle henkilökohtaisen vastuun kyberturvallisuuden riskienhallinnasta – kyberturvallisuutta ei siis voi enää delegoida tietohallintoon. Sanktiot ovat merkittäviä: keskeiselle toimijalle enintään 10 miljoonaa euroa, ja johdon henkilökohtaiset toimintakiellot ovat mahdollisia toistuvissa laiminlyönneissä. Identiteetinhallinta on tämän kokonaisuuden ytimessä, koska se määrittää pääsyn organisaation kriittisiin järjestelmiin ja tietoihin.
Mitä tämä kaikki tarkoittaa käytännössä?
Vuoden 2026 identiteetinhallinnan trendit kietoutuvat yhteen. Datasuvereniteetti edellyttää eurooppalaista IAM-arkkitehtuuria. Tekoäly muuttaa sekä uhkakuvaa että puolustuskeinoja. Ei-inhimilliset identiteetit pakottavat laajentamaan hallinnan kaikkiin digitaalisiin toimijoihin. Identity Fabric tarjoaa arkkitehtuurisen vastauksen näihin haasteisiin. Ja EUDI Wallet avaa kokonaan uuden luvun asiakasidentiteetin hallinnassa.
Yhteistä näille kaikille on yksi johtopäätös: identiteetinhallinta ei ole enää tukitoiminto, jonka voi delegoida IT-osaston syövereihin. Se on strateginen päätös, joka vaikuttaa organisaation kykyyn toimia, kasvaa ja selviytyä muuttuvassa toimintaympäristössä.
Trivore: eurooppalainen Identity Fabric
Trivore rakentaa eurooppalaista identiteetinhallinnan alustaa, joka vastaa juuri näihin haasteisiin. Mikropalvelupohjainen arkkitehtuurimme toimii Identity Fabricina, joka yhdistää ihmisten, koneiden ja tekoälyagenttien identiteetit yhtenäiseksi, hallittavaksi kokonaisuudeksi – vanhoista järjestelmistä pilveen ja EUDI Wallet -integraatioihin.
Tekoälyssä lähestymistapamme on tietoinen valinta: AI toimii älykkäänä laajennuskerroksena, joka tehostaa operaatioita, vahvistaa puolustusta ja mahdollistaa kontekstitietoisen pääsynhallinnan. Ydinmoottori pysyy deterministisenä, koska identiteetinhallinnassa ennustettavuus on turvallisuuden edellytys, eikä valinnainen ominaisuus.
Eurooppalaisena toimijana emme ole riippuvaisia yhdysvaltalaisten hyperscalereiden infrastruktuurista. Se tekee suvereniteettilupauksestamme uskottavan – ei markkinointipuhetta vaan arkkitehtuurin sisäänrakennettua ominaisuutta.
Haluatko keskustella siitä, miten nämä trendit vaikuttavat juuri teidän organisaationne identiteetinhallintaan? Ota yhteyttä – rakennetaan yhdessä kestävä pohja.