CTO:mme Vesa Suontama puhui Turku Tech Weekillä 4.3.2026 aiheesta ”Identiteetti on uusi hyökkäyspinta – Miten identiteettejä suojataan?”. Esitys herätti paljon keskustelua, joten istuimme alas Vesan kanssa ja pyysimme häntä avaamaan esityksen neljää avainasiaa tarkemmin.
Esityksesi ensimmäinen avainasia oli, että identiteetti on avain melkein kaikkeen. Mikä sai sinut nostamaan juuri tämän kärkeen?
Koska se on kirjaimellisesti totta. Mieti mitä tahansa digitaalista palvelua – pankkia, sähköpostia, potilastietojärjestelmää, yrityksen sisäistä wikiä. Kaikki alkaa sillä, että järjestelmä päättää, kuka sinä olet. Jos joku saa haltuunsa sinun identiteettisi, hän saa kaiken minkä sinäkin. Ei tarvitse murtaa mitään. Ovi avautuu ihan normaalisti.
Aloitin esityksen tarinalla siitä, miten minua huijattiin kaupassa. Huijaus oli puhdasta sosiaalista manipulointia: tarina, empatia ja luottamus. Ei väkivaltaa, ei pakkoa. Menin lankaan, koska en pysähtynyt tarkistamaan. Samaa tehdään digitaalisesti joka päivä, paljon suuremmassa mittakaavassa. Kalasteluviesti toimii täsmälleen samalla periaatteella: se ei murra mitään, vaan saa sinut itse avaamaan oven.
Toinen avainsanomasi oli, että emme elä linnassa vaan basaarissa. Mitä tarkoitit tällä värikkäällä kielikuvalla?
Perinteinen tietoturva rakennettiin linnamallin varaan. Palomuuri oli nostosilta, sisäverkko oli linnan piha, ja kaikki sen sisäpuolella olivat luotettuja. Se toimi hyvin niin kauan kuin kaikki olennainen pysyi muurien sisäpuolella.
Mutta pilvipalvelut muuttivat kaiken. Ensin sähköposti siirtyi pilveen, sitten tiedostot, sitten CRM, sitten kaikki muu. Jokainen uusi SaaS-palvelu siirsi palasen liiketoiminnasta muurien ulkopuolelle. Ja kukaan ei pitänyt siitä puhetta tai tehnyt tietoista päätöstä. Se vain tapahtui, palvelu kerrallaan, vuosi vuodelta. Huomaamatta linnasta tuli basaari.
Basaarissa ei voi luottaa siihen, että kaikki sisällä olevat ovat hyviä tyyppejä. Linnassa portinvartija tunsi kaikki kasvoilta. Basaarissa liikkuu tuhansia ihmisiä, ja sinun pitää koko ajan arvioida, kuka on kauppias, kuka asiakas, kuka vakoilija naapurivaltiosta ja kuka taskuvaras. Ainoa tapa pitää järjestystä on hallita identiteettejä: kuka pääsee mihinkin, millä oikeuksilla ja kuinka kauan.
Kolmas kohtasi oli, että turvallisuuteen tarvitaan kerroksia. Eikö se ole melko ilmeistä?
Periaatteena kyllä. Käytännössä moni organisaatio luottaa edelleen yhteen kerrokseen: salasanaan. Ehkä siihen on lisätty kaksivaiheinen tunnistautuminen, mutta usein se on ainoa parannus, joka on tehty vuosiin. Se on kuin laittaisi linnan porttiin toisen lukon, mutta jättäisi kaikki ikkunat auki.
Kerroksittainen turvallisuus tarkoittaa sitä, että identiteettiä suojataan usealla tasolla samanaikaisesti. Vahva tunnistautuminen on ensimmäinen kerros. Sen päälle tulee vähimmän oikeuden periaate: käyttäjällä on pääsy vain siihen, mitä hän oikeasti tarvitsee. Kolmas kerros on jatkuva arviointi: järjestelmä seuraa, käyttäytyykö käyttäjä normaalisti. Jos joku kirjautuu Turusta ja puoli tuntia myöhemmin Singaporesta, jotain on pielessä. Yksikään näistä kerroksista ei ole yksinään riittävä, mutta yhdessä ne tekevät hyökkäyksestä huomattavasti vaikeampaa.
Vastaamon tapaus on tästä kotimainen ja tuskallinen esimerkki. Siellä pääsynhallinta petti perustavanlaatuisella tavalla. Arkaluonteiseen potilastietokantaan päästiin käsiksi, koska suojaus oli riittämätöntä: ei kerroksia, ei valvontaa, ei hälytyksiä. Seuraukset olivat tuhoisia. Kymmenet tuhannet potilaat joutuivat kiristyksen kohteeksi omilla terapiamuistiinpanoillaan. Yritys meni konkurssiin. Luottamus koko alaan kärsi tavalla, jota ei ole vieläkään korjattu. Se oli ihmisten elämiin kohdistunut isku, ja se olisi ollut estettävissä.
Neljäs avainasia oli, että tietoturva on hyvä investointi. Miten myyt sen epäilevälle päättäjälle?
Yleensä Case Vastaamo riittää. Kaikki Suomessa tietävät, mitä tapahtui. Yritys menetti kaiken: asiakkaat – joille aiheutuneen tuskan ja ahdistuksen määrää on vaikea edes kuvitella – maineensa ja lopulta olemassaolonsa. Se on ääriesimerkki, mutta pienempiä tapauksia sattuu jatkuvasti. Ne eivät vain päädy otsikoihin.
Niille, joille kovat numerot puhuvat paremmin, kerron IBM:n tutkimuksesta, jonka mukaan ison tietomurron keskimääräinen hinta on miltei viisi miljoonaa dollaria.
Lukuja tärkeämpi on se, että valtaosa näistä murroista alkaa identiteetistä – varastetuista tunnuksista, liiallisista käyttöoikeuksista tai hallitsemattomista palvelutileistä. Nämä ovat asioita, joihin voi vaikuttaa ennalta. Identiteetinhallinta ei ole kuluerä. Se on halvempaa kuin vaihtoehto.
Mutta kyse ei ole ainoastaan “vakuutuksesta”, turvasta ongelmien varalle. Hyvin toteutettu identiteetinhallinta tehostaa asiantuntijaorganisaation työtä ja parantaa työtyytyväisyyttä. Ja lisäksi IT:lle jää paremmin aikaa kehitystyöhön, kun rutiinihommia voi automatisoida.
Mikä on tärkein viesti, jonka haluaisit jättää lukijalle?
Kun suojaus on heikko, rikollinen ei murtaudu vaan käyttää tietojasi salaa. Jos et hallitse identiteettejä, et hallitse tietoturvaa.
Ja siinä piilee myös hyvä uutinen. Toisin kuin nollapäivähaavoittuvuuksissa tai kansallisvaltiotason hyökkäyksissä, identiteetteihin liittyvät riskit ovat sellaisia, joihin organisaatio voi itse vaikuttaa. Oikea hallintamalli, oikeat työkalut ja oikeat prosessit. Ei tarvitse olla täydellinen.
Pitää vain olla vähän parempi kuin eilen.