Hyppää sisältöön
ISMS.online

ISMS.online-blogi

Vaatimustenmukaisuus on tärkeää

Pidä sinut ajan tasalla tietoturvan ja vaatimustenmukaisuuden maailmasta.

WP_Post Object ( [ID] => 136420 [post_author] => 38 [post_date] => 2026-01-15 09:00:22 [post_date_gmt] => 2026-01-15 09:00:22 [post_content] => Nykyään ei voi vilkaistakaan mihinkään tietoturvatapahtumaan näkemättä ilmausta "nollaluottamus". Se on kyllä ​​muotisana, mutta hyödyllinen. Sen ytimessä on perustavanlaatuinen muutos tietoturvan painopisteessä pois kehäturvallisuudesta. Nollaluottamus on jo vanha termi, joka ilmestyi alan sanastoon noin vuonna 2010, mutta sen periaatteet ulottuvat pidemmälle kuin se, Jericho Forumiin, joka on kyberturvallisuusjohtajien kokoelma. Jerichon jäsenet keksivät ensimmäisen kerran termin "deperimetrisointi" noin vuonna 2004. Tämä tunnusti, että "rautarengas" suojaava kehä yritysverkon ympärillä ei enää riittänyt. Kun urakoitsijat ja muut liikekumppanit saivat enemmän pääsyä verkkoon, Ajatus "sisä-" ja "ulko-" -alueesta muuttui yhä hämärämmäksi. Entinen linna vallihaudoillaan oli kehittynyt kaupungiksi, jossa oli useita portteja ja paljon ihmisiä, jotka virtasivat vapaasti sisään ja ulos. Deperimetrisointi ja sen seuraaja nollaluottamus siirsivät painopisteensä yksittäisten omaisuuserien suojaamiseen verkon sisällä. Paras tapa tehdä se on jatkuvasti todentaa, kuka käytti näitä omaisuuksia ja mitä heillä oli lupa niillä tehdä. Tämä tarkoitti keskittymistä identiteettiin uutena turvallisuutena. Ne, jotka eivät tee tätä siirtymää, ottavat riskin suuremmista tietomurroista. ISMS:n tietoturvallisuuden tilaraportti 2025 jopa numeroi sen: todennusmurrot kymmenkertaistuivat viimeisen vuoden aikana, 2 prosentista 20 prosenttiin tapauksista. Verizonin tietomurto vahvistaa, että tunnistetiedot ovat edelleen yleisin hyökkäysvektori.

Miksi valtakirjoista on tullut avainasemassa

Miksi tunnistetiedoista tuli yritysjärjestelmien avainasemassa? Osittain se liittyy reunaverkkojen kehitykseen. Nykyään verkon reunaa on vaikea edes määritellä, sillä niin suuri osa siitä on levinnyt eri alueellisiin datakeskuksiin ja pilvipalveluihin. Myös hybridityöllä oli osansa, ja se kiihdytti ihmisten tarvetta käyttää verkkoa etänä. Toinen ajuri on ollut teollistunut tietovarkauksiin perustuva talous. Tämä haittaohjelma varasti 2.1 miljardia tunnistetietoa pelkästään vuonna 2024. mukaan GoogleKun tiedonhyökkäyksen kampanja kaappaa kirjautumistiedot, niitä on helppo myydä pimeässä verkossa, ja tunnuksia väärentävät hyökkääjät voivat sitten käyttää niitä digitaalisten ovenkahvojen ravisteluun internetissä. Kun he saavat osuman ja avaavat jälleen yhden tilin, hyökkääjät voivat olla varmoja, että heillä on runsaasti aikaa hyödyntää kaapattua tiliä ja päästä karkuun. 292 päivää keskimäärinIBM:n mukaan tunnistetietomurtojen havaitseminen kestää myös pisimmän.

Ei-ihmiskäyttäjät ovat nyt lukumäärältään suurempia kuin ihmiset

Identiteetistä on tullut yhä tärkeämpi osa turvallisuutta myös toisesta syystä: ei-inhimilliset identiteetit. Ennen vanhaan yritysten laskentaresurssien pääasialliset käyttäjät olivat ihmisiä. Nykyään mikropalveluiden, API-rajapintojen ja kukoistavan agenttisten tekoälypalveluiden sukupolven ansiosta ei-inhimilliset käyttäjät... lukumääräisesti ylivoimaisia ​​ihmisiä 144:1 yrityksissä vuonna 2025. Tämä oli 56 % enemmän kuin edellisenä vuonna. Tekoälyagenttien kasvu on tässä erityisen tärkeää, koska näistä palveluista on tulossa autonomisempia. Kun organisaatiot luottavat tekoälyautomaatioon, ne todennäköisemmin antavat näille agenteille enemmän vastuuta. Tällaisten etuoikeutettujen käyttöoikeuksien omaavien palveluiden prosenttiosuus kasvaa.

Identiteetti on perustavanlaatuinen

Näiden trendien vuoksi vaatimustenmukaisuuskehykset keskittyvät identiteettiin. ISO 27001:2022 -standardin liite A 5.15–5.18 kodifioi identiteetinhallinnan osana laajempaa organisatoristen toimenpiteiden kokonaisuutta, joka kattaa pääsynvalvonnan, identiteetinhallinnan, todennustiedot ja käyttöoikeudet. Vankoilla tietoturvan hallintakehyksillä on yhteinen piirre: jokaisen identiteetin on oltava yksilöllinen, vähimmäisoikeuksien on oltava normi ja ne on voitava auditoida. Monitietodennuksen (MFA) tulisi olla pakollista etuoikeutetulle pääsylle. Näiden kehysten keskittyminen identiteettiin on ajankohtaista, sillä sääntelyviranomaiset kiinnittävät tähän asiaan paljon enemmän huomiota. ENISA kuvailee Monimuotoinen tilinpäätös on fiksu tapa osoittaa, että noudatat NIS 2 -standardia. Yritysten kannattaa ottaa tämä huomioon, sillä tämä EU-asetus sisältää jopa 10 miljoonan euron tai 2 %:n maailmanlaajuisen liikevaihdon sakkoja organisaatioille, jotka eivät noudata vaatimuksia.

Siirtyminen identiteettikeskeiseen turvallisuusasetelmaan

Miten yritykset voivat omaksua identiteettiin perustuvan tietoturva-asennon, joka on riippumaton epämääräisistä raja-alueista? Nollaluottamuksen taustalla on konkreettisia komponentteja. Vahva identiteetin ja pääsynhallinta on yksi niistä, ja siihen kuuluu sen varmistaminen, että jokainen käyttäjä, palvelu ja kone tunnistetaan yksilöllisesti ja todennetaan jatkuvasti. Monipuolinen autentikointi on selkeä tapa estää tilien kaappauksia, mutta siihen liittyy myös riskejä. Monipuolisen autentikoinnin väsymys on todellista, ja välityspalvelimia voidaan käyttää myös monipuolisten autentikointisessioiden sieppaamiseen, ja tiedonvarkaat voivat varastaa istuntokeneita. Tunnusten varkaus voi ohittaa osan monipuolisista autentikointisessioista kokonaan. Vuonna 2024 Microsoft... havaitsi 147 000 token-toistohyökkäystä, kasvua 111 % edellisvuodesta. Salasanaton todennus avaimilla on toinen tapa estää ihmisiä joutumasta tietojenkalasteluhyökkäysten uhreiksi. Se voi myös estää joitakin käyttäytymismalleja, joista loppukäyttäjien on vaikea luopua yrittäessään saada työtä tehtyä, kuten salasanojen jakamisen kätevän käytön takaamiseksi. Nämä muutokset saattavat tuntua pelottavilta yrityksiltä monille organisaatioille, erityisesti niille, jotka ovat koonneet IT-infrastruktuurinsa useista järjestelmistä ajan myötä yritysostojen, pirstaloituneiden tiimien ja strategisten teknologiamuutosten kautta. Mutta ne voivat helpottaa asioita aloittamalla joistakin keskeisistä periaatteista. Ota käyttöön ISO 27001 Annex A 5.15-5.18 -kontrollit lähtökohtana. Nämä opastavat sinua käyttöoikeuskäytäntöjen, identiteetin elinkaaren hallinnan ja todennusstandardien parhaiden käytäntöjen mukaisessa toteuttamisessa. Tällainen viitekehys antaa sinulle vankan pohjan hallinnolle esimerkiksi säännöllisten käyttöoikeustarkastusten avulla. Sovi muiden kuin ihmisten identiteettien inventoinnista samalla tarkkuudella kuin työntekijöihin. Tee aukkoanalyysi ja selvitä, mitä vaadittaisiin kaikkien palvelutilien ja niiden TLS-varmenteiden tai API-avainten kattavaan huomioon ottamiseen. Viime kädessä tavoitteena on hyväksyä, että identiteetin suojaus on nyt perustavanlaatuinen osa tietoturvan hallintaa. Loppujen lopuksi et voi suojata sitä, mitä et voi todentaa. [post_title] => Perimeter Securitysta Identity As Securityyn [post_excerpt] => [post_status] => julkaise [comment_status] => suljettu [ping_status] => avaa [post_password] => [post_name] => perimeter-securitysta-identity-as-securityyn [to_ping] => [pinged] => [post_modified] => 2026-01-13 15:18:30 [post_modified_gmt] => 2026-01-13 15:18:30 [post_content_filtered] => [post_parent] => 0 [guid] => https://fi.isms.online/?p=136420 [menu_order] => 0 [post_type] => viesti [post_mime_type] => [comment_count] => 0 [filter] => raw )
WP_Post Object ( [ID] => 136420 [post_author] => 38 [post_date] => 2026-01-15 09:00:22 [post_date_gmt] => 2026-01-15 09:00:22 [post_content] => Nykyään ei voi vilkaistakaan mihinkään tietoturvatapahtumaan näkemättä ilmausta "nollaluottamus". Se on kyllä ​​muotisana, mutta hyödyllinen. Sen ytimessä on perustavanlaatuinen muutos tietoturvan painopisteessä pois kehäturvallisuudesta. Nollaluottamus on jo vanha termi, joka ilmestyi alan sanastoon noin vuonna 2010, mutta sen periaatteet ulottuvat pidemmälle kuin se, Jericho Forumiin, joka on kyberturvallisuusjohtajien kokoelma. Jerichon jäsenet keksivät ensimmäisen kerran termin "deperimetrisointi" noin vuonna 2004. Tämä tunnusti, että "rautarengas" suojaava kehä yritysverkon ympärillä ei enää riittänyt. Kun urakoitsijat ja muut liikekumppanit saivat enemmän pääsyä verkkoon, Ajatus "sisä-" ja "ulko-" -alueesta muuttui yhä hämärämmäksi. Entinen linna vallihaudoillaan oli kehittynyt kaupungiksi, jossa oli useita portteja ja paljon ihmisiä, jotka virtasivat vapaasti sisään ja ulos. Deperimetrisointi ja sen seuraaja nollaluottamus siirsivät painopisteensä yksittäisten omaisuuserien suojaamiseen verkon sisällä. Paras tapa tehdä se on jatkuvasti todentaa, kuka käytti näitä omaisuuksia ja mitä heillä oli lupa niillä tehdä. Tämä tarkoitti keskittymistä identiteettiin uutena turvallisuutena. Ne, jotka eivät tee tätä siirtymää, ottavat riskin suuremmista tietomurroista. ISMS:n tietoturvallisuuden tilaraportti 2025 jopa numeroi sen: todennusmurrot kymmenkertaistuivat viimeisen vuoden aikana, 2 prosentista 20 prosenttiin tapauksista. Verizonin tietomurto vahvistaa, että tunnistetiedot ovat edelleen yleisin hyökkäysvektori.

Miksi valtakirjoista on tullut avainasemassa

Miksi tunnistetiedoista tuli yritysjärjestelmien avainasemassa? Osittain se liittyy reunaverkkojen kehitykseen. Nykyään verkon reunaa on vaikea edes määritellä, sillä niin suuri osa siitä on levinnyt eri alueellisiin datakeskuksiin ja pilvipalveluihin. Myös hybridityöllä oli osansa, ja se kiihdytti ihmisten tarvetta käyttää verkkoa etänä. Toinen ajuri on ollut teollistunut tietovarkauksiin perustuva talous. Tämä haittaohjelma varasti 2.1 miljardia tunnistetietoa pelkästään vuonna 2024. mukaan GoogleKun tiedonhyökkäyksen kampanja kaappaa kirjautumistiedot, niitä on helppo myydä pimeässä verkossa, ja tunnuksia väärentävät hyökkääjät voivat sitten käyttää niitä digitaalisten ovenkahvojen ravisteluun internetissä. Kun he saavat osuman ja avaavat jälleen yhden tilin, hyökkääjät voivat olla varmoja, että heillä on runsaasti aikaa hyödyntää kaapattua tiliä ja päästä karkuun. 292 päivää keskimäärinIBM:n mukaan tunnistetietomurtojen havaitseminen kestää myös pisimmän.

Ei-ihmiskäyttäjät ovat nyt lukumäärältään suurempia kuin ihmiset

Identiteetistä on tullut yhä tärkeämpi osa turvallisuutta myös toisesta syystä: ei-inhimilliset identiteetit. Ennen vanhaan yritysten laskentaresurssien pääasialliset käyttäjät olivat ihmisiä. Nykyään mikropalveluiden, API-rajapintojen ja kukoistavan agenttisten tekoälypalveluiden sukupolven ansiosta ei-inhimilliset käyttäjät... lukumääräisesti ylivoimaisia ​​ihmisiä 144:1 yrityksissä vuonna 2025. Tämä oli 56 % enemmän kuin edellisenä vuonna. Tekoälyagenttien kasvu on tässä erityisen tärkeää, koska näistä palveluista on tulossa autonomisempia. Kun organisaatiot luottavat tekoälyautomaatioon, ne todennäköisemmin antavat näille agenteille enemmän vastuuta. Tällaisten etuoikeutettujen käyttöoikeuksien omaavien palveluiden prosenttiosuus kasvaa.

Identiteetti on perustavanlaatuinen

Näiden trendien vuoksi vaatimustenmukaisuuskehykset keskittyvät identiteettiin. ISO 27001:2022 -standardin liite A 5.15–5.18 kodifioi identiteetinhallinnan osana laajempaa organisatoristen toimenpiteiden kokonaisuutta, joka kattaa pääsynvalvonnan, identiteetinhallinnan, todennustiedot ja käyttöoikeudet. Vankoilla tietoturvan hallintakehyksillä on yhteinen piirre: jokaisen identiteetin on oltava yksilöllinen, vähimmäisoikeuksien on oltava normi ja ne on voitava auditoida. Monitietodennuksen (MFA) tulisi olla pakollista etuoikeutetulle pääsylle. Näiden kehysten keskittyminen identiteettiin on ajankohtaista, sillä sääntelyviranomaiset kiinnittävät tähän asiaan paljon enemmän huomiota. ENISA kuvailee Monimuotoinen tilinpäätös on fiksu tapa osoittaa, että noudatat NIS 2 -standardia. Yritysten kannattaa ottaa tämä huomioon, sillä tämä EU-asetus sisältää jopa 10 miljoonan euron tai 2 %:n maailmanlaajuisen liikevaihdon sakkoja organisaatioille, jotka eivät noudata vaatimuksia.

Siirtyminen identiteettikeskeiseen turvallisuusasetelmaan

Miten yritykset voivat omaksua identiteettiin perustuvan tietoturva-asennon, joka on riippumaton epämääräisistä raja-alueista? Nollaluottamuksen taustalla on konkreettisia komponentteja. Vahva identiteetin ja pääsynhallinta on yksi niistä, ja siihen kuuluu sen varmistaminen, että jokainen käyttäjä, palvelu ja kone tunnistetaan yksilöllisesti ja todennetaan jatkuvasti. Monipuolinen autentikointi on selkeä tapa estää tilien kaappauksia, mutta siihen liittyy myös riskejä. Monipuolisen autentikoinnin väsymys on todellista, ja välityspalvelimia voidaan käyttää myös monipuolisten autentikointisessioiden sieppaamiseen, ja tiedonvarkaat voivat varastaa istuntokeneita. Tunnusten varkaus voi ohittaa osan monipuolisista autentikointisessioista kokonaan. Vuonna 2024 Microsoft... havaitsi 147 000 token-toistohyökkäystä, kasvua 111 % edellisvuodesta. Salasanaton todennus avaimilla on toinen tapa estää ihmisiä joutumasta tietojenkalasteluhyökkäysten uhreiksi. Se voi myös estää joitakin käyttäytymismalleja, joista loppukäyttäjien on vaikea luopua yrittäessään saada työtä tehtyä, kuten salasanojen jakamisen kätevän käytön takaamiseksi. Nämä muutokset saattavat tuntua pelottavilta yrityksiltä monille organisaatioille, erityisesti niille, jotka ovat koonneet IT-infrastruktuurinsa useista järjestelmistä ajan myötä yritysostojen, pirstaloituneiden tiimien ja strategisten teknologiamuutosten kautta. Mutta ne voivat helpottaa asioita aloittamalla joistakin keskeisistä periaatteista. Ota käyttöön ISO 27001 Annex A 5.15-5.18 -kontrollit lähtökohtana. Nämä opastavat sinua käyttöoikeuskäytäntöjen, identiteetin elinkaaren hallinnan ja todennusstandardien parhaiden käytäntöjen mukaisessa toteuttamisessa. Tällainen viitekehys antaa sinulle vankan pohjan hallinnolle esimerkiksi säännöllisten käyttöoikeustarkastusten avulla. Sovi muiden kuin ihmisten identiteettien inventoinnista samalla tarkkuudella kuin työntekijöihin. Tee aukkoanalyysi ja selvitä, mitä vaadittaisiin kaikkien palvelutilien ja niiden TLS-varmenteiden tai API-avainten kattavaan huomioon ottamiseen. Viime kädessä tavoitteena on hyväksyä, että identiteetin suojaus on nyt perustavanlaatuinen osa tietoturvan hallintaa. Loppujen lopuksi et voi suojata sitä, mitä et voi todentaa. [post_title] => Perimeter Securitysta Identity As Securityyn [post_excerpt] => [post_status] => julkaise [comment_status] => suljettu [ping_status] => avaa [post_password] => [post_name] => perimeter-securitysta-identity-as-securityyn [to_ping] => [pinged] => [post_modified] => 2026-01-13 15:18:30 [post_modified_gmt] => 2026-01-13 15:18:30 [post_content_filtered] => [post_parent] => 0 [guid] => https://fi.isms.online/?p=136420 [menu_order] => 0 [post_type] => viesti [post_mime_type] => [comment_count] => 0 [filter] => raw )

Valokeilassa

Valokeila

Lue tarinoita, jotka ovat kiinnittäneet huomiomme tässä kuussa

Pysy otsikoiden edellä IO-uutiskirjeen avulla

Saat kuukausittaisen koosteen kaikista tiedoista, tietosuojasta ja kyberturvallisuudesta suoraan sähköpostiisi.

Liity uutiskirjeemme

Popular Categories

Tietoturva tietoverkkoturvallisuus Tietosuoja Tietosuojaseloste ISO 27001
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA
ISO 27001
ISO 27701
ISO 27001
ISO 27701
Cyber ​​Essentials
ISMS.online

Yrityksen numero: 04922343

Nile House, Nile Street, Brighton, Englanti, BN1 1HW
Tekijänoikeus © 2026 Alliantist Oy