Nykyään ei voi vilkaistakaan mihinkään tietoturvatapahtumaan näkemättä ilmausta "nollaluottamus". Se on kyllä muotisana, mutta hyödyllinen. Sen ytimessä on perustavanlaatuinen muutos tietoturvan painopisteessä pois perimetriturvallisuudesta.
Nollaluottamus on jo vanha termi, joka ilmestyi alan sanastoon noin vuonna 2010, mutta sen periaatteet ulottuvat sitäkin kauemmas, Jericho Forumiin, kyberturvallisuusjohtajien ryhmään.
Jerichon jäsenet loivat termin "deperimetrisaatio" ensimmäisen kerran noin vuonna 2004. Tämä tunnusti, että "rautarenkaan" suojaava kehä yritysverkon ympärillä ei enää riittänyt. Urakoitsijoiden ja muiden liikekumppaneiden päästyä verkkoon laajemmin käsitys "sisä-" ja "ulko-" -alueesta kävi yhä hämärämmäksi. Aikoinaan vallihautainen linna oli kehittynyt kaupungiksi, jossa oli useita portteja ja paljon ihmisiä virtasi vapaasti sisään ja ulos.
Deperimetrisointi ja sen seuraaja nollaluottamus siirsivät huomionsa yksittäisten resurssien suojaamiseen verkon sisällä. Paras tapa tehdä se on jatkuvasti todentaa, kuka käytti näitä resursseja ja mitä heillä oli lupa niillä tehdä. Tämä tarkoitti keskittymistä identiteettiin uutena tietoturvana.
Ne, jotka eivät tee tätä siirtymää, ottavat riskin useammista tietomurroista. ISMS:n tietoturvallisuuden tilaraportti 2025 jopa numeroi sen: todennusmurrot kymmenkertaistuivat viimeisen vuoden aikana, 2 prosentista 20 prosenttiin tapauksista. Verizonin tietomurto vahvistaa, että tunnistetiedot ovat edelleen yleisin hyökkäysvektori.
Miksi valtakirjoista on tullut avainasemassa
Miksi tunnistetiedoista tuli yritysjärjestelmien avainasemassa? Osittain se liittyy reunaverkkojen kehitykseen. Nykyään verkon reunaa on vaikea edes määritellä, koska niin suuri osa siitä on levinnyt eri alueellisiin datakeskuksiin ja pilvipalveluihin. Myös hybridityöskentelyllä oli osansa, mikä kiihdytti ihmisten tarvetta käyttää verkkoa etänä.
Toinen ajuri on ollut teollistunut tietovarkauksiin perustuva talous. Tämä haittaohjelma varasti 2.1 miljardia tunnistetietoa pelkästään vuonna 2024. mukaan GoogleKun tiedonhyökkäyksen kohteeksi joutunut kampanja on varastanut kirjautumistiedot, niitä on helppo myydä pimeässä verkossa, ja tunnistetietoja lunastavat hyökkääjät voivat sitten käyttää niitä digitaalisten ovenkahvojen heilutteluun internetissä.
Kun hyökkääjät saavat osuman ja avaavat jälleen yhden tilin, he voivat olla varmoja, että heillä on runsaasti aikaa hyödyntää kaapattua tiliä ja päästä karkuun. 292 päivää keskimäärinIBM:n mukaan tunnistetietomurtojen havaitseminen kestää myös pisimmän.
Ei-ihmiskäyttäjät ovat nyt lukumäärältään suurempia kuin ihmiset
Identiteetistä on tullut yhä tärkeämpi osa turvallisuutta myös toisesta syystä: ei-inhimilliset identiteetit. Ennen vanhaan yritysten laskentaresurssien pääasialliset käyttäjät olivat ihmisiä. Nykyään mikropalveluiden, API-rajapintojen ja kukoistavan agenttisten tekoälypalveluiden sukupolven ansiosta ei-inhimilliset käyttäjät... lukumääräisesti ylivoimaisia ihmisiä 144:1 yrityksissä vuonna 2025. Tämä oli 56 % enemmän kuin edellisenä vuonna.
Tekoälyagenttien kasvu on tässä erityisen tärkeää, koska näistä palveluista on tulossa autonomisempia. Kun organisaatiot luottavat tekoälyn automaatioon, ne todennäköisemmin antavat näille agenteille enemmän vastuuta. Tällaisten etuoikeutettujen käyttöoikeuksien omaavien palveluiden prosenttiosuus kasvaa.
Identiteetti on perustavanlaatuinen
Näiden trendien vuoksi vaatimustenmukaisuuskehykset keskittyvät identiteettiin. ISO 27001:2022 -standardin liite A 5.15–5.18 kodifioi identiteetinhallinnan osana laajempaa organisatoristen toimenpiteiden kokonaisuutta, joka kattaa pääsynvalvonnan, identiteetinhallinnan, todennustiedot ja käyttöoikeudet.
Vankoilla tietoturvakehyksillä on yhteinen piirre: jokaisen identiteetin on oltava yksilöllinen, vähimmäisoikeuksien on oltava normi ja ne on oltava auditoitavissa. Monitietoisuuden tulisi olla pakollinen etuoikeutetuille käyttöoikeuksille.
Näiden viitekehysten keskittyminen identiteettiin on ajankohtaista, sillä sääntelyviranomaiset kiinnittävät tähän asiaan paljon enemmän huomiota. ENISA kuvailee Monimuotoinen tilinpäätös on fiksu tapa osoittaa, että noudatat NIS 2 -standardia. Yritysten kannattaa ottaa tämä huomioon, sillä tämä EU-asetus sisältää jopa 10 miljoonan euron tai 2 %:n maailmanlaajuisen liikevaihdon sakkoja organisaatioille, jotka eivät noudata vaatimuksia.
Siirtyminen identiteettikeskeiseen turvallisuusasetelmaan
Joten miten yritykset voivat omaksua identiteettiin perustuvan tietoturva-asennon, joka on riippumaton epämääräisistä raja-alueista?
Nollaluottamuksen taustalla on konkreettisia komponentteja. Vahva identiteetin ja pääsynhallinta on yksi niistä, ja siihen kuuluu sen varmistaminen, että jokainen käyttäjä, palvelu ja kone tunnistetaan yksilöllisesti ja todennetaan jatkuvasti.
MFA on selkeä tapa välttää tilien kaappauksia, mutta siihen liittyy myös riskejä. MFA-väsymys on todellista, ja välityspalvelimia voidaan käyttää myös MFA-istuntojen sieppaamiseen, ja tiedonvarkaat voivat varastaa istuntotunnisteita. Tunnusten varkaudet voivat ohittaa osan MFA:sta kokonaan. Vuonna 2024 Microsoft havaitsi 147 000 token-toistohyökkäystä, mikä on 111 prosenttia enemmän kuin edellisenä vuonna.
Salasanaton todennus avainten avulla on toinen tapa estää ihmisiä joutumasta tietojenkalasteluhyökkäysten uhreiksi. Se voi myös estää joitakin toimintatapoja, joista loppukäyttäjien on vaikea luopua yrittäessään saada työnsä tehtyä, kuten salasanojen jakamisen kätevää pääsyä varten.
Nämä muutokset saattavat tuntua pelottavilta yrityksiltä monille organisaatioille, erityisesti niille, jotka ovat koonneet IT-infrastruktuurinsa useista järjestelmistä ajan myötä yritysostojen, pirstaloituneiden tiimien ja strategisten teknologiamuutosten kautta. Mutta ne voivat helpottaa asioita aloittamalla muutamilla keskeisillä periaatteilla.
Ota käyttöön ISO 27001 -standardin liitteen A 5.15–5.18 mukaiset kontrollit lähtökohtana. Nämä opastavat sinua käyttöoikeuskäytäntöjen, identiteetin elinkaaren hallinnan ja todennusstandardien parhaiden käytäntöjen toteuttamisessa. Tällainen viitekehys antaa sinulle vankan pohjan hallintaan esimerkiksi säännöllisten käyttöoikeustarkastusten avulla.
Sovi muiden kuin ihmisten identiteettien luetteloinnista samalla tarkkuudella kuin työntekijöiden. Tee aukkoanalyysi ja selvitä, mitä vaadittaisiin, jotta kaikki palvelutilit ja niiden TLS-varmenteet tai API-avaimet otettaisiin kattavasti huomioon.
Viime kädessä tavoitteena on hyväksyä, että identiteetin suojaus on nyt perustavanlaatuinen osa tietoturvan hallintaa. Loppujen lopuksi et voi suojata sitä, mitä et voi todentaa.
