Identiteetin- ja pääsynhallinnan ohjelmistoja valmistavan Oktan teknologiastrategian johtajana toimiva Sami Laine ei ennättänyt opiskella yliopistossa kauaa, ennen kuin työelämä imaisi hänet koulun penkiltä. Pitkään tietoturva-alalla työskennellyt Laine on uransa aikana toiminut Yhdysvalloissa eri tietoturvayhtiöiden myynnin ja teknisen tuotemarkkinoinnin johdossa.
”En osaa sanoa kuinka moni kurssikavereistani valmistui, mutta kaikki imeytyivät välittömästi töihin. Olin yksi heistä”, muistelee IT Insiderin haastattelema Laine.
Helsingin yliopistossa 80- ja 90-luvun vaihteessa tietojenkäsittelyoppia ja fysiikkaa opiskellut Laine päätyi tekemään IT-alalla töitä erilaisissa startupeissa, joissa hän edusti paljon ulkomaisten yritysten tuotteiden myyntiä Suomessa.
Suomalaisen ohjelmistostartupin kautta Laine muutti tilapäisesti Kaliforniaan avaamaan yrityksen uutta toimistoa vuonna 1995, mutta tilapäisyys venähtikin vuosien mittaiseksi. Kohta Laine on elänyt jo puolet elämästään Piilaaksossa, jossa häntä kiehtovat edelleen lukuisat yritykset ja tilaisuudet. Toisaalta Laineen mielestä Piilaksossa esiintyvää sykettä löytää nykypäivänä myös muualta.
”Vielä 25 vuotta sitten Piilaakso oli kuin eri planeetalta verrattuna Suomeen. Tänä päivänä Suomi ja Eurooppa ovat ottaneet Piilaaksoa kiinni: startup-kulttuuria ja tilaisuuksia löytyy lähes kaikkialta. Yritysten epäonnistumisia ei myöskään katsota enää katastrofeina, vaan niistä opitaan ja yritetään paremmilla edellytyksillä uudestaan”, toteaa Laine.
Pian muuton jälkeen Laine päätyi töihin tietoturva-alalle, ja kiinnostuksen myötä hän on työskennellyt aiheen parissa jo viimeiset 20 vuotta elämästään.
”Tietoturva on kuin kissa ja hiiri -peliä, jossa ei koskaan tulla pääsemään siihen tilanteeseen, ettei tietoturvaongelmia olisi, koska ongelmaa aina ’siirretään eteenpäin’. Ainoa asia, mitä ihmiset ja yritykset voivat tehdä, on parantaa omaa turvallisuuttaan jatkuvasti mahdollisimman paljon.”
Oktalle Laine siirtyi noin kuusi vuotta sitten. Yrityksessä hän on ehtinyt toimia jo neljässä eri työtehtävässä. Tällä hetkellä Laineen tehtävänä on erikoistua todennuksessa käytettävään Zero Trust -suojausmalliin sekä pilviarkkitehtuuriin, ja jakaa niistä tietoa yrityksen strategisesti suurimmille nykyisille ja potentiaalisille asiakkaille. Okta on tällä hetkellä suurin itsenäinen identiteetin- ja pääsynhallinnan ohjelmistoja valmistava yritys.
Laine avasi IT Insiderille, mitä todentaminen on tänä päivänä ja miksi Zero Trust -malli on tärkeä joustavuuden ja tietoturvan kannalta.
Zero Trust vastaa uuden ajan työnteon haasteisiin
Etätyö, pilvisiirtymä ja virtualisointi ovat johtaneet siihen, että käyttäjät ja työtaakat ovat karanneet organisaatioiden ympäristöstä. Palomuuri ei enää riitä takaamaan organisaation laitteiden tietoturvaa, kun niitä käytetään organisaatioiden sisäisten verkkojen ulkopuolelta.
Vaikka palomuurit ja muut lähiverkkoja koskevat tietoturvamallit ovat edelleen tärkeitä, niiden merkitys tietoturvan kokonaiskuvassa on pienentynyt merkittävästi. Käyttäjien todennuksen merkitys on puolestaan kasvanut moninkertaisesti.
Parhaimmillaan todennus on tasapainottelua kitkattomuuden ja turvallisuuden välillä. Toisin kuin perinteisessä todennuksessa, jossa käyttäjä kirjautuu aina saman protokollan kautta, Zero Trustissa todennukseen käytettävät menetelmät ovat kontekstisidonnaisia riippuen siitä, kuinka tutussa ja turvallisessa kontekstissa käyttäjä on tunnistautumassa sisään.
Nimensä mukaisesti Zero Trust -suojausmallissa mihinkään käyttäjään ei lähtökohtaisesti luoteta, vaan todennukseen käytetään aluksi niin kovia menetelmiä kuin on tarve. Mallissa jokaisen käyttäjän yhteys varmennetaan jokaisen kirjautumisen aikana.
Kirjautumisten yhteydessä todennusohjelmistot luovat käyttäjistä malleja, joissa hyödynnetään kaikkia saatavilla olevia tietoja. Mikäli käyttäjä toimii ”oikein” eli luotettavasti ja ennakoitavasti, voivat ohjelmistot höllentää huomattavasti todennukseen vaadittavaa kitkaa. Parhaimmillaan käyttäjä ei tarvitse ollenkaan salasanaansa kirjautumiseen.
”Parasta Zero Trustissa on joustavuus tunnistautumiseen vaadittavan kitkan määrässä. Mikäli meneillään on sama sessio samalla laitteella samasta IP-osoitteesta, ei todennusta tarvitse tehdä uudestaan saman päivän aikana”, Laine toteaa.
Useat yritykset ovat Oktan ohella adoptoineet Zero Trust -suojausmallia todennusohjelmistojen suunnitteluun ja toteutukseen.
Toisessa päässä Laine näkee organisaatiot, jotka käyttävät vanhoja menetelmiä käyttäjien todennukseen. Näissä organisaatioissa tunnistautumiseen käytetään salasanaa ja usein jotakin lisätunnistetta, kuten kertakäyttöistä salasanaa, joka lähetetään tekstiviestinä käyttäjän puhelimeen.
Tekstiviesteissä ongelmana ovat kohdennetut tietojenkalastelut. Laineen mukaan hyökkääjä kykenee saamaan yksittäisten ihmisten tekstiviestit suhteellisen helposti haltuunsa.
Zero Trustissa itse laitteella on keskeinen rooli todennuksen kannalta. Vielä vähän aikaa sitten Oktan todennukseen käytettävä Okta Verify -sovellus lähetti push-ilmoituksia, mutta nykyään todennukseen voidaan käyttää pelkästään laitetta.
Laineen mukaan Okta Verify:n kryptografinen varmenne tekee perinteisen tietojen kalastelun mahdottomaksi. Fido2-protokollaan pohjautuvassa kryptografisessa laskelmassa verkkosivu ja selain vaihtavat kryptografista materiaalia. Protokolla perustuu verkkosivun TLS-sertifikaattiin eli salaussertifikaattiin, jota hyökkääjä ei voi saada haltuunsa.
”Et voi antaa vahingossakaan tunnistetta hyökkääjälle. Vaikka menisit täysin saman näköiselle tietojenkalastelusivulle, et voi siltikään joutua uhriksi, sillä se on estetty teknillisesti.”
Kehitteillä protokolla jatkuvalle todennukselle
Todennuspalvelut eivät toimi vielä optimaalisesti. Tällä hetkellä käyttäjä todennetaan tietyllä ajan hetkellä, jonka jälkeen tämän identiteetistä ei ole enää varmuutta. Zero Trustin periaatteen mukaan vahvin todennus edellyttää käyttäjän identiteetin jatkuvaa valvontaa. Käytännössä käyttäjän toimintaa pitäisi valvoa myös kirjautumisen jälkeen järjestelmää käytettäessä.
”Käyttäjä tunnistautuu vain kerran, kun hän kirjautuu esimerkiksi Microsoft Teamsiin. Tämän jälkeen hän on palvelussa kirjautuneena jopa viikkoja tai kuukausia, jonka aikana tunnistustietojen tarjoajalla (Identity Provider) ei ole mitään käsitystä, mitä hän tekee palvelussa tai mistä IP-osoitteesta hän tulee.”
”Jokaisen järjestelmän pitäisi pystyä keskustelemaan takaisin tunnistustietojen tarjoajalle, mitä käyttäjä on tehnyt ja onko käyttäjän ja järjestelmän suhde jollakin tavalla vaarantunut.”
Zero Trust -mallissa vastuu riskien tunnistamisesta siirtyy tunnistustietojen tarjoajien lisäksi myös käytettävän järjestelmäntarjoajan harteille.
Tällä hetkellä yksittäiset yritykset tekevät jatkuvaa todennusta tilapäisesti kehitetyillä ratkaisuilla. Eräs väliaikainen ratkaisu ovat Point-to-Point integroinnit. Osa Oktan asiakkaista, kuten Box ja Salesforce hyödyntävät Point-to-Point integrointeja lähettämällä omista palveluistaan signaaleja takaisin Oktalle. Signaalit välittävät tietoa siitä, mitä eri sessioissa tapahtuu.
Point-to-Point integroinnit eivät kuitenkaan perustu mihinkään standardiin, vaan ne ovat kahden eri yrityksen välisiä sopimuksia ja toimintoja; siksi niitä ei voida hyödyntää isossa skaalassa.
Kun Zero Trust -suojausmallia aloitettiin hyödyntämään laajemmin noin kaksi vuotta sitten, alkoi samalla jatkuvan todennuksen protokollan kehittäminen. Laineen mukaan Okta, Google, Apple sekä monet muut teknologiayritykset ovat mukana kehittämässä jatkuvan todennuksen teknologiaa ja yhteistä protokollaa sen toimeenpanemiseksi. Kehitystyössä menee kuitenkin vielä vuosia.
Eurooppa hitaalla jalalla
Laineen mukaan Euroopassa ollaan oltu todennuksen saralla selvästi jäljessä. Oktan keräämien tietojen mukaan vain kolmasosa sen haastattelemista yrityksistä oli määritellyt viime vuonna itselleen Zero Trust -strategian, kun taas Yhdysvalloissa näin oli tehnyt jopa kaksi kolmasosaa haastatelluista yrityksistä.
Laine uskoo, että Zero Trust -adoptointien hitaudelle on Euroopassa useita syitä. Keskeinen havainto on kuitenkin se, että useissa Euroopan maissa pilviadoptoituminen on ollut hitaampaa verrattuna muihin maihin. Monissa Euroopan maissa palvelimet pyörivät edelleen yritysten omissa konesaleissa.
Tällä hetkellä näyttää kuitenkin siltä, että Euroopassa ollaan herätty toden teolla tietoturvauudistuksiin. Laineen mukaan budjetit ovat kasvaneet ja Okta on havainnut kasvua sekä pilvi-infran että Zero Trust -strategioiden adoptoinneissa tämän vuoden aikana.
Taustalla piilevät varmasti myös globaalisti kasvaneiden kyberhyökkäysten määrä sekä jännittynyt maailmantilanne. Oktan kyselyiden perusteella yritykset ovat tietoisia piilevistä uhista.
”Tänä vuonna 99% haastattelemistamme organisaatioista kokivat, että Zero Trust on kriittinen strategia niille. Heti kun organisaatio alkaa lisäämään pilvipohjaisia palveluita, tulee sen vaihtaa tietoturvastrategiansa Zero Trust -menetelmään”, Laine toteaa.