Oktan Sami Laine: "Zero Trust muuttaa kaiken" - IT Insider

Kyberturva | Suositellut

Oktan Sami Laine: ”Zero Trust muuttaa kaiken”

Suomalaisen startupin mukana Kalifornian legendaariseen Piilaaksoon muuttanut Sami Laine näki paikassa lukemattomia tilaisuuksia ja mielenkiintoisia yrityksiä, mikä on saanut hänet jäämään alueelle lähes 30 vuodeksi. Pitkä ura tietoturva-alalla johti nykyiseen työhön yhdessä maailman johtavista identiteetin- ja pääsynhallinnan yrityksistä. Nyt hän kertoo mullistavasta todennusmenetelmästä.

Kalle Keinonen

13.1.2023

Sami_Laine_kuva

Identiteetin- ja pääsynhallinnan ohjelmistoja valmistavan Oktan teknologiastrategian johtajana toimiva Sami Laine ei ennättänyt opiskella yliopistossa kauaa, ennen kuin työelämä imaisi hänet koulun penkiltä. Pitkään tietoturva-alalla työskennellyt Laine on uransa aikana toiminut Yhdysvalloissa eri tietoturvayhtiöiden myynnin ja teknisen tuotemarkkinoinnin johdossa.

”En osaa sanoa kuinka moni kurssikavereistani valmistui, mutta kaikki imeytyivät välittömästi töihin. Olin yksi heistä”, muistelee IT Insiderin haastattelema Laine.

Helsingin yliopistossa 80- ja 90-luvun vaihteessa tietojenkäsittelyoppia ja fysiikkaa opiskellut Laine päätyi tekemään IT-alalla töitä erilaisissa startupeissa, joissa hän edusti paljon ulkomaisten yritysten tuotteiden myyntiä Suomessa.

Suomalaisen ohjelmistostartupin kautta Laine muutti tilapäisesti Kaliforniaan avaamaan yrityksen uutta toimistoa vuonna 1995, mutta tilapäisyys venähtikin vuosien mittaiseksi. Kohta Laine on elänyt jo puolet elämästään Piilaaksossa, jossa häntä kiehtovat edelleen lukuisat yritykset ja tilaisuudet. Toisaalta Laineen mielestä Piilaksossa esiintyvää sykettä löytää nykypäivänä myös muualta.

”Vielä 25 vuotta sitten Piilaakso oli kuin eri planeetalta verrattuna Suomeen. Tänä päivänä Suomi ja Eurooppa ovat ottaneet Piilaaksoa kiinni: startup-kulttuuria ja tilaisuuksia löytyy lähes kaikkialta. Yritysten epäonnistumisia ei myöskään katsota enää katastrofeina, vaan niistä opitaan ja yritetään paremmilla edellytyksillä uudestaan”, toteaa Laine.

Pian muuton jälkeen Laine päätyi töihin tietoturva-alalle, ja kiinnostuksen myötä hän on työskennellyt aiheen parissa jo viimeiset 20 vuotta elämästään.

”Tietoturva on kuin kissa ja hiiri -peliä, jossa ei koskaan tulla pääsemään siihen tilanteeseen, ettei tietoturvaongelmia olisi, koska ongelmaa aina ’siirretään eteenpäin’. Ainoa asia, mitä ihmiset ja yritykset voivat tehdä, on parantaa omaa turvallisuuttaan jatkuvasti mahdollisimman paljon.”

Oktalle Laine siirtyi noin kuusi vuotta sitten. Yrityksessä hän on ehtinyt toimia jo neljässä eri työtehtävässä. Tällä hetkellä Laineen tehtävänä on erikoistua todennuksessa käytettävään Zero Trust -suojausmalliin sekä pilviarkkitehtuuriin, ja jakaa niistä tietoa yrityksen strategisesti suurimmille nykyisille ja potentiaalisille asiakkaille. Okta on tällä hetkellä suurin itsenäinen identiteetin- ja pääsynhallinnan ohjelmistoja valmistava yritys.

Laine avasi IT Insiderille, mitä todentaminen on tänä päivänä ja miksi Zero Trust -malli on tärkeä joustavuuden ja tietoturvan kannalta.

Zero Trust vastaa uuden ajan työnteon haasteisiin

Etätyö, pilvisiirtymä ja virtualisointi ovat johtaneet siihen, että käyttäjät ja työtaakat ovat karanneet organisaatioiden ympäristöstä. Palomuuri ei enää riitä takaamaan organisaation laitteiden tietoturvaa, kun niitä käytetään organisaatioiden sisäisten verkkojen ulkopuolelta.

Vaikka palomuurit ja muut lähiverkkoja koskevat tietoturvamallit ovat edelleen tärkeitä, niiden merkitys tietoturvan kokonaiskuvassa on pienentynyt merkittävästi. Käyttäjien todennuksen merkitys on puolestaan kasvanut moninkertaisesti.

Parhaimmillaan todennus on tasapainottelua kitkattomuuden ja turvallisuuden välillä. Toisin kuin perinteisessä todennuksessa, jossa käyttäjä kirjautuu aina saman protokollan kautta, Zero Trustissa todennukseen käytettävät menetelmät ovat kontekstisidonnaisia riippuen siitä, kuinka tutussa ja turvallisessa kontekstissa käyttäjä on tunnistautumassa sisään.

Nimensä mukaisesti Zero Trust -suojausmallissa mihinkään käyttäjään ei lähtökohtaisesti luoteta, vaan todennukseen käytetään aluksi niin kovia menetelmiä kuin on tarve. Mallissa jokaisen käyttäjän yhteys varmennetaan jokaisen kirjautumisen aikana.

Kirjautumisten yhteydessä todennusohjelmistot luovat käyttäjistä malleja, joissa hyödynnetään kaikkia saatavilla olevia tietoja. Mikäli käyttäjä toimii ”oikein” eli luotettavasti ja ennakoitavasti, voivat ohjelmistot höllentää huomattavasti todennukseen vaadittavaa kitkaa. Parhaimmillaan käyttäjä ei tarvitse ollenkaan salasanaansa kirjautumiseen.

”Parasta Zero Trustissa on joustavuus tunnistautumiseen vaadittavan kitkan määrässä. Mikäli meneillään on sama sessio samalla laitteella samasta IP-osoitteesta, ei todennusta tarvitse tehdä uudestaan saman päivän aikana”, Laine toteaa.

Useat yritykset ovat Oktan ohella adoptoineet Zero Trust -suojausmallia todennusohjelmistojen suunnitteluun ja toteutukseen.

Toisessa päässä Laine näkee organisaatiot, jotka käyttävät vanhoja menetelmiä käyttäjien todennukseen. Näissä organisaatioissa tunnistautumiseen käytetään salasanaa ja usein jotakin lisätunnistetta, kuten kertakäyttöistä salasanaa, joka lähetetään tekstiviestinä käyttäjän puhelimeen.

Tekstiviesteissä ongelmana ovat kohdennetut tietojenkalastelut. Laineen mukaan hyökkääjä kykenee saamaan yksittäisten ihmisten tekstiviestit suhteellisen helposti haltuunsa.

Zero Trustissa itse laitteella on keskeinen rooli todennuksen kannalta. Vielä vähän aikaa sitten Oktan todennukseen käytettävä Okta Verify -sovellus lähetti push-ilmoituksia, mutta nykyään todennukseen voidaan käyttää pelkästään laitetta.

Laineen mukaan Okta Verify:n kryptografinen varmenne tekee perinteisen tietojen kalastelun mahdottomaksi. Fido2-protokollaan pohjautuvassa kryptografisessa laskelmassa verkkosivu ja selain vaihtavat kryptografista materiaalia. Protokolla perustuu verkkosivun TLS-sertifikaattiin eli salaussertifikaattiin, jota hyökkääjä ei voi saada haltuunsa.

”Et voi antaa vahingossakaan tunnistetta hyökkääjälle. Vaikka menisit täysin saman näköiselle tietojenkalastelusivulle, et voi siltikään joutua uhriksi, sillä se on estetty teknillisesti.”

Kehitteillä protokolla jatkuvalle todennukselle

Todennuspalvelut eivät toimi vielä optimaalisesti. Tällä hetkellä käyttäjä todennetaan tietyllä ajan hetkellä, jonka jälkeen tämän identiteetistä ei ole enää varmuutta. Zero Trustin periaatteen mukaan vahvin todennus edellyttää käyttäjän identiteetin jatkuvaa valvontaa. Käytännössä käyttäjän toimintaa pitäisi valvoa myös kirjautumisen jälkeen järjestelmää käytettäessä.

”Käyttäjä tunnistautuu vain kerran, kun hän kirjautuu esimerkiksi Microsoft Teamsiin. Tämän jälkeen hän on palvelussa kirjautuneena jopa viikkoja tai kuukausia, jonka aikana tunnistustietojen tarjoajalla (Identity Provider) ei ole mitään käsitystä, mitä hän tekee palvelussa tai mistä IP-osoitteesta hän tulee.”

”Jokaisen järjestelmän pitäisi pystyä keskustelemaan takaisin tunnistustietojen tarjoajalle, mitä käyttäjä on tehnyt ja onko käyttäjän ja järjestelmän suhde jollakin tavalla vaarantunut.”

Zero Trust -mallissa vastuu riskien tunnistamisesta siirtyy tunnistustietojen tarjoajien lisäksi myös käytettävän järjestelmäntarjoajan harteille.

Tällä hetkellä yksittäiset yritykset tekevät jatkuvaa todennusta tilapäisesti kehitetyillä ratkaisuilla. Eräs väliaikainen ratkaisu ovat Point-to-Point integroinnit. Osa Oktan asiakkaista, kuten Box ja Salesforce hyödyntävät Point-to-Point integrointeja lähettämällä omista palveluistaan signaaleja takaisin Oktalle. Signaalit välittävät tietoa siitä, mitä eri sessioissa tapahtuu.

Point-to-Point integroinnit eivät kuitenkaan perustu mihinkään standardiin, vaan ne ovat kahden eri yrityksen välisiä sopimuksia ja toimintoja; siksi niitä ei voida hyödyntää isossa skaalassa.

Kun Zero Trust -suojausmallia aloitettiin hyödyntämään laajemmin noin kaksi vuotta sitten, alkoi samalla jatkuvan todennuksen protokollan kehittäminen. Laineen mukaan Okta, Google, Apple sekä monet muut teknologiayritykset ovat mukana kehittämässä jatkuvan todennuksen teknologiaa ja yhteistä protokollaa sen toimeenpanemiseksi. Kehitystyössä menee kuitenkin vielä vuosia.

Eurooppa hitaalla jalalla

Laineen mukaan Euroopassa ollaan oltu todennuksen saralla selvästi jäljessä. Oktan keräämien tietojen mukaan vain kolmasosa sen haastattelemista yrityksistä oli määritellyt viime vuonna itselleen Zero Trust -strategian, kun taas Yhdysvalloissa näin oli tehnyt jopa kaksi kolmasosaa haastatelluista yrityksistä.

Laine uskoo, että Zero Trust -adoptointien hitaudelle on Euroopassa useita syitä. Keskeinen havainto on kuitenkin se, että useissa Euroopan maissa pilviadoptoituminen on ollut hitaampaa verrattuna muihin maihin. Monissa Euroopan maissa palvelimet pyörivät edelleen yritysten omissa konesaleissa.

Tällä hetkellä näyttää kuitenkin siltä, että Euroopassa ollaan herätty toden teolla tietoturvauudistuksiin. Laineen mukaan budjetit ovat kasvaneet ja Okta on havainnut kasvua sekä pilvi-infran että Zero Trust -strategioiden adoptoinneissa tämän vuoden aikana.

Taustalla piilevät varmasti myös globaalisti kasvaneiden kyberhyökkäysten määrä sekä jännittynyt maailmantilanne. Oktan kyselyiden perusteella yritykset ovat tietoisia piilevistä uhista.

”Tänä vuonna 99% haastattelemistamme organisaatioista kokivat, että Zero Trust on kriittinen strategia niille. Heti kun organisaatio alkaa lisäämään pilvipohjaisia palveluita, tulee sen vaihtaa tietoturvastrategiansa Zero Trust -menetelmään”, Laine toteaa.

Suositellut

Apple: Lupaamme kehittää tekoälyä turvallisesti

26.7.2024 | Suositellut, Tekoäly

Applen lupaus ei ole lainsäädännöllisesti sitova, mutta se lohduttanee Yhdysvaltojen hallinnon verkkaista regulaatiokoneistoa, joka ei ole saanut tekoälylainsäädäntöään valmiiksi.

EU aikoo antaa Metalle sakot Marketplacen ja Facebookin linkittämisestä yhteen

25.7.2024 | Regulaatio, Suositellut

Facebook ohjasi käyttäjiä suoraan omalle markkinapaikalleen, mikä häiritsi reilua kilpailua.

EU aloitti jo kolmannen tutkinnan Metan hämärästä bisnesmallista

23.7.2024 | Regulaatio, Suositellut

EU:n mukaan Metan ”maksa tai suostu mainoksiin” -bisnesmalli on saattanut rikkoa digitaalimarkkinasäädöksen ja digitaalipalvelulain lisäksi EU:n kuluttajansuojalainsäädäntöä.

Uusimmat

Drooniskandaali järisyttää olympialaisia – Kanadan naisten jalkapallojoukkueen johto potkittu pihalle

26.7.2024 | Laitteet, Vapaa-aika

Kanadan naismaajoukkueen taustajoukot ovat vakoilleet vastustajien harjoituksia jo vuosien ajan drooneilla.

Apple: Lupaamme kehittää tekoälyä turvallisesti

26.7.2024 | Suositellut, Tekoäly

Applen lupaus ei ole lainsäädännöllisesti sitova, mutta se lohduttanee Yhdysvaltojen hallinnon verkkaista regulaatiokoneistoa, joka ei ole saanut tekoälylainsäädäntöään valmiiksi.

EU aikoo antaa Metalle sakot Marketplacen ja Facebookin linkittämisestä yhteen

25.7.2024 | Regulaatio, Suositellut

Facebook ohjasi käyttäjiä suoraan omalle markkinapaikalleen, mikä häiritsi reilua kilpailua.

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Always Enabled

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Others