Viimeaikaiset tutkimukset osoittavat, että puutteellinen identiteetin- ja pääsynhallinta (IAM) on yksi yleisimmistä ja vaarallisimmista haavoittuvuuksista, jotka voivat vaikuttaa vakavasti organisaatioiden taloudelliseen tilanteeseen, maineeseen ja liiketoimintasuhteisiin. Esimerkiksi Verizonin Data Breach Investigations1 -raportti korostaa, että identiteetin- ja pääsynhallintaan liittyvät heikkoudet ovat yleisiä taustalla olevia tekijöitä kyberhyökkäyksissä.
Yleisimmät puutteelliseen IAM:iin liittyvät heikkoudet ovat muun muassa heikot tunnistautumisen periaatteet, puutteellisesti toteutettu istunnonhallinta, heikot salasanakäytännöt ja liian laajat käyttövaltuudet, henkilöstön puutteellinen koulutus ja organisaation hallintamallin epäjohdonmukaisuus. Tämän vuoksi IAM on välttämätön osa organisaation kyberturvallisuusstrategiaa ja voi tarjota välittömiä etuja, kuten kustannussäästöjä, liiketoiminnan tehostumista ja parempaa säädösten noudattamista.
EU:n DORA-asetus velvoittaa finanssialan toimijoita ja ICT-palveluntarjoajia varmistamaan, että niiden tietojärjestelmät ovat turvallisia ja että pääsynhallinta on asianmukaisesti hallittu. DORA on vastaus kasvavaan tarpeeseen parantaa digitaalista turvallisuutta ja sen tehtävänä on varmistaa, että finanssialan toimijat ja ICT-palveluntarjoajat noudattavat korkeita turvallisuusstandardeja, myös identiteetin- ja pääsynhallinnan osalta.
Tammikuussa 2023 EU:ssa astui voimaan Digital Operational Resilience Act eli DORA-asetus, jonka tavoitteena on yhdenmukaistaa digitaalisten riskien hallintaa ja seurantaa EU-jäsenmaissa. DORA-asetus koskee yli 22 000 rahoitusalan toimijaa ja ICT-alan palveluntarjoajaa. Sääntelyn piiriin kuuluvat muun muassa rahoituslaitokset, kuten luottolaitokset, vakuutusorganisaatiot ja maksujen käsittelijät. Näiden lisäksi sääntely koskee finanssisektorille kolmannen osapuolen ICT-palveluita tarjoavia toimijoita, kuten pilvipalveluntarjoajia, data-analytiikkapalveluntarjoajia ja datakeskuksia. Koska sääntely kattaa myös kolmannet osapuolet, finanssialan toimijoiden on yhä tärkeämpää käyttää tarkkaa harkintaa kumppaneita valitessaan, jotta turvallisuus ja luotettavuus voidaan taata organisaation toiminnassa ja palveluissa.
DORA-asetuksen mukainen sääntely keskittyy viiteen osa-alueeseen, joiden päätavoitteisiin kuuluvat kattava ICT-riskienhallinnan käsittely finanssipalvelualalla ja yksittäisten EU-maiden jo olemassa olevien ICT-riskienhallintasäännöksien yhdenmukaistaminen. Yhdenmukaistaminen mahdollistaa yleiset puitteet ICT-riskien hallitsemiseksi ja vähentämiseksi finanssisektorilla. DORA:n seurauksena strategioiden ja valmiuksien kehittäminen useilla alueilla tulee pakolliseksi, mukaan lukien uhkien tunnistaminen ja niiltä suojautuminen.
Lue lisää asetuksesta: DORA — Digital Operational Resilience Act | Risk Advisory | Deloitte Finland
Oikeilla työkaluilla, kuten jatkuvalla seurannalla, raportoinnilla ja standardinmukaisella toiminnalla, voidaan parantaa organisaation tietoturvan tasoa huomattavasti. Identiteetin- ja pääsynhallinta (IAM) on joukko käytäntöjä, joilla hallitaan organisaation digitaalisia identiteettejä, niihin liittyviä pääsyoikeuksia ja käyttäjien liikkumista järjestelmissä. Tämä koskee sekä sisäisiä että ulkoisia käyttäjiä, mukaan lukien asiakkaat, kumppanit ja kolmannet osapuolet.
IAM-teknologiat tukevat organisaatioita vaatimustenmukaisuuden saavuttamisessa ja pääsynhallinnan prosessien auditoinnissa. Toimiva ja laadukas IAM on yksi kyberturvallisuuden kulmakivistä, sillä se parantaa organisaation kykyä kestää toiminnallisia riskejä.
DORA-asetuksen näkökulmasta IAM:iin liittyvät vaatimukset ovat keskeisiä, ja organisaatioiden on täytettävä ne varmistaakseen asetuksen noudattamisen. Vaatimuksiin kuuluvat muun muassa:
Organisaatioiden tulisi panostaa identiteetin- ja pääsynhallintaan ja varmistaa, että heikot kohdat tunnistetaan ja korjataan. IAM:n kehittäminen voi olla haastavaa ja vaatia merkittäviä investointeja, mutta se on tärkeää organisaation turvallisuuden kannalta.
Deloitte tuntee läpikotaisin DORA-sääntelyn vaatimukset ja identiteetin- ja pääsynhallinnan kehittämisen vaiheet. Tuemme identiteetin- ja pääsynhallinnan kyvykkyyksien kehittämisessä ja autamme asiakkaitamme parantamaan valmiuttaan ja vastaamaan DORA:n asettamiin vaatimuksiin.
1) 2024 Data Breach Investigations Report, Verizon