Koronavirusepidemia siirsi tietotyöläiset etätöihin – tehtiinkö pääsynhallinnassa huolimattomia kompromisseja? Osa 1.


Koronavirus tuli ja teki monissa organisaatioissa pikaisesti digiloikasta totta. Loikka jouduttiin ottamaan niin vauhdilla, ettei laskeutumispaikka ollut tiedossa, kun suuntana oli selviytyminen. Eräs esille noussut aihe on ollut pääsynhallintaan liittyvät haasteet. Monet ovat joutuneet myöntämään pääsyjä järjestelmiin ja dataan, joihin pääsy normaaliolosuhteissa on erityisen rajattua. Nyt tilanteen hieman rauhoituttua, on paikoin jo huoleksi noussut se, oltiinko poikkeusolojen oikeuksien myönnössä ja yhteysavauksissa riittävän huolellisia. Pitäisikö tilannetta nyt tarkastella uudelleen?

Pääsynhallinta kehittyy kovaa vauhtia, ihan kuten kaikki digitaalisen aikakauden ratkaisut. Olemme olleet erittäin lähellä tukemassa monia organisaatioita pääsynhallinnan haasteissa näin korona-aikana ja seuranneet toimia poikkeusolojen edellyttämien ratkaisujen hakemisessa. Asiantuntijoiden keskuudessa asiasta on keskusteltu, joten ajattelimme hyödylliseksi avata meidän ajatuksiamme aiheesta. Käymme läpi, miten lähtötilannetta ja kriisiaikaista toimintaa tulisi tarkastella ja miten varmistetaan, että jatkossa voidaan olla paremmin varautuneita.

Pääsynhallinta normaaliolosuhteissa

Yrityksillä on tyypillisesti varsin kirjavia käytäntöjä eri järjestelmien-, sovelluksien- ja palvelinten pääsynhallinnan suhteen. Käytössä voi olla jokin pääsyn- ja/tai identiteetinhallinnan ratkaisu, mutta kokemuksemme mukaan tilanne on yllättävänkin usein se, että pääsynhallinta hoidetaan tapauskohtaisesti kohdejärjestelmien tasolla. 

Johtavana ajatuksena käytössä olevista ratkaisuista riippumatta on yleensä se, että pääsyt pyritään myöntämään vain niille, jotka niitä tarvitsevat ja korkean tietoturvan kohteissa mielellään vain siksi aikaa kun niitä tarvitaan. Järjestelmiin ja/tai dataan pääsyä on saatettu rajoittaa jopa siten, että niihin ei pääse käsiksi muuten kuin paikan päältä. Tämän lisäksi kirjautumistapahtumista ja käyttöoikeuksista tulisi löytyä merkintä siitä koska niitä on käytetty, kuka oikeuden on myöntänyt, koska ja miksi. 

Koronavirus ja nopeat päätökset – mentiinkö liian pitkälle?

Normaaliolosuhteet lakkasivat olemasta viimeistään maaliskuun puolivälissä, jolloin kaikki, jotka työtehtäviensä puolesta siihen pystyivät, siirtyivät tekemään töitä etänä. Organisaatioiden IT:lle tuli kiire jakaa käyttäjille pääsyjä eri sovelluksiin ja paikkoihin, jotta työtä pystyttiin jatkamaan poikkeavista olosuhteista huolimatta. Osa muutoksista saattoi vaatia jopa toimenpiteitä olemassa olevan tietoturvapolitiikan ohitse, koska tilanne oli ennen kokematon ja siihen piti reagoida nopeasti.

Kriisin aikana nopeasti tehtyihin päätöksiin piiloutuu riskejä. Kiireessä päätökset syntyvät usein lyhyellä harkinnalla, joskus jopa hallitsemattomasti. Myös koronakriisin alkaessa käyttöoikeuskohteita saatettiin myöntää todella hätäisesti. Ei osattu miettiä ensi viikon tilannetta, kun piti varautua huomiseen.

Tietoturvan näkökulmasta tilanne ei välttämättä ole lainkaan kontrollissa. Tilastot osoittavat, että  suurin osa tietomurroista tapahtuu nimenomaan varastetuilla tai haltuun saaduilla tunnuksilla. Ongelmakerrointa lisää se, että järjestelmiä käytetään tällä hetkellä IT:lle hallitsemattomista ympäristöistä, työntekijöiden kodeista. Tietoturvaton soppa alkaa valmistua nopeasti, kun liemeen heitetään perheenjäsenet jotka saattavat käyttää vanhempien työkoneita arjen tarpeisiinsa.

Halusimme ajan hengessä antaa omia näkökulmia ja jakaa ajatuksia siitä, miten pääsynhallintaan liittyviä asioita olisi nyt tilanteen rauhoituttua hyvä tarkastella ja mahdollisesti myös kehittää.