Viimeistään nyt NIS2-direktiivin myötä identiteetin- ja pääsynhallinta (IAM) nousee keskeiseksi osaksi organisaation kyberturvallisuusstrategiaa. Lokakuussa voimaan astuva NIS2-direktiivi näet asettaa tiukkoja velvoitteita organisaatioille, mutta tarjoaa samalla selkeitä suuntaviivoja kriittisten palveluiden ja infrastruktuurin turvaamiseen.
NIS2-direktiivin myötä IAM-menettelyt eivät ole enää vapaaehtoisia käytäntöjä, vaan ne kuuluvat viranomaisvalvonnan piiriin. Tämä tarkoittaa, että organisaatioiden on jalkautettava käytännöt johdonmukaisesti, ei vain omassa tahdissaan. Kyseessä on strateginen muutos, jossa IAM-käytännöt koskevat myös alihankkijoita ja muita ulkoisia sidosryhmiä arvoketjussa, mikä korostaa organisaation vastuualueen laajentumista.
IAM-kentän avainkohdat NIS2:n valvonnassa
Keväällä 2024 julkaistu Traficomin Kyberturvallisuuskeskuksen suositusluonnos konkretisoi IAM:n merkityksen NIS2-direktiivin toimeenpanossa, erityisesti luvussa 7, joka käsittelee Pääsynhallinnan ja todentamisen menettelyitä. Tästä pääset Traficomin Kyberturvallisuuskeskuksen alkuperäiseen suositusluonnokseen ja tästä voit tarkastella koko dokumenttia PDF-tiedostona.
IAM kattaa NIS2-direktiivin täytäntöönpanon monia kriittisiä osa-alueita, kuten pääsynhallinnan, käyttöoikeuksien elinkaaren prosessit ja menettelyt, käyttöoikeuksien jatkuvan ylläpidon ja valvonnan, sekä käyttäjien tunnistaminen ja todentaminen. Traficomin suositus tuo esiin useita IAM-toimintoja, joihin organisaatioiden on siis kiinnitettävä huomiota viranomaisvalvonnan alla.
Taulukossa alla näkyy ne Traficomin suosituksessa olevat menettelyt ja painopisteet, mitkä liittyvät erityisesti identiteetti- ja pääsynhallintaan , eli ns IAM:iin (Identity and Access Management) ja sen eri osa-alueisiin.
| # | Menettely | Painopiste menettelyjen osa-alueella | Vastaava IAM osa-alue |
|---|---|---|---|
| 7.1 | Pääsynhallinnan menettelyt |
Politiikan muodostaminen: omassa organisaatiossa sekä myös koskien alihankkijat yms ulkoiset sidosryhmät; Politiikan jalkauttaminen kohteisiin (palvelut, informaatio); Tunnistusmenetelmiä; Roolipohjainen pääsy; |
Pääsynhallinta (AM – Access Management) |
| 7.2 | Pääsynhallinnan ja käyttöoikeuksien jatkuva ylläpito | Käytännöt ja identiteettien/käyttäjien elinkaariprosessit: JML-prosessit; Ajantasaisuus; Sopimuspohjaisuus; Tehtävä- tai roolimuutokset; Kirjanpito | IGA (Identity Governance and Administration)/ PAM (Privileged Access Management) |
| 7.3 | Pääsynhallinnan valvonta | End-point pääsynvalvonta, lokitus, monitorointi, raportointi, politiikan jalkauttaminen operatiivisesti (tuotannossa, toiminnassa) | Pääsynhallinta (AM – Access Management) |
| 7.4 | Pääsynhallintaan liittyvä kirjanpito ja vähimpien oikeuksien periaate | Käyttöoikeuksien ja käyttöoikeusroolien ajantasainen kirjanpito | IGA (Identity Governance and Administration): Käyttövaltuushallinta) |
| 7.5 | Pääkäyttäjätunnukset | Korotettujen oikeuksien tai pääkäyttäjä-oikeuksien myöntäminen ajallisesti ja tehtävien mukaan rajatusti vain valtuutetuille henkilöille, laitteille tai sovelluksille; Erityisvalvontakohteet; Hätätilanteiden menettelyt (break-glass) | PAM (Privileged Access Management) |
| 7.6 | Turvallisten todennusmenetelmien valinta ja luotettava todennus | Tunnistusmenetelmien hyödyntäminen tarpeiden ja kyvykkyyksien mukaisesti; Tunnistamisen lokitus | Tunnistamis- ja todennusmenettelyt (IDP – Identity Provider/ Pääsynhallinnan kautta, mm MFA – Multifactor Authentication) |
Kun tarkastellaan näitä Traficomin toimeenpano- ja valvontasuosituksen NIS2-menettelyjä, huomataan, että ne sisältävät niitä tuttuja IAM-teemoja, joiden tärkeyttä on jo vuosien ajan korostettu. Nyt NIS2-direktiivi kuitenkin muuttaa pelisääntöjä siten, että näitä käytäntöjä ei voi enää ottaa käyttöön vain omassa aikataulussa ja omilla ehdoilla, vaan nämä toiminnot ja niiden toimivuus kuuluvat viranomaisten valvontaan. Direktiivi sisältää lisäksi voimakeinona huomattavan seuraamusmaksun määräyksien noudattamatta jättämisestä.
NIS2-direktiivin täytäntöönpano siis johtaa organisaatioiden velvollisuuksiin ottaa käyttöön IAM-menettelyjä, jotka varmistavat kriittisten palveluiden ja infrastruktuurin suojauksen.
Direktiivien noudattaminen ei ole pelkkä lakisääteinen velvoite tai rasite, vaan siitä seuraa myös selkeää kilpailuetua. Kriittisten palveluiden suojaaminen ja tietoturvan vahvistaminen lisäävät organisaation resilienssiä, vastuullisuutta ja luotettavuutta, mitkä ovat ratkaisevia hyötyjä kilpailussa nopeasti muuttuvassa ja epävarmassa liiketoimintaympäristössä.
Toimi nyt – älä vasta liian myöhään
Vaikka NIS2 ei suoraan koske kaikkia toimijoita, sen vaatimuksia ja oppeja kannattaa silti tarkastella oman organisaation toiminnassa. Kriittiset kyberturvallisuuden toiminnot, kuten identiteetti- ja pääsynhallinta, ovat välttämättömiä nykyisessä uhkakuvien ja riskien täyttämässä toimintaympäristössä.
Jos organisaatiosi ei ole vielä täysin valmis NIS2:n vaatimuksiin, CGI auttaa teitä eteenpäin IAM-tiekartan pohjalta, joka laaditaan perustuen liiketoimintanne vaatimuksiin toimintaympäristössänne ja organisaationne tarpeisiin. Tutustu CGI:n identiteetin- ja pääsynhallinnan palveluihin täällä.
Mikä NIS2-direktiivi?
NIS2-direktiivi koskee laajasti sekä julkisen että yksityisen sektorin toimijoita, kattaen kriittiset palvelut ja niiden toimitusketjut. Esimerkiksi CGI toimii monien kriittisten toimijoiden arvoketjuissa, tuottaen digitaalisten palvelujen ja infrastruktuurin asiantuntijapalveluja, ja on siten suoraan NIS2:n vaikutuspiirissä.
Direktiivin tavoitteena on varmistaa, että organisaatiot hallitsevat tehokkaasti kyberturvallisuusriskit ja kykenevät ylläpitämään palveluiden toimintavarmuutta myös häiriötilanteissa. Keskeisenä teemana on tietoturvan hallinta ja raportointivelvoitteet, mikä edellyttää, että kyberturvallisuustoimenpiteet ovat kunnossa.
Kirjoittajasta
Charles Sederholm
Seniorikonsultti, IAM konsultointi ja palvelut
Olen Charles Sederholm ja toimin CGI:n kyberturvallisuusyksikössä IAM seniorikonsulttina (IAM – Identity and Access Management eli suomeksi identiteetti- ja pääsynhallinta).
