cybersecurity
Virhe noudettaessa captcha-kuvaa

By submitting this form, I understand that my data will be processed by Sogeti as indicated above and described in the Privacy Policy.

BLOG
KYBERTURVA

CIAM 2020-luvulla 2/2

Asiakkaiden identiteetin- ja pääsynhallinta ja uudet teknologiat

Tämä kirjoitus on jatkoa edelliselle CIAM blogikirjoitukselle, joka käsitteli asiakkaan identiteetin- ja pääsynhallintaa (CIAM - Customer Identity and Access Management) osana liiketoiminnan asiakkailleen tarjoamaa palvelukokemusta. Tässä kirjoituksessa laajennetaan näkökulmaa uusiin teknologioihin ja niiden tuomiin haasteisiin identiteetin- pääsynhallinnan (IAM – Identity and Access Management) osalta.

Uudet teknologiat ja uudet käyttötapaukset

Digitaalisten palveluiden kulutus ja verkkokauppa ovat monipuolistuneet paljon viimeisten 5 vuoden aikana ja vauhti ei varmasti laannu. Jatkuvasti yleistyvät internetiin kytkeytyvät laitteet, kuten esimerkiksi valot tai anturit, lisäävät tarvetta toimivalle hallinnointimahdollisuudelle. Ilmiö tunnetaan nimellä esineiden internet (IoT – Internet of Things), joka monipuolistaa myös digitaalista asiointia. Kuuluisa esimerkki älyjääkaapista, joka tilaa automaattisesti ruokatäydennyksen käyttäjän toiveiden mukaisesti, kun ruoka on vähissä, ei ole oikeasti enää kaukana tulevaisuudessa. Tällöin verkkokaupassa ruokaostoksia tehdään teknisen rajapinnan kautta laitteen toimesta – asiakkaan valtuuttamana. Ne palveluntarjoajat, jotka pystyvät tarjoamaan uudet palvelukokemukset asiakkailleen turvallisesti, ovat vahvoilla.

Uusien teknologioiden myötä voidaan arvioida, että tietyt haasteet korostuvat IAM:in alueella nykyistä enemmän: teknologia-alustat pirstoutuvat ja palveluita käytetään mm. virtuaali- tai tekoälyavusteisesti teknisten rajapintojen kautta. Tietoturva, ja IAM sen osana, on liian tärkeä osa IoT-laitteita, että sitä voisi rakentaa jälkikäteen, joten laitteet ja palvelut pitää suunnitella alusta alkaen turvallisiksi, eli ns. Privacy-by-Design on tärkeä osa kehitystyötä.

Muutama haaste IAM:in näkökulmasta IoT-laitteiden aikakaudella:

Tunnistaminen ja valtuutus - Käyttötilanteeseen mukautuva tunnistaminen ja valtuutus (Adaptive authentication and auhtorization). Teknologian pitää tukea mukautuvaa tunnistusta, koska käyttötilanteet ja käytettävät laitteet vaihtelevat. Lisäksi valtuushallinnassa pitää ottaa huomioon se, että laitteet tai palvelut toimivat käyttäjän valtuuttamana myös tilanteissa, jossa käyttäjä ei ole aktiivisesti itse tunnistautumassa vaan pitää voida luottaa aikaisemmin annettuun valtuutukseen ja tunnistaa laita tai palvelu.

Salaus – Laitteiden määrän kasvaessa ja alustojen monipuolistuessa salauksen merkitys korostuu. IoT-laitteet kommunikoivat turvallisissa ja turvattomissa verkkoympäristöissä, joten salaus pitää olla kunnossa, kun laitteet tai palvelut julkaistaan.

Skaalautuvuus – Teknologian pitää olla skaalautuva, jotta mahdollisesti nopeasti kasvavat laitemäärät pystytään palvelemaan tehokkaasti.

Hallittavuus – Kattava IAM:in kokonaishallinta perusasetuksista, yksityisyyden ja suostumusten hallintaan, vaikka IoT-laitteet itsessään eivät tarjoa yleensä käyttöliittymää konfiguraatioiden hallintaan.

Virtuaaliavustajien, eli tekoälyyn perustuvien virtuaaliavustajien, käyttö kasvaa maailmalla ja Capgeminin virtuaaliavustajien käyttöä kartoittaneen tutkimuksen mukaan äänellä ohjattavat virtuaaliavustajat voivat jopa ylittää mobiilisovellusten ja perinteisten verkkopalveluiden käytön kolmen vuoden kuluttua Yhdysvalloissa, Iso-Britanniassa, Ranskassa ja Saksassa. Toki Suomi tulee kehityksessä hieman perässä, mutta suunta on varmasti sama. Tämä kehitys asettaa omat haasteensa myös identiteetin- ja pääsynhallinnalle. Palvelukokemuksen ja IAM:in näkökulmasta erityisesti hallittavuus ja valtuuttaminen ovat keskeisiä ratkaistavia alueita.

Turvallisuus täytyy rakentaa osaksi uusia palveluita ja alustaa, koska uudet päätelaitteet eivät välttämättä tarjoa hyviä tunnistamismekanismeja itsessään. Maailmalta on viime vuosina kantautunut monia uutisia liittyen virtuaaliavustajien valtuutushaasteisiin, joissa esimerkiksi lapsi pystyi tilamaan virtuaaliavustajan kautta tavaroita vanhempien luottokortilla. Käyttötapauksena on sinänsä normaalia, että kotiin sijoitettu yhteiskäyttöinen virtuaaliavustaja, joka palvelee useampaa käyttäjää esimerkiksi säätiedusteluissa, mutta transaktioissa, kuten tuotteiden tilaamisessa, on syytä olla tarvittava varmuus siitä, että onko ostopyynnön esittäjällä todella oikeus ostaa tuotetta.

Ääniohjatuissa virtuaaliavustajissa on jo tapahtunut parannusta äänitunnistuksen, eli avustajat osaavat jo hieman erottaa onko pyynnön esittäjä mahdollisesti laitteen valtuutettu käyttäjä, mutta täysin aukottomia nämä ratkaisut eivät vielä ole. Viimeisin ongelma ääniohjauksen luotettavuudessa liittyi laser-valon käyttöön äänikomentojen antamiseen, josta uutisoi mm. Forbes, jossa tutkijat pystyivät valon avulla jäljittelemään ääniaaltojen värähtelyä laitteen mikrofoniin ja näin antamaan komentoja virtuaaliavustajalle.

Miten CIAM voi tukea palvelukokemusta uusien käyttötapausten kanssa

CIAM-ratkaisun tulee tarjota joustavat toiminnallisuudet uusien käyttötapausten tuelle. Kun uusi palvelu tai tuote on rakennettu turvalliseksi ja integroitu CIAM-ratkaisuun on mahdollista luoda yhtenäinen palvelupolku, jossa voidaan tukea uusia tunnistus ja valtuutustarpeita. Lisäksi pitää mahdollistaa asiakkaalle omien tietojen hallinta ja tukea tuotteistettuja turvallisuusratkaisuja, eli laitteita, joita ihmiset ovat jo tottuneet käyttämään. Tämä tarkoittaa, että tunnistus- ja valtuutusratkaisut pitäisi saada mahdollisimman käytettäväksi ja joustaviksi, jotta palvelukokemus uusilla tekniikoilla saadaan toimimaan saumattomasti.

Nykyään turvalliset tunnistusratkaisut ovat arkipäivää. Melkein kaikilla kuluttajilla on tänä päivänä taskussaan mobiililaite, joka mahdollistaa helpon biometrisen tunnistuksen, joko sormenjälki- tai kasvotunnistuksen avulla. Monissa palveluissa tarjotaan jo asiakkaille kaksivaiheista tunnistautumista (MFA – Multi-Factor Authentication) hyödyntäen mobiililaitteiden tunnistuskyvykkyyksiä. Tämä on mahdollistanut turvallisen ja helppokäyttöisen tunnistautumisen moniin palveluihin, joihin muuten kyseisten kaksivaiheinen tunnistaminen olisi kallista tai mahdotonta toteuttaa. On siis todennäköistä, että kuluttajien jo omaksumien mobiililaitteiden tunnistusmekanismit ovat keskeisessä roolissa myös uusien teknologioiden ja uusien käyttötapausten yleistyessä.

Tulevaisuudessa CIAM-ratkaisujen pitäisi myös paremmin tukea käyttäytymiseen perustuvaa tunnistamista, jolloin asiakkaan käyttäytymistä, käyttötilannetta ja laitetietoa käytetään arvioimaan, onko käyttäjä se, joka väittää todella olevansa ja, että onko käyttötilanne normaali. Usean eri tietolähteen käyttäminen palvelutilanteen riskin arvioinnissa ei sinänsä ole mitenkään uusi keksintö, mutta tunnistusmekanismina se ei ole yleinen. Käyttäytymiseen perustuva tunnistaminen, eli ns. jatkuva tunnistaminen, mahdollistaa parhaimmillaan hyvän ja turvallisen käyttökokemuksen.

Palvelutilanteen kokonaisarviointi voisi estää kohtalaisen hyvin edellä mainitun kaltaiset tilanteet, joissa lapsi tilaa tavaroita ilman vanhempien läsnäoloa tai vahvistusta.

Todennäköistä on, että kaksivaiheinen tunnistaminen tulee olemaan keskeinen turvallisuustekijä myös IoT-laitteiden ja virtuaaliavustajien aikakaudella. Lisäksi normaalit, vähemmän riskiä sisältävät, käyttötapaukset pystytään todennäköisesti valtuuttamaan käyttäytymiseen perustuvalla analyysillä, jossa yhdistetään tietoja tapahtuman kontekstista. Mikäli lisävarmuutta tarvitaan, käynnistetään mahdollinen lisävaltuutus esimerkiksi kaksivaiheisella tunnistuksella, eli sormenjäljen tai kasvojen tunnistus käyttäjän mobiililaitteella. Tästä tullaan toki siihen haasteeseen, että miten varmistetaan palvelukokemus myös tilanteessa, jossa käyttäjällä tunnistusta tarjoava laite katoaa tai vioittuu. Turvallinen palvelukokemus rakentuukin monista eri palasista, jotka tukevat myös poikkeavia käyttötilanteita.

Turvallinen ja käytettävä tulevaisuus

Tulevaisuus näyttäytyykin erittäin mielenkiintoisena identiteetin- ja pääsynhallinnan näkökulmasta. CIAM-ratkaisuilla on keskeinen rooli rakennettaessa turvallista ja toimivaa palvelukokemusta uusien teknologioiden tullessa markkinoille.

Toivottavasti kirjoitus loi pohjaa tulevaisuuden palveluiden ideoinnille. Jos haluat keskustella aiheesta lisää tai jos tarvitset apua asiakkaidenne identiteetin- ja pääsynhallinnan kanssa, niin Sogetin asiantuntijat ovat käytettävissänne.

todo todo
CONTACT
  • Niko Häkkinen
    Niko Häkkinen
    Senior Consultant - Cyber Security
    +358 40 4897074