Asioiden identiteetti – Internet of Things, Identity of Things

17/06/2014 | Kirjoittanut: Petteri Aatola | Aihe: IAM, IoT
IoT-hype

Internet of Things on kuuma ICT-trendi, mutta vähemmän on puhuttanut sen vanavedessä vääjäämättä kulkeva Identity of Things. Se on silti tärkeä aihe. Asioiden internet, asioiden identiteetti. Asioiden internetillä viitataan nykymerkityksessään kiihtyvään älylaitteiden yleistymiseen, jossa visioidaan lähes kaikkien asioiden pian omaavan IP-osoitteen ja verkkoyhteyden. Jääkaappisi tilaa maitoa kaupasta, kun maitotölkkisi ilmoittaa sille olevansa tyhjenemässä. Mutta kun asia on internetissä, se tarvitsee identiteetin. Vaikka sillä ei olisi annettua identiteettiä, käytännössä sille muodostuu sellainen – vahva tai heikko, hyvä tai huono, kaikella on jokin identiteetti. Ja niitä identiteettejä pitää hallita. Mielellään yleensä vahvasti ja hyvin, kuin heikosti ja huonosti. Saati että hallitsemattomasti.

Istuimme eräänä synkkänä ja myrskyisänä iltapäivänä Spellpointin ajatushautomoon ja keskustelimme asioiden identiteetistä. Alla muutamia otteita värikkääksikin äityneestä debaatista.

Ajatuksia IoT:stä

Mika Käck, vice president: Jokainen laite, joka on kytketty Internetiin, tarvitsee identiteetin. Jokaisella laitteella voi olla identiteetti, mutta sitä laitetta voi käyttää henkilö, jolla on myös identiteetti. Kaikki identiteetit eivät ole samanlaisia tai samanarvoisia. Laitteen identiteetti voi ilmetä eri tavoin. Usein se on varmenne, kuten ihmisen identiteettiäkin voi edustaa varmenne. Toisaalta käytännön sovelluksissa laite voi toisinaan edustaa ihmistäkin, jos sille tällainen valtuutus on annettu. Luonnollisesti tämä vaatii myös käytettäviltä palveluilta, laitteilta ja sovelluksilta entistä monipuolisempia ominaisuuksia, jotta ne osaavat käsitellä tällaisen toimintaympäristön – sekä toiminnallisesti, että tietoturvan näkökulmasta.

Tapani Tanskanen, senior IAM consultant: IPv6-verkko-osoitteiden yleistymisen myötä asioiden verkko-osoite on tai ainakin voi olla aina sama. Jokaisella asialla voi olla universaalisti yksilöivä numero. Siten verkko-osoitetta voisi ajatella identiteettinä, varsinkin siis IPv6:n myötä, mutta olen sitä mieltä että se ei ole identiteetti – ei katuosoitteesikaan ole vielä sinun tai edes talosi identiteetti, se on vain paikka jossa asia sijaitsee. Identiteetin liittyy myös sen vahvuus ja rikkaus, jotka ovat eri asioita. Rikkaus pitää sisällään enemmän attribuutteja sinusta, mitä kaikkea identiteetistä tiedetään, mitä siitä kerrotaan. Vahvuus taas tarkoittaa kuinka varmasti tiedetään että sinä olet sinä, kuinka suurella varmuudella joku on se joka väittää olevansa.

Nyt jo voisi olla mahdollista että talollasi on identiteetti ja olet valtuuttanut talosi tilaamaan nimissäsi automaattisesti sähkösopimuksen sieltä mistä se kulloinkin on halvinta. Teknisesti itseasiassa se olisi jo mahdollista. Talo toimii nimissäsi itsenäisesti. Talon vain pitää pystyä kirjautumaan siten, että voidaan tunnistaa sinut palvelun tilaajaksi ja siten juridiseksi sopimuskumppaniksi. Tosin, taloilla on lähtökohtaisesti useita käyttäjiä, usein useita omistajiakin, miten heidät erotellaan talon identiteetistä? Verrataan vaikka erilaisiin yleisiin järjestelmänvalvojan tunnuksiin. Tietyt konetilit tai systeemitilit ovat jo nyt asioita, joilla on oma identiteettinsä ja joiden takana olevat ihmisidentiteetit ovat puutteellisesti eroteltuja, eli tämä tematiikka on ollut jo pitkään olemassa.

Janne Sirén, toimitusjohtaja: Älylaitteiden ja asioiden internetin yleistyessä yhä merkittävämmäksi kysymykseksi tosiaan nousee ketä asiat edustavat ja kenen etua ne valvovat. Asioilla tulee olla identiteetti, mutta onko se sama asia kuin niiden omistajan, valtuuttajan identiteetti – vai eri asia? Joskus tilanne on helppo: Pelkän tunnistuskortin identiteetti on melko lailla yksi yhteen omistajansa kanssa ja sitä käyttää lähtökohtaisesti yksin omistajansa. Mutta entäpä kun omistajia ja valtuuttajia on useita, kuten vaikkapa sen älytalon tai jonkun verkkokomponentin tapauksessa, tai kun asia tekee jatkuvasti itsenäisiä päätöksiä irrallaan omistajasta. Tällöin laitteelle väkisinkin muodostuu ja tarvitaan oma identiteetti.

Asia, jolla on oma identiteettinsä, on silti edelleen asia. Joku omistaa sen ja joku on juridisesti ja taloudellisesti vastuussa asian teoista. Jos robottiruohonleikkurisi päättää leikata myös naapurin palkintopelargoniat, ei laskua lähetetä ruohonleikkurille – ei ainakaan toistaiseksi. Kuinka irrallaan asian identiteetti siis voi olla omistajastaan ja kuinka irrallaan se saisi olla? Onko ruohonleikkurisi = sinä? Ehkä ei, mutta ei se myöskään ole rinnasteinen puutarhuriyrittäjään, jonka palkkaisit vastaavaan hommaan. Puutarhuriyrittäjä on itse vastuussa mikäli vetää rambot naapurisi pusikossa. Niin kauan kuin asia on vain asia, joku muu on vastuussa sen tekemisistä. Silti lähestymme aikaa, jossa asioilla on oma identiteettinsä, jonka nimissä tehdään kiihtyvällä tahdilla itsenäisiä päätöksiä.

Kenties jotain osviittaa antaisi Isaac Asimovin robotiikan kolmen pääsäännön parodisointi…

Asioiden identiteettien kolme pääsääntöä

Kuinka tarina muuttuu, jos seuraan lisättäisiin vielä Asimovin myöhempää lisäystä mukaillen tärkein sääntö: 0. Identiteetin tulee suojella ihmiskuntaa? Miltä kuulostaisi, jos omistamasi ja valtuuttamasi asia päättää toimia yleisen edun nimissä, sinun etuasi vastaan? Kuulostaa ihan lähitulevaisuudelta. Älyautosi päättää ajaa sinut ja kaupunkimaasturisi sillalta alas, sen sijaan että törmää täyteen koulutaksiin.

Entä kuka päättää mikä on ihmiskunnan etu? Ehkäpä ohjelmistotoimittajasi.

Kohti tulevaa

Petteri jatkaa: Asioiden identiteetin hallintaan liittyy samankaltaisia tietoturvaongelmia kuin järjestelmäylläpitäjien admin-tileihin tai järjestelmien omiin system accounteihin: Näissä tilanteissa on voitava kontrolloida sitä ettei ihminen, henkilöidentiteetti, pääse tekemään jotakin jonkin toisen nimissä. Ettei ihmiskäyttäjä voi piilottaa omia jälkiään tai tekemisiään käyttäen jonkin laitteen tai koneen identiteettiä jonkin toimenpiteen suorittamiseksi.

Asioiden internetin myötä syntyy siis aivan uusia tietoturvanäkökulmia, myös identiteettien ja käyttövaltuuksien hallinnan näkökulmasta. Ne pitää vain huomioida. Jatketaan keskustelua!

Petteri Aatola
Johtaja, Identity and Access Management