Teollinen internet IAM-palveluiden mullistajana?

29/04/2015 | Kirjoittanut: Petteri Aatola | Aihe: IAM, IoT

Identity and Access Management (IAM) on alueena junnannut jokseenkin paikallaan viime vuodet. IAM-ratkaisuiden saralla ei olla nähty mitään kovin suuria uudistuksia tai innovaatioita, saati mullistuksia. Sen sijaan organisaatiot ovat keskittyneet ottamaan käyttöön sekä kehittämään hyväksi havaittuja toiminnallisuuksia ja käytäntöjä.

Identiteetinhallinnan tasapaksuus tuli vastaan myös Gartnerin IAM-konferenssissa Lontoossa viime kuussa. Spellpoint osallistui tapahtumaan neljän hengen voimin ja yhteinen ajatus, joka asiantuntijoillemme jäi oli ”ei juurikaan uutta”. Hieman yllättävästi Gartnerin teema tuntui olevan pitkältikin paluu perusasioiden äärelle. Siinä viestissä ei toki ole mitään vikaa. Päinvastoin, monesti organisaatioita onkin syytä muistuttaa pitämään asiat yksinkertaisina. Kuitenkin tämä lähestymistapa hiukan yllätti – usein vastaavissa, niin Gartnerin kuin muidenkin järjestäjien, konferenseissa on voimakkasti esillä tulevaisuuden hype milloin mistäkin teemasta.

Toki jotkin tulevaisuuden megatrendit olivat esillä. Luonnollisesti teollinen internet (Internet of Things, IoT) oli yksi palstatilaa saanut otsikko. Näin 15 vuotta IAM-ratkaisuja toimittaneelle aihe on kutkuttava; IoT saattaa olla merkittävin identiteetinhallintaa tai pääsynhallintaa mullistava tekijä vuosiin. Tosin vielä ollaan aikalailla hype-käyrän noususuhdanteessa, käytäntö on vasta tulevaisuudessa. Selvää on kuitenkin se, että digitalisoituminen, uudenlaiset digitaaliset liiketoimintamahdollisuudet ja sovellukset, IoT mukaanlukien, asettavat tietoturvalle ja IAM-ratkaisuille aivan uudenlaisia tarpeita sekä haasteita. Lisäksi luvassa on myös aivan uudenlaisia mahdollisuuksia ja kerrankin näköpiirissä on jotakin mullistavaa!

Teollinen internet ja siihen usein puheissa linkitetty asioiden identiteetti (Identity of Things) on toki ollut esillä jo pitkään. Spellpoint pureskeli teemaa myös viime kesän blogi-kirjoituksessa. Nyt haluaisin avata hieman lisää näkemyksiämme siitä millaisia muutoksia asioiden Internet voisi identiteetinhallintaan tuoda.

Teollinen internet IAM-palveluiden mullistajana?Identity of Things

Aloitan muutamalla yleisellä havainnolla liittyen teolliseen internetiin. Ensimmäinen on verkkoon kytkeytyvien identiteettien määrän kasvu. Nykyisten toteutusten maailmassa identiteetinhallinnan näkökulmasta 100 000 identiteetin ratkaisua pidetään isona. Teollisen internetin kohdalla puhutaan sadoista miljardeista identiteeteistä. Pelkästään käsiteltävien objektien määrä tulee nousemaan niin suureksi, että se vaatii uudenlaisia teknisiä toteutuksia. Toinen yleinen havainto liittyy siihen miten monitahoisesti teollinen internet tällä hetkellä kehittyy. Internet of Things rakentuu todella monien eri tahojen ja toimijoiden kehittämänä, kukin lähtee kehittämään omista tarpeistaan ja hyödyistään käsin.

Näillä eri tahoilla ja kehityssuunnilla ei välttämättä ole kovinkaan paljon yhteistä, ainakaan identiteetinhallinnan näkökulmasta. Se asettaa haasteen Spellpointin kaltaiselle toimijalle. Otammekin haasteen innolla vastaan: Spellpoint on monen muun suomalaisen yrityksen tavoin mukana FIIF-järjestön (Finnish Industrial Internet Forum) toiminnassa; FIIF tavoittelee suomalaisten yritysten kasvua ja kehitystä liittyen teolliseen internetiin.

Seuraavaksi tarkastalen muutamaa erityisen suurta muutosvoimaa, joka liittyy teolliseen internetiin ja erityisesti asioiden identittiin – ja niiden hallintaan.

1) Vuorovaikutuskentän muutos

Perinteisessä IAM:ssä on ollut kyse ihmistä mallintavan identiteetin vuorovaikutuksesta tietojärjestelmien/sovellusten kanssa. Ihmistä on mallinnettu yleisimmin joukolla attribuutteja, joiden perusteella vuorovaikutuksen kohteena oleva tietojärjestelmä on voinut tehdä loogisia päätelmiä. IoT:n myötä vuorovaikutuskenttä ja -tarpeet muuttuvat. Esimerkiksi laitteiden ja laitejoukkojen saadessa omat identiteettinsä nousee esiin kysymys, miten tätä tietoa voidaan (ja olisi syytä) hyödyntää vuorovaikutuksessa:

Laitteet (laitteilla ei tässä tarkoiteta tietojärjestelmiä) eivät aikaisemmin ole olleet osana identiteetinhallintaa. Kun tulevaisuudessa laitteilla, laitejoukoilla sekä järjestelmillä, sovelluksilla, yrityksillä, palveluilla, rakennuksilla, ihmisillä jne. kaikilla on digitaalinen identiteetti, kysymykseksi nousee: Miten pystymme tunnistamaan kunkin identiteetin riittävällä tasolla, jotta pystymme luotettavasti ja turvallisesti suorittamaan näiden välillä liiketoiminnallisia ja/tai juridisia tapahtumia? Ja lisäyksenä: Miten tehdä edellä mainittu riittävän tehokkaasti?

Näiden kysymysten ratkaisemiseksi IoT tulee todennäköisesti muokkaamaan identiteetinhallinnan kenttää paljonkin. Yksi mahdollinen lähestymistapa on laajentaa olevassa olevaa IAM:ää ja lisäksi hyödyntää perinteisesti omaisuudenhallinnan (Asset Management) sovellusten alueella olevia toimintoja. Identiteetinhallinnan ja omaisuudenhallinnan sovellusten laajentaminen ja yhdistäminen voi mahdollisesti riittää – tai kenties tarvitaan vielä jotain radikaalimpaa, kokonaan toisenlaista lähestymistapaa, jotta nuo uudet tarpeet pystytään huomioimaan.

Lisäksi vuorovaikutuskenttää muokkaavat teollisen internetin osalta palveluiden monimutkaisuuden kasvu, mikä tulee vaatimaan asioita IAM:ltä:

2) Uudet tietoturvahaasteet

Perinteisessä identiteetinhallinnassa käsitellään pääosin henkilöobjekteja ja näiden henkilöiden käyttö- ja pääsyoikeuksia. Perinteinen tunnistautumismenetelmä on ollut käyttäjätunnus ja salasana. Kun kyseessä onkin laite, tietojärjestelmä tai vaikka organisaatio, ei vastaavaa tunnistamismenetelmää voida käyttää samaan tapaan. Tarvitaan todennäköisesti jokin ohjelmallinen sertifikaatti tai todistus laitteen identiteetistä. Tämä itsessään on jo tuttua ja käytössä olevaa teknologiaa. Ongelmia tulee vastaan kun tietoturvatasoa halutaan nostaa, esimerkiksi vahvalla tunnistautumisella. Perinteinen määritelmä vahvalle tunnistautumiselle on että pystyt tunnistautumaan kahdella eri kategorian menetelmällä seuraavista:

Asioiden tai laitteiden tapauksessa kahden ensimmäisen kategorian tunnistautuminen on käytännössä poissa laskuista (vai onko…). Miten siis lisätä tunnistautumisen tietoturvaa?

Teollinen internet (IoT) IAM-palveluiden mullistajana?

Toinen merkittävä haaste tietoturvan osalta voi tulla ihan yksinkertaisesti itse laitteiden asettamien rajoitusten kautta. Siinä missä henkilobjekteihin liittyvä data saadaan useimmiten helposti salattua ja siirrettyä tarvittaessa salatussa muodossa järjestelmästä toiseen, ei vastaava välttämättä ole mahdollista laitteiden kohdalla, joissa laiteominaisuuksiin tai rajapintoihin ei yksinkertaisesti ole lisätty kaistaa tai kapasiteettia salatulle liikenteelle. Laitteet, vaikkapa jotkin anturit, saattavat lähettää ja vastaanottaa tietoa käyttäen hyvin yksinkertaista protokollaa. Tässä ei aina ole kryptaukselle tai muulle tietoturvalle sijaa.

Kolmantena tietoturvahaasteena nostaisin esille jo e.m. viime kesän blogi-kirjoituksessa mainitsemani: Asioiden identiteetinhallintaan liittyy samankaltaisia tietoturvaongelmia kuin järjestelmäylläpitäjien admin-tileihin tai järjestelmien omiin system accounteihin. Näissä tilanteissa on voitava kontrolloida sitä ettei ihminen, henkilöidentiteetti, pääse tekemään jotakin jonkin toisen nimissä (Identity Impersonation); ettei ihmiskäyttäjä voi piilottaa omia jälkiään tai tekemisiään käyttäen jonkin laitteen tai koneen identiteettiä jonkin toimenpiteen suorittamiseksi.

Jäämme Spellpointissa mielenkiinnolla odottamaan sekä toki myös miettimään ja kehittämään ajatuksia (ja tekoja) siitä mitä uutta IAM voisi tuoda ja mahdollistaa teolliseen internetiin. Näin IAM-asiantuntijan näkökulmasta mielenkiintoista on ennenkaikkea se, millaisia mullistuksia itse IAM-ratkaisut kokevat teollisen internetin myötä.

Petteri Aatola
Johtaja, Identity and Access Management