Küberturvalisuse ekspert Mihkel Kukk: endine töötaja kui IT-turvarisk

„Sarnased olukorrad korduvad organisatsioonides iga päev – mitte häkkerite või rahvusvaheliste rünnakute pärast, vaid lihtsalt seetõttu, et identiteetide ja ligipääsude haldamine on jäänud tagaplaanile. Tegelikult on hästi toimiv IAM (identity and access management) üks kõige olulisemaid komponente kaasaegses ettevõttes, olgu tegemist idufirma, teenusepakkuja või suurkorporatsiooniga,“ toob välja KPMG Baltics’i küberturvalisuse valdkonna juht Mihkel Kukk.

Me kipume mõtlema IAM-ist kui IT-inimeste murest – nagu oleks see midagi, mida saab sisse osta, paigaldada ja unustada. Tegelikult on see aga sügavalt seotud sellega, kuidas inimesed töötavad, kuidas nad vahetuvad ja kuidas nad ettevõttes väärtust loovad. Iga uus töötaja, koostööpartner, klient – igaüks neist vajab oma digitaalset identiteeti, õigusi ja reegleid, mis ütlevad, mida ta võib ja mida mitte. Kui need piirid on hägusad või puuduvad, siis pole küsimus selles, kas midagi juhtub, vaid millal.

„Olen oma praktikas näinud nii ettevõtteid, kus ligipääs antakse "ajutiselt" ja see jääb kehtima aastateks, kui ka neid, kus administraatori õigused jagatakse laiali lihtsalt selleks, et mitte iga väiksemat muudatust IT-lt paluda. Olen näinud ühiskontosid, mille parool on teada tervele osakonnale ja Exceli tabeleid, kuhu on kirja pandud, kes millele ligi pääseb. Google’i ühiskaustas on säilinud ligipääs inimestele, kellel ei ole organisatsiooniga enam mingit pistmist. Kõik need realistlikud näited on nagu avatud uksed – lihtsad sisenemispunktid potentsiaalsele pahatahtlikkusele, aga ka inimsüsteemide enda vigadele,“ lausub Kukk.

Ligipääs vastavalt oma rollile

Samas, kui IAM on hästi lahendatud, muutub see organisatsiooni töövoogude loomulikuks osaks. Uus töötaja liitub ja saab automaatselt ligipääsu vastavalt oma rollile – ei mingit ootamist ega käsitsi seadistamist. Kui keegi lahkub, kaovad ka tema õigused. Ligipääsud ei põhine enam emotsioonidel või ajutistel otsustel, vaid läbimõeldud struktuuril. See pole pelgalt turvalisem – see on ka tõhusam, läbipaistvam ja skaleeruvam.

Tugev IAM toetab ka regulatiivset vastavust. Kui mõelda sellistele raamistikele nagu GDPR või ISO 27001, on läbipaistvus ja kontroll jälgitavuse üle kesksed nõuded. Kui iga ligipääs on logitud, iga muutus dokumenteeritud ja iga anomaalia tuvastatav, on ettevõttel võimalik olla vastavuses nii audititega kui ka reageerida kiiresti turvaintsidentidele. See loob usaldust – mitte ainult sisemiselt, vaid ka klientide, partnerite ja järelevalveasutuste silmis.

Ent IAM ei ole ainult kaitsemehhanism. See on võimalus. Kasutajakogemus paraneb, kui inimesed ei pea mitme süsteemi vahel hüppama või paroole meelde jätma. Single Sign-On, multifaktorautentimine ja isegi paroolivabad lahendused muudavad tööpäeva sujuvamaks ja vähendavad tugiüksuste koormust. See tähendab kokkuhoidu – nii ajas kui rahas.

Küsimus ei ole täna enam selles, kas IAM-i vaja on. Küsimus on, kuidas seda teha nii, et see teeniks äri, mitte aeglustaks seda. See eeldab terviklikku lähenemist, kus IT, personaliosakond, turvatiim ja juhtkond töötavad koos. Identiteedihaldus ei ole enam ainult tehniline protsess – see on organisatsioonikultuuri osa.

„Kui tunned, et IAM võiks sinu ettevõttes olla tugevam, läbimõeldum või paremini integreeritud, siis ei tasu oodata järgmise intsidendini. Tänased otsused kujundavad homseid riske – või nende puudumist. IAM võib tunduda keeruline, kuid õigete partneritega on see tehtav. Ja kui see kord töötab, muutub see nähtamatuks – täpselt nii, nagu üks hea turvasüsteem olema peab,“ võtab teema kokku Mihkel Kukk.