Kohti NIS2-vaatimustenmukaisuutta, osa 2: identiteetin- ja pääsynhallinnan tekniset kontrollit

NIS2 ja identiteetin- ja pääsynhallinnan tekniset kontrollit

Miksi identiteetin- ja pääsynhallinnan (IAM) tekniset kontrollit ovat käytännössä välttämättömiä NIS2-direktiivin vaatimusten täyttämiseksi?

Euroopan unionin NIS2-direktiivi (Network and Information Systems Security Directive) on päivitetty versio alkuperäisestä NIS-direktiivistä, joka keskittyy parantamaan tietoturvan tasoa kriittisissä infrastruktuureissa ja palveluissa Euroopan Unionin jäsenmaissa. Direktiivi asettaa tiukat vaatimukset tietoturvan hallinnalle ja valvonnalle, mikä tekee teknisistä kontrollijärjestelmistä käytännössä välttämättömiä huomioiden kyberturvallisuuskeskuksen linjaukset direktiivin tulkinnasta.

Tyypillisesti organisaatioilla on käytössä pääsynhallintapalvelu, jonka kautta käyttäjät tunnistautuvat monivaiheisesti käyttäessään organisaation palveluita, joten sivuan tässä blogissa neljää muuta identiteetin- ja pääsynhallintaan liittyvää teknistä kontrollia: IGA, PAM, CIEM ja ITDR.

Identity Governance and Administration (IGA)

IGA-järjestelmät auttavat organisaatioita hallitsemaan käyttäjien identiteettejä ja niiden oikeuksia.  NIS2-direktiivin mukaan organisaatioiden tulee varmistaa, että vain valtuutetut henkilöt pääsevät käsiksi kriittisiin järjestelmiin. 

IGA mahdollistaa tehokkaan käyttöoikeuksien hallinnan mukaan lukien jäljitettävyyden, automatisoidun käyttöoikeuksien myöntämisen ja poistamisen, sekä identiteettien elinkaaren hallinnan, mikä minimoi väärinkäytösten riskiä.

Järjestimme IGA-aiheisen webinaariin 19.3.2024, katso tallenne täältä.

Privileged Access Management (PAM)

PAM-ratkaisut keskittyvät erityisesti korkean tason käyttöoikeuksien kuten järjestelmien pääkäyttäjien hallintaan. NIS2 vaatii, että kriittisten järjestelmien hallintaan käytetään tiukasti valvottuja ja seurattuja prosesseja. 

PAM-järjestelmät tarjoavat keinoja rajata ja valvoa korotettuja käyttöoikeuksia sekä pääkäyttäjätunnuksia, esimerkiksi istunnon nauhoitus, kirjata yksityiskohtaisesti käyttäjien toimintaa ja varmistaa, että vain oikeutetut käyttäjät voivat suorittaa kriittisiä toimenpiteitä sekä päästä käsiksi sensitiivisiin tietoihin.

Järjestimme PAM-aiheisen webinaariin 25.4.2024, katso tallenne täältä.

Tutustu tarkemmin pääkäyttäjätunnusten hallintaan

Identity Threat Detection and Response (ITDR) 

ITDR-ratkaisut keskittyvät havaitsemaan ja reagoimaan uhkiin, jotka kohdistuvat identiteetteihin ja käyttöoikeuksiin. Tämä on kriittistä NIS2-direktiivin toimeenpanossa, sillä direktiivi vaatii organisaatioita suojaamaan kriittisiä järjestelmiä ja tietoja mahdollisilta hyökkäyksiltä. ITDR-järjestelmät auttavat tunnistamaan epäilyttävän käyttäytymisen, kuten luvattomat kirjautumisyritykset ja epäilyttävät pääsyoikeuksien muutokset. Ne myös tarjoavat keinoja reagoida näihin uhkiin nopeasti, estäen reaktiivisesti mahdolliset tietomurrot ja vahingot.  ITDR-järjestelmien avulla organisaatiot voivat varmistaa, että käyttäjäidentiteetit pysyvät suojattuina, mikä on elintärkeää direktiivin vaatimusten täyttämisessä. 

Erityisesti ITDR:n merkitys kasvaa Active Directory-pohjaisissa ympäristöissä, koska AD-pohjainen teknologia on vanhaa ja siitä puuttuvat useat nykyaikaiset tietoturvan tekniset kontrollit.

Cloud Infrastructure Entitlement Management (CIEM)

Kun yhä useammat organisaatiot siirtyvät käyttämään julkipilvialustoja, CIEM on muodostunut tärkeäksi osaksi pilvitietoturvaa. CIEM auttaa hallitsemaan ja valvomaan eri pilviresurssien käyttöoikeuksia pilviympäristöissä, missä resurssien dynaaminen luonne voi helposti johtaa liian laajojen oikeuksien myöntämiseen. 

NIS2-direktiivin näkökulmasta, CIEM varmistaa, että pilvipalvelujen käyttöoikeudet ovat minimissään tarvittavalla tasolla, mikä vähentää väärinkäytösten mahdollisuuksia ja parantaa näkyvyyttä. 

Yhteenveto: NIS2 x tekniset kontrollit

NIS2-direktiivi tuo mukanaan merkittäviä vaatimuksia digitaalisten identiteettien tietoturvallisuuteen. Tekniset kontrollit ovat olennaisia työkaluja direktiivin vaatimusten täyttämisessä. Ne eivät ainoastaan auta täyttämään direktiivin asettamia vaatimuksia, vaan myös suojaavat organisaation arvokkaita tietoja ja palveluita potentiaalisilta uhkilta ja häiriöiltä. Tekniset kontrollit yhdessä organisaation prosessien, jalkautettujen tietoturvapolitiikkojen (IAM, PAM) sekä operointiohjeiden kanssa pienentävät kattavimmin tietomurtojen ja tietovuotojen riskiä.

Me Secure Cloudilla tarjoamme osaamistamme käyttöönne, mikäli jokin asia askarruttaa NIS2:n ympärillä ja on esimerkiksi syytä arvioida teknisten kontrollien tarvetta. Tyypillisesti hankkeet kannattaa aloittaa vaiheistetusti esimerkiksi laittamalla identiteettien elinkaariasiat kuntoon. Tämän jälkeen edetään prioriteettien mukaisessa järjestyksessä, mikä organisaation kypsyystaso eri teknisissä kontrolleissa on ja mitkä ovat kriittisimmät alueet liiketoiminnan ja jatkuvuuden turvaamisen kannalta.

Lue lisää NIS2-direktiivin syövereistä asiantuntijoidemme Mikko Tammiruusun ja Petri Heinosen blogeista.

Eero Kaipiainen

Eero Kaipiainen

Eerolla on yli 15 vuoden kokemus digitaalisten identiteettien hallinnasta. Hän on toiminut konsultoinnin lisäksi eri rooleissa määrittelytyöstä koodaamiseen, projektijohdosta tekniseen käyttöönottoon ja ylläpitoon sekä kokemusta löytyy useasta eri digitaalisten identiteettien teknologiasta ja palvelusta. Tällä hetkellä Eero toimii Secure Cloudilla IAM arkkitehtina. Eeron harrastuksiin kuuluvat Go-lautapelin opettelu ja osakepoiminta.