Arkaluontoisen tiedon suojaaminen vaatii tehokkaita ja käyttäjäystävällisiä ratkaisuja, kuten monivaiheisen tunnistautumisen. Visma Aquilan tietoturvajohtaja Mika Muurinen avaa monivaiheisen tunnistautumisen merkitystä Solveon-ohjelmistoratkaisuissa sekä sen tuomia hyötyjä julkisen sektorin organisaatioille.
Tietoturva ei ole nykyajan organisaatioille valinnainen lisävaruste vaan perusedellytys. Kriittisissä SaaS-järjestelmissä liikkuu valtavat määrät arkaluontoista tietoa, jonka suojaamiseen tarvitaan tehokkaita ja ennen kaikkea käyttäjäystävällisiä kirjautumisratkaisuja. Yksi sellainen on monivaiheinen tunnistautuminen eli MFA (Multi-Factor Authentication).
Visma Aquilan tietoturvajohtaja Mika Muurisen mukaan monivaiheinen tunnistautuminen voidaan ymmärtää helposti oven ja avaimen vertauksella.
"Kuvitellaan, että on ovi ja avain, jolla pääsee sisään ovesta. MFA toimii siten, että pelkkä avain ei riitä, vaan tarvitset myös esimerkiksi PIN-koodin. Ovi aukeaa vasta, kun olet käyttänyt molempia eli tehnyt kaksivaiheisen tunnistautumisen. Jos avain joutuu ei-toivottuihin käsiin, niin he eivät pääse avaimella sisään ilman PIN-koodia", Muurinen tiivistää.
Nimensä mukaisesti monivaiheinen kirjautuminen on kirjautumismenetelmä, jossa käyttäjän henkilöllisyys varmistetaan kahden tai useamman eri todentamistavan avulla. Perinteisen salasanan lisäksi vaaditaan siis myös toinen keino tunnistautua – esimerkiksi mobiililaitteeseen tuleva koodi tai biometrinen tunniste, kuten sormenjälki. Tämä tuo tietoturvaan ylimääräisen kerroksen, joka estää järjestelmään pääsyn, jos salasana joutuu vääriin käsiin.
Monivaiheisen tunnistautumisen merkitys korostuu erityisesti julkisen sektorin organisaatioiden kriittisissä SaaS-järjestelmissä, joissa käsitellään arkaluonteista tietoa, kuten poissaoloilmoitusten kautta järjestelmään tulleita terveystietoja. Monivaiheinen tunnistautuminen varmistaa sen, ettei tärkeiden tietojen suojaaminen ole vain salasanan varassa.
Nykypäivänä tietojen kalastelu on yksi yleisimmistä hyökkäyskeinoista, kun järjestelmän käyttäjää pyritään huijaamaan luovuttamaan kirjautumistietonsa. Monivaiheinen tunnistautuminen toimii tehokkaana suojana kalasteluyrityksiä vastaan.
"Jos joku on kalastellut salasanasi, mutta järjestelmässä on MFA käytössä, se lähettää sinulle kirjautumisyrityksen yhteydessä vahvistuspyynnön. Kun tässä vaiheessa huomaat, ettei kirjautumisyritys ole sinun, voit estää sen", kertoo Muurinen.
Myös uudet verkko- ja tietojärjestelmien kyberturvallisuutta koskevat säännöt (NIS 2 -direktiivi), GDPR sekä muut tietosuoja-asetukset vaikuttavat tietoturvaan. Jos järjestelmässä on arkaluontoista tietoa eikä sitä ole suojattu tarpeeksi hyvin, voi se tulla organisaatiolle kalliiksi. Kuitenkin rahallisia sanktioita suurempi uhka monelle organisaatiolle on luottamuksen menettäminen ja mainehaitta, jonka tietovuoto voi saada aikaan. Niinpä monivaiheisen tunnistautumisen käyttö vahvistaa myös luottamusta organisaation digitaalisiin palveluihin.
"MFA:n käyttöönotto on selkeä viesti, että organisaatio suhtautuu vakavasti tietoturva-asioihin.”
Vaikka monivaiheisen tunnistautumisen hyödyt ovat selkeät ja monessa organisaatiossa ymmärretään sen olevan hyvän tietoturvan perusedellytys, moni asiakas empii vielä MFA:n käyttöönottoa. Muurisen mukaan käyttöönoton suurin haaste onkin usein mielikuvissa:
"Monet mieltävät monivaiheisen kirjautumisen hankalaksi ja työlääksi. Todellisuudessa nykyaikaiset ratkaisut voivat olla hyvinkin käyttäjäystävällisiä."
Muurinen painottaa kolmea avaintekijää monivaiheisen tunnistautumisen onnistuneeseen käyttöönottoon – selkeää viestintää, koulutusta ja riittäviä tukipalveluita.
“On tärkeää kertoa, miksi MFA otetaan käyttöön ja miten se suojaa sekä organisaatiota että sen asiakkaita”, Muurinen korostaa.
Lisäksi järjestelmän käyttäjät tarvitsevat ohjeistusta monivaiheisen kirjautumisen käyttöönottoon sekä riittävät tukipalvelut etenkin alkuvaiheessa, mikä auttaa käyttäjiä sopeutumaan muutokseen. Toki järjestelmän kehittäjän tulee myös kiinnittää erityistä huomiota tunnistautumisen käytettävyyteen.
"Projekti epäonnistuu varmasti, jos järjestelmä on kankea käyttää. Tavoitteena on, että MFA sulautuu saumattomasti päivittäiseen työhön", Muurinen korostaa.
Teknologia kehittyy jatkuvasti käyttäjäystävällisempään suuntaan myös monivaiheisen tunnistatumisen saralla. Solveonin osalta kehitystyö on jo käynnissä. Visma Aquilan käytettävyystiimi tekee parhaillaan käytettävyystutkimusta, jossa selvitetään erilaisia skenaarioita ja käyttötapauksia. Näin voidaan varmistaa, että tunnistautumisratkaisut ovat turvallisia ja helppokäyttöisiä eri tilanteissa ja eri kohderyhmille.
"Tulevaisuudessa voimme nähdä yhä sujuvampia tunnistautumismenetelmiä, jotka saattavat jopa poistaa tarpeen perinteisille salasanoille. Esimerkiksi biometrinen tunnistus yhdistettynä PIN-koodiin voi tehdä kirjautumisesta sekä turvallisempaa että helpompaa", visioi Muurinen.
Muurinen muistuttaa, että vaikka monivaiheinen tunnistautuminen vahvistaa merkittävästi tietoturvallisuutta, se on kuitenkin vain yksi osa organisaation kokonaisvaltaista turvallisuuskulttuuria. Mikään yksittäinen ratkaisu ei korvaa hyvää tietoturvakäytäntöjen kokonaisuutta.
"Tietoturvan ulkoistaminen on väärä ajattelutapa. Turvallisuuskulttuuri, MFA ja muut tavat tunnistautua – ne vahvistavat yrityksen turvallisuutta ja estävät kyberhyökkäyksiä.”
Visma Aquila haluaa auttaa asiakkaitaan valmistautumaan tähän muutokseen myös Solveon-ohjelmistoratkaisussa, joissa monivaiheinen tunnistautuminen on jo arkipäivää ja sujuva, saumaton osa päivittäistä työskentelyä.
"Haluamme tukea asiakkaiden turvallisuuspolkua ja opastaa heitä käyttämään tunnistautumista, jotta he voivat välittää tietoa käyttäjäystävällisestä tunnistautumisesta myös omissa organisaatioissaan.".