LUT:n tietoturvallisen tunnistautumisen haasteen ratkaisi Cisco DUO
LUT-korkeakoulut on noin 2 000 työntekijän ja 20 000 opiskelijan korkeakoulukonserni, jonka toiminta jakautuu LUT-yliopistoon ja LAB-ammattikorkeakouluun, jotka toimivat Lappeenrannan ja Lahden kampuksilla. Kahden kaupunkikampuksen lisäksi merkittävässä roolissa opetuksessa on myös paikasta riippumaton virtuaalikampus.
Opiskelijamäärä korkeakouluissa on valtava ja vaihtuvuus suurta. Opiskelijat kirjautuvat oppilaitoksen verkkoon ja resursseihin omilla, usein monilla eri päätelaitteillaan. Toisaalta on tiedossa, että tietoturvariskit kasvavat, monimutkaistuvat ja ovat yhä hienovaraisempia, ja yhä edelleen suurin yksittäinen riski on käyttäjä. ”Perinteinen käyttäjätunnus ja salasana -yhdistelmä oli tullut meillä tiensä päähän, sillä viikoittain näin suuressa käyttäjämäärässä joku haksahtaa kalasteluviestiin, jonka seurauksena salasanoja pääsee vuotamaan vääriin käsiin.” LUT:n tietohallintojohtaja Antti Sirviö toteaa.
LUT:ssa oli tarve päivittää oppilaiden tunnistautuminen tähän päivään, niin tietoturvan varmistamiseksi kuin tietohallinnon ylläpidollisen kuorman hillitsemiseksi. Tavoitteena oli löytää ratkaisu, joka integroituisi helposti oppilaitoksen muihin järjestelmiin – myös toiminnan kannalta kriittisiin sovelluksiin ja joka automatisoisi käyttöönottoprosessia.
Ei salasanavarkaille, kyllä vahvasti tunnistetuille käyttäjille
LUT oli jo aiemmin ottanut henkilökunnan käyttöön Cisco DUO MFA (Multi-Factor Authentication) -ratkaisun, josta oli kertynyt positiivisia käyttökokemuksia. Käyttäjät kokivat DUO:n helpoksi ja joustavaksi käyttää, eikä se aiheuttanut tikettijonoja tietohallinnolle. ”Kokemuksen perusteella tiesimme jo, että Cisco DUO integroituu erinomaisesti käyttäjätunnushallintaamme, mikä automatisoi koko prosessia. Oli helppo valinta päätyä ottamaan se myös opiskelijoiden käyttöön.” Antti Sirviö kertoo.
Cisco DUO on salasanaton, vaihtuvaan pin-koodiin perustuva tunnistautumisratkaisu, joka varmistaa, että vain hyväksytyt käyttäjät ja laitteet pääsevät yliopiston verkkoon, järjestelmiin ja sovelluksiin. Se tarkistaa ja tunnistaa vahvasti käyttäjän ja laitteen, sekä mitä käyttäjä on kirjautuneena tekemässä. Avoimilla API-rajapinnoilla DUO voidaan integroida olemassa oleviin, monimuotoisiin ympäristöihin joustavasti.
Zero Trust -tietoturvaa, joka kontrolloi sitä mitä korkeakoulumaailmassa voi kontrolloida
Sirviö tunnistaa kaksi selkeää riskialuetta, jotka DUO taklasi. Ensimmäinen liittyy käyttäjiin ja laitteisiin, joihin LUT:n tietohallinnolla ei ole minkäänlaista kontrollia. Laitteet ovat opiskelijoiden omia ja niiden ylläpito täysin heidän omalla vastuullaan. Toisaalta myöskään käyttäjien inhimillistä toimintaa ei voi kukaan muu kontrolloida, joten yliopiston tietohallintopalvelut on rakennettava Zero Trust -näkökulmasta sellaiseksi, ettei niihin ole pääsyä ilman vahvaa tunnistusta.
Toinen alue liittyy ylläpitoon. Mikäli valittu ratkaisu ei integroituisi saumattomasti LUT:n järjestelmiin ja sovelluksiin, se lisäisi ylläpitoon vaadittavia resursseja, eli kustannuksia. Cisco DUO oli helppo integroida LUT:n monimuotoiseen ympäristöön, ja samalla saatiin se mikä oli tavoitteena: yhtenäinen tunnistautumisprosessi ja -ratkaisu niin henkilökunnalle kuin opiskelijoille. Myös Ciscon kehityssuunnitelmat DUO:n osalta vakuuttivat Antti Sirviön.
Investointi toi LUT:lle lopulta kustannussäästöjä, sillä DUO:n tuoma automaatio vähensi tietoturvan hallinnollisia kustannuksia, ja säästöä työkustannuksiin syntyy myös siitä, että käyttäjien tietoturvaan liittyviä ongelmatilanteita ja niiden selvittelyjä on enää äärettömän vähän.
DUO on Ciscon Zero Trust –ajattelun kulmakivi. Zero Trust rajoittaa käyttäjien pääsyn organisaation resursseihin. Sen oletuksena on ’kiellä kaikki’ mikä tarkoittaa, että resurssit – järjestelmät ja sovellukset, data ja yhteydet – eivät ole käytettävissä ennen kuin käyttäjän identiteetti on vahvistettu ja organisaation määritellyt suojauskäytännöt on täytetty.
Aiheesta lisää:
Zero Trust syö pahuuden välipalaksi
Kyberturvan uudet hypet Zero Trust ja SASE. Mistä on kysymys?
Tarvitseeko ihminen API-rajapinnan, vai onko se jo olemassa?
Tags: