“82% kibernetskih strokovnjakov je lani (2023) delalo na uveljavljanju ničelnega zaupanja, še dodatnih 16% teh pa naj bi do konca letošnjega leta pričelo z njim”  

Vir: podatek velja za ZDA in je dostopen na tej povezavi. 

Izzivi udejanja načela Zero trust (ničelno zaupanje)

Verjetno ste že slišali: ničelno zaupanje ni en sam izdelek, ampak varnostna strategija, ki sledi načelu “nikoli ne zaupaj, vedno preveri”. Kot taka zahteva prilagojen pristop, ki pa lahko postane precej zapleten in zahteva dodatno osebje za njegovo vpeljavo v podjetje. 

Udejanjanje ničelnega zaupanja pomeni celovito spremembo tehnologije in arhitekture ter izvajanje korak za korakom. Zastareli sistemi, ki niso bili zasnovani za delovanje v okviru ničelnega zaupanja, morda zahtevajo drugačne varnostne ukrepe ali celo zamenjavo, kar seveda pomeni tudi dodatne stroške. 

Zaradi visokih stroškov se lahko udejanjanje načela Zero trust sreča z ovirami, ki jih postavijo izvršni deležniki/odločevalci. 

Rastoča narava organizacij lahko prav tako povzroči varnostne težave. Zaposleni prihajajo in odhajajo, in imeti močno arhitekturo ničelnega zaupanja pomeni nenehno in pravočasno posodabljanje dostopov. Neuspeh pri tem bi potencialno lahko izkoristili nekdanji zaposleni ali še huje, hekerji z zlorabo njihovih dostopnih podatkov, za prihodnje škodovanje organizaciji. 

Med izzivi je tudi neprekinjena avtentikacija, ki jo zahteva okvir ničelnega zaupanja, saj lahko negativno vpliva na produktivnost dela in delovanje aplikacij. 

Prisotnost neznanih naprav IoT (ang. Internet of things) v omrežju prav tako predstavlja pomembno grožnjo. Te lahko zaposleni, partnerji ali naključni obiskovalci prinesejo v organizacijo in iz nje, in veliko težje jih je zaznati in zaščititi z modelom ničelnega zaupanja. Enako velja za nenadzorovane sisteme tretjih strank/neodvisnih izdelovalcev, saj so izven nadzora organizacije. 

Ne nazadnje lahko uvedba modela ničelnega zaupanja (ang. Zero trust) povzroči trenje med IT in varnostnimi ekipami, ki jih spodbujajo zahteve po nenehnem preverjanju, enem od temeljev te varnostne strategije.  

V tradicionalnem varnostnem modelu je bila varnost osredotočena na zaščito obsega (ang. perimeter defense). Toda z ničelnim zaupanjem je varnost osredotočena na podatke – kar pomeni, da morajo IT in varnostne ekipe spremeniti način razmišljanja o varnosti. 

Kako premagati ovire na tej poti?  

Da bi zgradili močen varnostni okvir ničelnega zaupanja, bi morale organizacije najprej določiti, kateri njihovi podatki in sistemi so občutljivi, nato pa se prepričati, da vedo, kje se ti podatki nahajajo. 

Dostop uporabnikov do določenih podatkov in sistemov bi moral biti odobren na podlagi različnih delovnih funkcij in nenehno spremljan. Strogo izvajanje avtentikacije in avtorizacije lahko odvrne napadalce. Še en ključni vidik zero trust je šifriranje, saj varuje podatke med prenosom in shranjevanjem le-teh. 

Vendar organizacije ne smejo ostati pri tem. Nenehno bi morale spremljati promet v omrežju in aktivnost uporabnikov, da bi pravočasno odkrile morebitna tveganja. 

Ničelno zaupanje spodbuja tudi »mikrosegmentacijo«, saj razbije omrežja, obremenitve in aplikacije na manjše, podrobnejše segmente in napadalcem oteži premikanje ali širjenje zlonamerne programske opreme na veliko število sistemov znotraj podjetja. 

Ne nazadnje bi morale organizacije zagotoviti, da se njihovi zaposleni držijo najboljših praks na področju varnosti in so seznanjeni z mnogimi prepričljivimi načini, kako bodo grožnje poskušale dostopati do podatkov in sredstev podjetja. 

Vendar pa vse to najprej zahteva resen in celovit načrt. Organizacije bi morale začeti počasi in identificirati specifične težave, ki potrebujejo pozornost. 

Oceno obstoječih naložb bi morale uporabiti, da bi določile področja, kjer bi lahko ničelno zaupanje najbolj vplivalo na željeni izzid, nato pa bi morale ključne deležnike vključiti tako, da bi jim jasno predstavile, kaj potrebujejo ekipe, da bi bile bolj produktivne, ob hkratnem upoštevanju varnosti. 

Izvajanje zunanjega strokovnega znanja (storitve strokovnih storitev ali upravljanih ponudnikov varnostnih storitev) je prvo v vrsti, ki lahko bistveno pomaga, če v organizaciji primanjkuje znanja. 

V podjetju Inovis IT d.o.o., se s tematiko vpeljevanja načela oz. varnostne strategije »Zero trust« ukvarjamo dnevno in smo v vlogi svetovalcev ter izvajalcev pri mnogih malih in srednje velikih podjetjih v regiji.  

Zapise na to temo s tem namenom redno dodajamo v našo blog sekcijo in za dodatno branje  priporočamo ta zapis: Vzpostavitev modela ničelnega zaupanja (ang. Zero Trust) v vaši organizaciji: zakaj je to nujno? ki vsebuje povezavo na Youtube video z odlično razlago te varnostne strategije s strani strokovnjaka podjetja IBM.  

Prav tako pa smo pred časom objavili zapis na temo: Kako implementirati Ničelno zaupanje (ang. Zero trust) v organizacijo?