Svakodnevno se u poslovanju suočavamo s novim prijetnjama, a posebno je zabrinjavajuć trend porasta napada unutar samih tvrtki. Vrlo često napadi unutar tvrtki nisu kreirani direktno od samih zaposlenika, već su posljedica neovlaštenog pristupa na pojedina računala zaposlenika. Da bi se tvrtke borile protiv štetnih djelovanja neovlaštenog pristupa računalima, tvrtke sve češće prihvaćaju Zero Trust ili model “nula povjerenja”.
Nula povjerenja
Glavna pretpostavka Zero Trust pristupa je upravo u potpunom nepovjerenju prema svima, pa čak i prema zaposlenicima (ali samo u domeni pristupa IT sustavima). Zero Trust načelo zahtijeva da svaki pokušaj pristupa IT sustavu i/ili mreži uređaj ili zaposlenik treba potvrditi ima li pravo pristupa ili ne. Dakle, bez obzira nalaze li se uređaj ili zaposlenik unutar tvrtke, dodatna razina sigurnosti i pristupa određenom setu podataka mora postojati. Generalna pretpostavka je da su svi, pa i zaposlenici potencijalni napadači i dužni su sustavu dokazati da ipak nisu. Ovako složen sustav na prvu zaposlenicima zvuči izuzetno diskriminirajuće, ali je u praksi jedan od temelja sigurnosti sustava.
Zero Trust je dizajn sustava, a ne proizvod ili usluga.
Zero Trust nije tehnologija, ni tehnološko rješenje, već je skup principa koji kombinira više sigurnosnih mjera IT sustava, pa se za pristup određenom dijelu sustava uz standardna korisnička imena i lozinke koriste dodatni certifikati ili čak sustavi višefaktorske autentikacije (npr. nakon uspješnog unosa korisničkog imena i lozinke, za pristup specifičnim aplikacijama zaposlenici putem SMS-a dobiju jednokratan kod).
Kako uspostaviti Zero Trust
Kako se svaki pojedinac razlikuje od drugog, tako se i poslovanje tvrtki razlikuje i svaka tvrtka ima jedinstvene potrebe. Također, svaka tvrtka različito definira perimetar zaštite i različito kategorizira kritične sustave i/ili podatke. Međutim, neka temeljna načela za uspostavu Zero Trust modela mogu se svesti na:
• Analizu organizacije – definicija perimetra koji se štiti i identifikacija osjetljivih podataka i aplikacija. Svakako je potrebno biti iskren prema samome sebi i procijeniti trenutne sigurnosne rizike te identificirati probleme u infrastrukturi. Definiranjem najkritičnijih podataka pomaže nam da postavimo najviši nivo sigurnosti infrastrukture.
• Pristup podacima – definirati koji zaposlenici moraju pristupiti kojim podacima.
• Preventivne mjere – definirati preventivne mjere koje će napadačima onemogućiti proboj ili u slučaju proboja u sustav smanjiti doseg podataka. Tako je jedno od ponajboljih rješenja uvođenje više faktorske autentifikacije kojom će se morati koristiti svi korisnici sustava. Također, jedna od predloženih mjera je i definiranje mikro perimetara na način da se u sustavu definiraju grupe korisnika koje pristupaju određenim (mikro) segmentima sustava.
