Článek
V posledních několika letech se v médiích, na konferencích i seminářích stále častěji setkáváme s novým zaklínadlem, které nese jméno „Zero Trust“. Existuje k němu nepřeberné množství textů, které ho často roubují na řešení jednotlivých firem zabývajících se kybernetickou bezpečností a často ho prezentují jako zázračné řešení v oblasti digitální ochrany. Pojďme se tedy podívat na to, co se za tímto magickým souslovím skrývá, kdy má cenu mu věnovat pozornost a od čeho se odrazit.
Selský rozum pro novou dobu
Nikomu nevěř a vždy prověřuj. To je základní myšlenka celého konceptu. Každý den čteme zprávy o nových hackerských útocích, zašifrovaných datech a požadavcích na astronomické výkupné. První, o čem spekulujeme v případě evropských blackoutů, jsou právě hackerské útoky na rozvodnou síť. Už víme, že když hacker opravdu chce, cestu si nakonec vždy najde. Tak proč kolem toho dělat takový humbuk?
Ještě před několika lety byl však koncept kybernetické bezpečnosti postavený na zcela jiné myšlence. Zjednodušeně řečeno se předpokládalo se, že existují dva oddělené světy. Bezpečný svět firemní sítě, který je potřeba ochránit před nebezpečími přicházejícími z vnějšího světa internetu. K tomu jsme vybudovali firewally, systémy detekce a prevence hrozeb a řadu dalších řešení, která měla zabránit útočníkům dostat se do organizace, nebo alespoň včas odhalit, že došlo k prolomení vnější ochrany. S rostoucí složitostí digitálního světa ale tato představa vzala za své a bylo potřeba se na problematiku podívat znovu: Jak nejlépe ochráním svá citlivá data? Jednoduše tak, že k nim pustím co nejmenší počet povolaných osob z důvěryhodných zařízení.
Zero Trust je pro firmy, které znají svůj byznys
Zní to zvláštně, každá firma přeci ví, jaký je její byznys, jaké poskytuje služby nebo jaké zboží vyrábí a co jí vydělává peníze, že? Jenže ne každá firma na úrovni vedení ví, na jakých IT službách, datech a strojích (souhrnně aktivech) tato činnost závisí. Které prvky ve změti firemního IT jsou ty klíčové a ke kterým by tedy měly pustit opravdu jenom jednotky lidí? A které sice nejsou kritické, ale jsou také velmi důležité? Kdo ve firmě využívá jaké aplikace a k jakým částem sítě potřebuje přístup a k jakým ne? Zatímco ve fyzickém světě nám selský rozum velí tyto aspekty znát (ne každý ve firmě má klíče od všech dveří a sejfů), v tom digitálním často selhává.
Prvním krokem v oblasti kybernetické bezpečnosti by tedy podle selského rozumu mělo být především ujasnit si výše popsané. Tedy roztřídit si svá aktiva podle důležitosti a zmapovat, co se ve firemní síti děje, kdo využívá ke své práci jaká data a aplikace a co k ní naopak nepotřebuje.
Na základě těchto znalostí můžeme určit, které oblasti chceme bránit opravdu silně, protože jsou pro náš byznys nepostradatelné, a u kterých nám bude stačit klasická ochrana. A zároveň můžeme přistoupit k segmentaci sítě, tedy k jejímu rozdělení na menší části a určení toho, jaké části si spolu mohou povídat a jaké ne. A jednotlivým lidem ve firmě (případně dodavatelům a dalším externistům) udělit oprávnění pro přístup k vybraným datům a aplikacím, ale nikdy tam, kde nemají co dělat.
Koho máme ve své síti a s jakým zařízením pracuje
Poslední věcí už je pouze důsledné řízení přístupu do firemní sítě. Jinými slovy, dovnitř se nedostane nikdo, kdo k tomu nemá oprávnění. A nezáleží na tom, jestli se připojuje z kanceláře, nebo z druhé strany světa. To samé platí o zařízeních, ze kterých se lidé do sítě připojují. Každé zařízení, ať už jde o stolní počítač v kanceláři, osobní notebook či telefon, je potřeba nejprve ověřit, jestli jde o důvěryhodné zařízení a jestli odpovídá firemním bezpečnostním nařízením, například jestli má aktuální software a záplatované všechny známé zranitelnosti.
V oblasti řízení přístupu do sítě existuje řada nástrojů od renomovaných firem. Většina využívá různé ověřování. Zde je pouze potřeba velmi dobře zvážit, jak často budete po svých zaměstnancích a dalších spolupracovnících vyžadovat ověření a jak složité bude. Pokud budou lidé nucení ověřovat svoji totožnost příliš často a příliš složitě, přestanou mu věnovat pozornost a snáze odkliknou podvrženou žádost o autentizaci.
To nejdůležitější zvládne každý sám
To je ve zkratce vše. Celý koncept je někdy ve snaze zaujmout popisovaný složitě a s důrazem na jeho revolučnost. Jistě je to velký krok kupředu, ale jde pouze o aplikaci selského rozumu. Samozřejmě že na některé kroky jsou vhodné specializované nástroje, ale základ, na kterém Zero Trust stojí, může (a měl by) udělat každý sám. Rozhodnout se, co chci chránit. Následně zjistit, jak moje síť funguje. A poté zaměstnance pouštět jen do vybraných segmentů. A vždy ověřovat, že jde skutečně o danou osobu a že se nepřihlašuje z nebezpečného zařízení.
A na závěr ještě jedno upozornění selského rozumu: Ani aplikace Zero Trust politiky vám nezaručí, že se nestanete terčem úspěšného hackerského útoku. Zálohujte svá data a buďte připraveni i na nejhorší variantu.
