ZeroTrust security model sa vždy šije na mieru, pričom úspech je v postoji jednotlivca, část I.

DSM 3/2024 Zobrazení: 177
ZeroTrust security model sa vždy šije na mieru, pričom úspech je v postoji jednotlivca, část I.

Umiestnenie firemných aktív, predovšetkým údajov, sa za ostatnú dekádu výrazne zmenilo. Mobilita používateľov, zamestnancov a dodávateľov už nemá svoje geografické obmedzenie ak sa jedná o sektor IT a Telekomunikácie. Dynamika digitálneho sveta za ostatné roky narušili efektivitu klasického perimetrového modelu, ktorý v súčasnosti ešte stále prevláda v mnohých organizáciách. V reakcii na tento trend rastie záujem o ZeroTrust model, ktorý kladie dôraz na ochranu identity a dát a predpokladá prienik do perimetra.

            ZeroTrust                 perimetrová bezpečnost              implementace
digitální transformace                  strategické plánování

Transformácia ZeroTrust je postupný proces, ktorý si vyžaduje starostlivé plánovanie, dlhodobú implementáciu a mentálnu výdrž realizačného tímu. Investovať do budovania zmeny firemnej kultúry je strategická oblasť, ktorú treba mať podchytenú od začiatku. Správny transformačný tím je zárukou úspešného zvládnutia celej misie. Dôležité je získať si a udržať podporu manažmentu počas transformácie a vizualizovať kam sa musí organizácia najbližšie roky uberať.

Pilotné projekty sú spôsob, ako budovať postupnú dôveru pre tak radikálnu zmenu. Je isté, že pomer investičných a prevádzkových nákladov sa zmení a bude rásť zložka prevádzkových nákladov hlavne v oblasti ročných poplatkov za riešenia a licencie moderných riešení. Skúsený líder transformácie je uholný kameň celej misie, od začiatku, až do stavu, kedy už návrat späť nie je možný. Trpezlivosť, disciplína, konzistentnosť a motivácia transformačného tímu sú často skloňované výrazy, pretože prechod na nový spôsob fungovania bude trvať niekoľko rokov.

Oblasti implementácie ZeroTrust modelu, ktorými sa budú príspevky zaoberať postupne sú:

  • predpoklady spustenia transformácie z perimetrovej bezpečnosti na ZeroTrust model, stavebné bloky stratégie, konzistentnosť, disciplína a adaptívne zlepšovanie.
  • Taktika postupného prechodu, zmena skokom môže byť základom pre neúspech.
  • Prijatie ZeroTrust v organizácii a riadenie očakávaní manažmentu: „táto zmena bude trvať roky“ a výsledok sa začne prejavovať ku koncu misie.
  • Prechod z perimetrovej bezpečnosti na identitu/end-point a zvyšovanie používateľskej skúsenosti.
  • Perzistencia ako bezpečnostný problém a koncept Just-in-Time (JIT) prístupu.
  • Paradox zamestnanec vs. tretia strana.
  • Zlozvyky kultúry perimetra – „VPN je privilégium“, nie riešenie pre masy.
  • Viditeľnosť a skorá detekcia, ako podstata neustálej adaptácie aplikovaných komponentov pre zaručenie tzv. antifragility. [1]

Slovo na úvod

Termín Zero Trust „ZTN“ sa za ostatné roky skloňuje častejšie, úplne logicky. Roky 2023 a 2024 zas sprevádza séria skratiek „AI“. Je pravda že technologické novinky pribúdajú v silnejšej kadencii ako sme to mohli sledovať 10-20r dozadu. Prostredie EÚ za ostatné 2 dekády sústredilo svoje ciele na optimalizáciu nepriamych nákladov a spoločnosti veľmi konzervatívne investovali do modernizácie a bezpečnosti. Toto spôsobilo, že mnoho odvetví vytvorilo technologický dlh, ktorého likvidácia bude stáť popri rastúcej vlne regulácií kritickej infraštruktúry, AI...ohromné investície. Môžeme hovoriť o ére „EXODUS“ v Európe a bude si vyžadovať osvietený manažment a akcionárov ktorí budú investovať do modernizácie viac ako boli zvyknutí. Netreba zabúdať že sa úplne mení pomer CAPEX vs OPEX, drivá väčšina nákladov sa mení na OPEX čim sa mení stratégia finančného inžinieringu v bezpečnostnom odvetví. Popri operácii „EXODUS“ bude potrebné znášať násobne vyššie náklady na prechodné obdobie kedy staré bude žiť kým sa nezmigruje spoločnosť na nové. Áno toto si bude vyžadovať zmenu myslenia.

Mobilita a dynamika digitálneho sveta za ostatné roky narušili efektivitu klasického perimetrového modelu, ktorý v súčasnosti ešte stále prevláda v mnohých organizáciách. V reakcii na tento trend rastie záujem o ZeroTrust model, ktorý kladie dôraz na ochranu identity a dát a predpokladá prienik do perimetra a vyžaduje neustálu verifikáciu každej požiadavky na zdroje (údaje).

COVID-19 zvýraznil neschopnosť klasického perimetrového modelu chrániť firemné zdroje. Pandémia priniesla masívny rast práce z domu a používania cloudu, čím zdôraznila potrebu ZeroTrust.

Syntéza ZeroTrust a Perimetra: tieto modely sa nemusia vylučovať, ale koexistovať a dopĺňať sa. Perimeter chráni, kým sa organizácia transformuje na ZeroTrust. Perimeter môže/ nemusí zostať ak to dovolí prostredie a okolnosti. Perimeter ako komponent predĺženia času prielomu útočníkom bude závisieť od obrannej taktiky subjektu, úplne ho nezavrhujem ale nie je to strategický komponent. Ak naň bude kapacita/ zdroje môže odolnosť zvýšiť ako doplnok.

Hĺbková obrana (Defense in Depth) je stále kľúčová pre zníženie rizika prieniku a všetky opatrenia obrannej stratégie je potrebné aplikovať v tomto duchu. Netreba zabudnúť na to, že „najlepšia obrana je útok“, subjekty ktoré si to môžu dovoliť (zdroje, kompetencie) by túto možnosť mali mať rozmyslenú.

Príspevok má byť inšpiráciou, čiastočne analyzuje implementáciu ZeroTrust v T-Mobile a Slovak Telekome, dvoch silne regulovaných IT/Telco gigantoch v Českej Republike a na Slovensku.

Aká je motivácia pre ZeroTrust? Predovšetkým je to presun obrannej schopnosti čo najbližšie k aktívam organizácie k identitám, resp. na koncové zariadenie, ktoré identita používa na prístup k aktívam organizácie (tiež „endpoint“) a k údajom, ktoré nie sú v súčasnom globálnom prostredí ohraničené perimetrom a tým chrániť kritickú infraštruktúru regiónu. Tiež je to zvýšenie produktivity práce, mobility biznisu a zvýšenie používateľskej prívetivosti a opustenie riešení, ktoré paradoxne v súčasnom dynamickom prostredí spôsobujú priestor na kompromitáciu organizácie. Vplyv tretích strán a externých partnerov, svetová situácia a globalizácia výrobcov kľúčových komponentov IT technológie zdôrazňuje potrebu ZeroTrust princípov viac ako kedykoľvek v minulosti, aplikuje sa základný postoj: „never nikdy a nikomu, vždy overuj a vychádzaj z predpokladu, že útočníka máš dnu“.

Implementácia ZeroTrust je komplexný proces, ktorý si vyžaduje starostlivé plánovanie a postupný prístup. Kombinácia ZeroTrust a Perimetra s dôrazom na hĺbkovú obranu prinesie udržateľnú a efektívnejšiu kybernetickú bezpečnosť.

Vybrané oblasti transformácie a skúsenosti z implementácie

V nasledujúcich kapitolách budú čiastočne rozpracované vybrané oblasti transformácie na ZeroTrust model s skúsenosťami z implementácie.

Predpoklady spustenia transformácie ZeroTrust

Transformácia na ZeroTrust model je komplexný proces, ktorý si vyžaduje strategické plánovanie, odborné znalosti a trvalú podporu manažmentu. Kľúčovými faktormi pre úspešnú implementáciu sú:

  1. Vytvorenie silného tímu expertov: Jadrom transformácie je tím skúsených profesionálov v oblasti kybernetickej bezpečnosti a architektúry sietí a IT. Títo experti musia mať hlboké pochopenie firemnej kultúry, technického prostredia a bezpečnostných konceptov. V ideálnom prípade by sa mali vyberať z radov expertov, ktorí sú v organizácii a poznajú, ako veci v organizácii fungujú, expertov s praktickými skúsenosťami, nie z administratívnych pozícií. Je užitočné na začiatok zapojiť aj nestranných partnerov ktorí budú klásť dôraz na podstatu útočnej taktiky a obrannej techniky, nie všetko sa bude dať vyriešiť jednoducho (komplexita, zdroje, čas, udržateľnosť, mentálny posun...).
  2. Postupná implementácia zdola nahor: Transformácia ZeroTrust by mala prebiehať metódou „zdola nahor“, tj. začínať od technických tímov a postupne sa šíriť do celého organizmu. Nadšenie a záväzok expertov v úvodných fázach sú kľúčové pre udržanie motivácie v priebehu dlhodobej transformácie. V niektorých prípadoch je vhodné začať s mienkotvornou vzorkou (TOP manažment) na to však treba mať vycibrený cit.
  3. Vizualizácia stratégie a cieľov: Jasne definovaná stratégia s vizualizovanými cieľmi uľahčuje pochopenie a podporu transformácie zo strany rôznych útvarov v organizácii. Vizualizácia pomôže presvedčiť manažment o nutnosti investícií a postupnom budovaní dôvery v projekt.
  4. Neustála adaptácia stratégie: Trendy, technológie a obchodné požiadavky v IT/Telco prostredí sa rýchlo menia. Je preto nevyhnutné strategické plánovanie neustále adaptovať a aktualizovať v súlade s aktuálnymi hrozbami a potrebami. Pravidelné adaptačné workshopy (napr.: dvakrát ročne) zabezpečia konzistentnosť, transparentnosť a adekvátne plánovanie zdrojov. Konzistentnosť je dôležitá, radikálna zmena stratégie môže zmenu ochromiť.
  5. Dôraz na transparentnosť a budovanie dôvery: Pravidelná komunikácia o pokroku a výsledkoch transformácie je kľúčová pre udržanie podpory manažmentu a zamestnancov. Transparentnosť a zdieľanie úspechov posilňujú dôveru v projekt a motivujú k jeho podpore.
  6. Finančný inžiniering a optimalizácia nákladov: Transformácia ZeroTrust si vyžaduje investície do technológií a licencií. Dôležitá je analýza existujúcich investícií a hľadanie príležitostí na optimalizáciu nákladov. Vždy hľadať finančné benefity, ktoré zmena prinesie. Využitie cloudových riešení, konsolidácia systémov a eliminácia duplicitných investícií môže priniesť úspory a zefektívniť prevádzku a používateľskú skúsenosť.
  7. Predchádzanie škodám a ochrana reputácie: Implementácia ZeroTrust modelu znižuje riziko kybernetických útokov a s tým súvisiacich finančných strát, pokút, poškodenej reputácie a prerušenia prevádzky. Tieto aspekty je dôležité zohľadniť pri posudzovaní návratnosti investícií do transformácie.
  8. Silný, vytrvalý líder s technickým porozumením technologických a bezpečnostných konceptov: Transformáciu ZeroTrust by mal viesť skúsený a charizmatický líder s hlbokým pochopením kybernetickej bezpečnosti, biznisu a firemnej kultúry. Líder musí mať silné komunikačné a prezentačné zručnosti, budovať dôveru a rešpekt u manažmentu a tímu, a odolnosť voči výzvam a stresu. Osobnosť, ktorá v prípade chýb na strane realizačného tímu zostane pevne stáť. Ideálne ak disponuje talentami z domény „Ovplyvňovanie“, konkrétne „Aktivátor“ a z domény „Strategické myslenie“, konkrétne: „Ideačný“, podľa Clifton- Strengths® Assessment – Gallup. [3]

Transformácia na ZeroTrust model je dlhodobý proces, ktorý si vyžaduje komplexný prístup a zohľadnenie rôznych faktorov. Kľúčová je úzka spolupráca medzi expertami na kybernetickú bezpečnosť, manažmentom a rôznymi útvarmi v organizácii a biznisu. Dôraz na strategické plánovanie, adaptáciu, transparentnosť, budovanie dôvery a efektívne riadenie transformácie je kľúčom k úspešnej implementácii ZeroTrust modelu a posilneniu kybernetickej odolnosti organizácie.

Snímek obrazovky 2024 10 14 210912Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. 

Použité zdroje: 
[ 1 ] Antifragility pojem (Nassim Nicholas Taleb), https://en.wikipedia.org/wiki/Antifragility
[ 2 ] Google ZeroTrust Security Model, https://cloud.google.com/blog/topics/developers-practitioners/zero-trust-and-beyondcorp-google-cloud
[ 3 ] Gallup Talenty. Dostupné na https://www.gallup.com/cliftonstrengths/en/253715/34-cliftonstrengths-themes.aspx

Vytisknout