Nollaluottamusta ohjaavasta periaatteesta – ”älä koskaan luota, tarkista aina” – on tullut keskeinen käytäntö nykypäivän monimutkaisten ja monipuolisten pilviverkkojen turvaamiseksi. Vielä vähän aikaa sitten pystyit lukitsemaan yrityksesi etuoven, luottaen siihen, että kaikki arvokas tietosi olivat turvassa seinien sisällä. Sitten mukana tulivat kannettavat tietokoneet, levyt ja muistitikut – ja aina niin usein kuulisit jutun siitä, että joku jättää valtiosalaisuudet jonnekin junaan. Nykyään yrityksesi tiedot ovat käytettävissä missä tahansa. Ja kauko- ja jaetun työvoiman ennennäkemättömän nousun myötä se ”missä tahansa” voi kirjaimellisesti olla ”missä tahansa maapallolla”.

Nykyään parhaat ohjelmistoratkaisut toimivat pilvessä – puhumattakaan maailman teollisten IoT-verkkojen miljoonista yhdistetyistä laitteista ja resursseista. Vaikka pilvisovellukset eivät yleensä ole yhtä turvallisia kuin on-premise-sovellukset – itse asiassa päinvastoin – nykymaailmassa on uusia riskejä. Digitaali- ja pilviteknologiat ovat laajentaneet sitä, mitä tietoturva-asiantuntijat kutsuvat jokaisen organisaation hyökkäyspinnaksi.

Perinteisiä kyberturvallisuusprotokollia mallinnettiin ajatukselle siitä, että käyttäjät käyvät läpi tietoturvan yrityksen virtuaalisella ulko-ovella ja sen jälkeen, kun he pääsivät sisälle. Toisin sanoen ne kehitettiin esipilvimaailmassa. Nyt on kuitenkin enemmän yhteyspisteitä – työntekijän henkilökohtainen puhelin tai IoT-tulostin voisi olla potentiaalinen portaali – ja yritykset ovat joutuneet murtamaan tietoturvastrategiansa. Kun verkkohyökkäykset ovat ennätyksellisen korkealla, verkkoturvallisuuden pitäisi olla ensisijaisessa asemassa tehtäväluettelosi kärjessä. Nolla luottamusta -toteutus vaatii sitoutumista ja yhteistyötä koko liiketoiminnassasi.

Nollaluottamus: Määritelmä ja strategia

John Kindervag työskenteli Forrester Researchin analyytikkona vuonna 2010 – aikana, jolloin pilvisovellukset ja IoT-laitteet alkoivat nopeasti nousta. Kindervag tunnisti oikeutetusti Forresterin järjestelmissä olevien tietojen ja henkisen omaisuuden valtavan herkkyyden ja arvon. Vastauksena tähän kasvavaan riskiin hän keksi termin nolla luottamusta ja johti monien sen perusperiaatteiden kehittämistä.

Nollaluottamus voidaan määritellä tietotekniikan tietoturvamalliksi, joka edellyttää, että jokainen käyttäjä ja mahdollisesti yhdistetty laite todentaa tarkasti henkilöllisyytensä riippumatta siitä, ovatko he yrityksen rajojen sisällä vai ulkopuolella. Zero Trust -arkkitehtuuri (ZTA) perustuu useisiin prosesseihin ja protokolliin sekä digitaalisiin ratkaisuihin ja työkaluihin menestyksen saavuttamiseksi.

Zero Trust Network Access (ZTNA) on nollaluottamusarkkitehtuurin sovellus, jonka Gartner määrittelee ”identiteetti- ja kontekstipohjaisen loogisen käyttörajan luomiseksi sovelluksen tai sovellusjoukon ympärille”. Tämä poistaa nämä sovellukset julkisesta näkymästä ja sallii vain käyttäjät, jotka on tarkistettu ja jotka noudattavat ennalta määritettyjä käyttöoikeuskäytäntöjä.

Mutta todellisuudessa nollaluottamus alkaa kulttuurisena mullistuksena organisaatiossasi. Meillä on taipumus ajatella kyberturvallisuutta huonojen toimijoiden suhteen, jotka pyrkivät tarkoituksellisesti aiheuttamaan haittaa, mutta valitettavasti usein se on pikemminkin tietämättömyyttä kuin pahansuopuutta, joka johtaa riskeihin ja menetyksiin. Äskettäisen raportin mukaan sähköpostihyökkäykset lisääntyivät 48 prosenttia vuoden 2022 alkupuoliskolla, jolloin työntekijät houkuteltiin huijauksiin tai paljastettiin yksityiskohtia tietojenkalastelun seurauksena. Tämä osoittaa, miksi koulutuksen ja kulttuurin sisäänosto on niin kriittinen tekijä nollaluottamuksen toteuttamisessa.

Miksi nollaluottamuksen periaatteet ovat niin välttämättömiä juuri nyt?

Ei ole epäilystäkään siitä, että verkkohyökkäykset ovat kasvussa. Vuonna 2022 tehtiin mittava kysely, johon osallistui 1 200 suurta organisaatiota 14 eri sektorilla ja 16 maassa. Huolimatta kyberturvallisuuden priorisoinnista monet vastaajat myönsivät, että turvallisuus on riittämätöntä. Itse asiassa havainnot osoittivat, että aineellisten rikkomusten määrä kasvoi hälyttävästi 20,5 prosenttia vuosina 2020–2021.

Seuraavat ovat eräitä muita turvallisuushaasteita, joita nykypäivän yrityksillä on edessään:

• Vanhat palomuurit. Monet yritykset ovat liian riippuvaisia palomuureista, jotka edelsivät pilviyhteyksien yleistymistä. VPN:t ovat käyttökelpoinen tukiväline palomuurien lisäämiseen, mutta ne eivät ole tehokas pitkän aikavälin ratkaisu, koska niiden laajuus on rajallinen ja koska niillä on taipumus hidastaa liiketoimintasovellusten suorituskykyä, mikä puolestaan vaikuttaa työntekijöiden tuottavuuteen.
• Todennuksen monimutkaisuus. Laitteen agnostinen ohjelmisto on hyvä käyttäjille, mutta lisää monimutkaisen kerroksen suojausprotokolliin. Vaikka käyttäjillä olisi yrityksen puhelimet ja kannettavat tietokoneet, ne ovat vain yhtä turvallisia kuin varmennus- ja turvallisuusprotokollat, jotka ovat käytössä niiden suojaamiseksi.
• Kolmannen osapuolen laitteet. Pandemian myötä koko työvoima lähetettiin töihin kotoa – lähes yön yli. Monilla yrityksillä ei ollut muuta vaihtoehtoa kuin antaa työntekijöiden käyttää omia tietokoneitaan ja laitteitaan. Monissa tapauksissa perustettiin turvajärjestelyjä, jotta liiketoiminta ja valot pysyisivät käynnissä. Monille yrityksille ne eivät kuitenkaan ole vielä päässeet eroon näistä väliaikaisista toimenpiteistä ja toteuttaneet kaukaisiin työntekijöihinsä enemmän luodinkestäviä nollaluottamustoimia.
• Ei-valtuutetut sovellukset. SaaS-liiketoimintasovellusten käyttö on tasaisessa nousussa. Valitettavasti monet IT-tiimit ovat venyneet ohuiksi, mikä usein saa käyttäjät turvautumaan omien sovellusten hankintaan ja käyttämään niitä yrityksen verkostossa ilmoittamatta IT-tiimeilleen. Sen lisäksi, että näihin sovelluksiin ei sovelleta tiukkoja nollaluottamuskäytäntöjä, ne ovat myös saattaneet ohittaa turvatoimet kokonaan.

• IoT-liitettävyys. Teollinen IoT-laite voi olla yhtä yksinkertainen kuin puhallin tai hitsauskone. Koska näitä laitteita ei pidetä minkäänlaisena ”tietokoneena”, käyttäjät voivat helposti unohtaa, että ne ovat mahdollinen yhteyspiste yrityksen verkkoon. Zero Trust -arkkitehtuuri ottaa käyttöön automatisointeja ja prosesseja, jotka varmistavat kaikkien päätelaitteiden, koneiden ja IoT-resurssien turvallisuuden.
• Monikanavaiset portaalit. Työntekijät eivät ole ainoat yrityksesi pilvipalveluissa. Näemme yhä enemmän yhdistettyjä laitteita, kuten älykkäitä hyllyjä myymälöissä, ja "maksa missä tahansa" mobiilisovelluksia. Mikä tahansa näistä monikanavaisista portaaleista edustaa riskiä. Nollaluottamus auttaa varmistamaan nämä riskit ilman kohtuutonta haittaa tai viivytystä asiakkaillesi.
• ERP-tietoturvahaasteet. Aikaisempina vuosina toiminnanohjausjärjestelmät rajoittuivat tiettyihin suunnittelu- ja taloushallinnon tehtäviin ja niillä oli rajallinen joukko käyttäjiä liiketoiminnassa. Nykypäivän parhaat pilvi-ERP-järjestelmät perustuvat kuitenkin tekoälyyn, edistyneeseen analytiikkaan ja tehokkaisiin, skaalautuviin tietokantoihin. Niillä on kyky integroitua erilaisiin sovelluksiin ja järjestelmiin eri puolilla liiketoimintaa, ja niitä hyödynnetään yhä enemmän optimoimaan ja virtaviivaistamaan jokaista toiminta-aluetta. Nykyaikaisissa ERP-järjestelmissä on kehittyneitä suojausjärjestelmiä, mutta kuten mikä tahansa järjestelmä, niissä on haavoittuvuuksia, jotka vain yhdistävät laajemman kattavuuden ja käytettävyyden. Nollaluottamusperiaatteet, kun niitä sovelletaan vahvaan ERP-pilvipohjaiseen tietoturvaan, auttavat suojaamaan liiketoimintaasi kaikissa vaiheissa.

Miten nollaluottamus toimii?

Nollaluottamus yhdistää joukon teknologioita ja protokollia, kuten monimenetelmäisen todennuksen, päätepisteiden suojausratkaisut ja pilvipohjaiset työkalut erilaisten määritteiden ja identiteettien seuraamiseen ja varmentamiseen – käyttäjistä päätepisteisiin. Nollaluottamus edellyttää myös tietojen, sähköpostien ja työkuormien salausta niiden turvallisuuden varmistamiseksi. Pohjimmiltaan nolla luottamusprotokollaa:

• Verkkoyhteyden hallinta ja rajoittaminen keneltä tahansa, missä tahansa, millä tahansa laitteella tai resurssilla
• Tarkista käyttäjä tai tietoresurssi, joka pääsee tai voi päästä mille tahansa verkon tasolle
• Tallenna ja tarkasta kaikki verkkoliikenne reaaliajassa

Nollaluottamuksen turvamalli käyttää tarpeellista tietopolitiikkaa. Pohjimmiltaan tämä tarkoittaa sitä, että käyttäjillä on pääsy vain niihin tietoihin ja sovelluksiin, joita he tarvitsevat tehtäviensä hoitamiseen. Ja jälleen kerran teknologia on kaksiteräinen miekka kilpailussa paremmasta kyberturvallisuudesta. Digitaalisten ratkaisujen ja liitettävyyden parantuessa ne luovat suuremman hyökkäyspinnan, joten parempi ja nopeampi turvallisuusteknologia vaaditaan pysymään mukana. Ja ei vain pysyä mukana, mutta myös aiheuttaa mahdollisimman vähän haittaa ja häiriöitä käyttäjälle. Tämä edellyttää erittäin ketteriä ja dynaamisia turvallisuuskäytäntöjä, joita tukevat kontekstitiedot ja käytettävissä olevien datapisteiden maksimimäärä – ja reaaliajassa. Kuka tämä henkilö on? Missä ne ovat? Mitä he yrittävät käyttää? Miksi he tarvitsevat tällaista pääsyä? Mihin laitteeseen tai päätepisteeseen he ovat tulossa?

Nollaluottamusratkaisujen edut

Vakavimmillaan tietoturvaloukkaukset voivat olla katastrofaalisia. Asiakkaidesi yksityiset tiedot ovat vaakalaudalla, samoin kuin taloutesi, henkinen omaisuutesi ja tietenkin hyvä maineesi. Vakuutusten tavoin turvallisuussijoitukset voivat tuntua isolta kustannukselta… kunnes niitä tarvitaan. Ja sitten ne näyttävät pieneltä hinnalta, jonka voit maksaa suojellaksesi yritystäsi.

Nollaluottamusratkaisujen monia hyötyjä ovat muun muassa:

• Hybridi- ja etätyöntekijöiden suojelu. Olemme keskustelleet siitä, miten etätyöntekijät ja henkilökohtaiset laitteet ovat vieneet kyberturvallisuuspelin. Mutta se ei ole vain yrityksesi, joka on vaarassa. Verkkorikolliset voivat kohdistaa kohteensa työntekijöihisi henkilökohtaisesti, joten on tärkeää varmistaa, että käytössä on tiukat toimenpiteet heidän ja sinun riskinsä pienentämiseksi.
• Ketteryyden ja uusien liiketoimintamallien tukeminen. Jotta yritykset voivat kilpailla ja hallita häiriöitä, niiden on kyettävä pivotoimaan ja tutkimaan uusia liiketoimintamalleja. Tämä tarkoittaa uusien sovellusten, ohjelmistojen ja yhdistettyjen tietoresurssien käyttöönottoa. Turvallisuuden varmistaminen näissä olosuhteissa on pelottava tehtävä, jos sitä käsitellään manuaalisesti. Onneksi parhaat nollaluottamusohjelmistotyökalut voivat nopeuttaa asioita älykkäällä automaatiolla ja mukautettavilla ratkaisuilla, jotka varmistavat, että kaikki ratkaisevat askeleet toteutetaan.
• IT-resurssikulujen vähentäminen. Kysy miltä tahansa IT-ammattilaiselta, kuinka paljon aikaa he käyttävät manuaalisiin tietoturvatehtäviin – vastaus lienee ”liikaa”. Kun yritykset siirtävät ydinyritysjärjestelmänsä pilveen, tietoturvakorjaukset ja -päivitykset voidaan automatisoida ja suorittaa taustalla. Tämä koskee myös nollaluottamusprotokollia. Käyttäjistä päätepisteisiin monet nollaluottamukseen liittyvät ydinsalaus- ja verifiointitehtävät voidaan automatisoida ja ajoittaa.
• Tarkan inventaarion tarjoaminen. Nollaluottamusperiaatteet edellyttävät, että yritys pitää tarkan luettelon kaikista resursseista, käyttäjistä, laitteista, sovelluksista ja yhdistetyistä resursseista. Kun käytössä on oikeat ratkaisut, varastopäivitykset voidaan asettaa päivittämään automaattisesti, mikä takaa reaaliaikaisen tarkkuuden. Rikkomusyrityksen tapauksessa tämä on korvaamaton tutkintaväline. Lisäksi yrityksillä on usein miljoonia, jotka ovat sidoksissa jatkuvaan omaisuuteen, joten tarkka inventaario on myös taloudellinen etu.
• Paremman käyttökokemuksen tarjoaminen. Perinteiset todentamisprosessit voivat olla hitaita ja vaikeasti hallittavia. Tämä johti siihen, että käyttäjät joko yrittivät kiertää turvallisuusprotokollia tai jopa välttää keskeisten työkalujen ja sovellusten käyttöä, koska niitä on vaikea käyttää. Parhaat nollaluottamusratkaisut on rakennettu tungettelemattomiksi ja reagoivaksi, jolloin työntekijät eivät pysty keksimään (ja sitten unohtamaan) salasanoja ja hitaasti reagoivia varmennusprosesseja.

Ei luottamusta -parhaat käytännöt: Aloittaminen

On olemassa useita tehtäviä, jotka sinun on suoritettava, kun nollaluottamuksen muutos on alkanut. Tämä sisältää tietoresurssien luetteloinnin, segmenttien määrittämisen organisaatiossasi ja tietojesi luokittelun sujuvampaa siirtoa varten.

Nollaluottamus alkaa sitoutumisesta, ja seuraavat vaiheet voivat auttaa sinua pääsemään vauhtiin:

• Delegoi. IT-tiimisi on jo liian kiireinen. Harkitse sellaisen erityisen kyberturvallisuuden muutostenhallinnan ammattilaisen perustamista tai nimittämistä, joka voi auttaa sinua pienentämään riskejä, havaitsemaan parannusmahdollisuuksia ja rakentamaan toimivan etenemissuunnitelman.
• Kommunikoi. Katsotaanpa, työntekijät eivät tule heti innostumaan uutisista tiukemmista turvatoimista. Kun investoit parempaan turvallisuuteen, sinun pitäisi myös panostaa entistä mukaansatempaavampaan viestintään ja viestintään tässä muutoksessa. Tietoverkkorikollisuuden vaaroista on paljon todellisia esimerkkejä. Auta tiimejäsi ymmärtämään, että tietoturvaloukkaus ei koske vain C-sviittiä, vaan se maksaa työpaikoista, vaikuttaa yksilöihin ja uhkaa yrityksen selviytymistä.
• Tarkastus. Laadi turvallisuusasiantuntijan kanssa tarkistuslista turvallisuusriskeistä ja auditoi kaikki liiketoiminta-alueet. Irrota siilot ja ota yhteyttä aiheasiantuntijoihin koko tiimissäsi. He tietävät paremmin kuin kukaan, missä heikkoudet ja heikkoudet ovat heidän alueillaan – erityisesti monimutkaisissa, globaaleissa toiminnoissa, kuten toimitusketjuissa ja logistiikassa.
• Priorisoi. Määritä kaikkien liiketoimintojen ja tehtävien suhteellinen tärkeys ja kiireellisyys ja määritä luokitus. Määritä roolipohjainen arvio siitä, kuka kriittisesti tarvitsee pääsyn asioihin ja kuka vähemmän. Tämä alkupriorisointi auttaa myös valmistautumaan mikrosegmentointiin, joka on nollaluottamuksen peruskomponentti, joka estää sivusuuntaisen liikkeen ja sen aiheuttaman altistumisen tietomurroille.

Nykypäivän kiertoilmausten ja huolellisen kielen maailmassa nollaluottamus voi tuntua työntekijöillesi jokseenkin kyyniseltä termiltä. Joten, mene ulos sen eteen, kun esittelet joukkueillesi nollaluottamusta. Kerro heille heti alussa, että tämä ei missään tapauksessa tarkoita, ettet luota heihin. Se on kyberrikolliset, joihin kenenkään ei pitäisi luottaa – koska he voivat saada asiat näyttämään joltakin, jota he eivät ole. He voivat hiipiä sisään pienimpien aukkojen läpi ja kun he ovat sisällä, he eivät välitä siitä, ketä he vahingoittavat.