2025-ben meg kell ismerned a ZERO TRUST modellt!

Óriási előrelépést jelentene, ha a magyar cégek, vállalatok vezetői fejében a „Zero Trust modell” lenne 2025 első olyan projektje, amit az adatvédelem és a kiberbiztonság érdekében megismernek! Az még jobb lenne, ha az állam valamilyen anyagi segítsége 2025-ben erre az irányra fókuszálva (is) támogatná, legalább a közepes vállalatokat. Cél lehetne például: a modell értelmezése, a cégen belüli elméleti tervezése, szabályok kialakítása és az első három lépés megtétele a megvalósítás irányába.

A Zero Trust egy IT biztonsági modell, amely szigorú személyazonosság-ellenőrzést követel meg minden olyan személy és eszköz esetében, aki megpróbál hozzáférni egy adott hálózat erőforrásaihoz, függetlenül attól, hogy a hálózaton belül vagy azon kívül tartózkodik. IT biztonsági szakemberek többnyire ismerik, a jobbak már dolgoznak is rajta egy-egy nagyobb cég megbízásából, de ez így sajnos egy lassú és nagyon komoly veszteségeket kockáztató tempó.

Az utóbbi néhány év kibertámadásait elemezve jó látható a trend, miszerint lényegesen könnyebb és gazdaságosabb kis- és közepes méretű cégeket támadni (egyszerre többet, ugyanazzal a módszerrel), mint a legnagyobbakat.

Miért? Mert a nagyok valószínűleg rendelkeznek azzal a  komoly tőkével és szakember gárdával, informatikai védelemmel, amit eredményesen támadni sokkal nehezebb és drágább, mint ezeket a védelmi rendszereket egyszerűen megkerülni. A középvállalkozások – amelyek gyakran beszállítói pozícióban is vannak – felkészültsége a tapasztalataim szerint halovány árnyéknak sem tekinthető a nagyokhoz képest (akik szintén nincsenek a csúcson. Tehát könnyebben támadhatók, sőt egyszerre két pénztárca közelébe lehet jutni általuk: a saját adataik védelméért is hajlandóak lehetnek fizetni, plusz a nagyokhoz bejutni is könnyebb lehet a beszállítói kapcsolatok kihasználásával, ezek támadásával.  A nagy számok törvénye szerint ebből sok, relatíve „kisebb” adatlopás generálható, de biztos, hogy be fog kerülni a képbe általuk, közvetve egy-két nagy hal is. A nyereség garantált, bár a mértéke nehezebben látható előre.

A zéró bizalom logikája alapvetően egyszerű, rövid, könnyen értelmezhető: „soha ne bízz, mindig ellenőrizz”. A nulla bizalom ennek a megközelítésnek a lényegi eleme. Az, hogy a cég IT hálózatába vetett belső bizalom megszűnik, a helyébe lép egy ellenséges támadásnak mindenkor kitett rendszer gondolata. Ennek megfelelően minden (!) kérést, a folyamatok valamennyi elemében egy szakmailag előre átgondolt, a hozzáféréseket minden érintett által ismert szabályrendszer alapján ellenőriznek.

Egy ilyen profi rendszer kialakításában a legfőbb szerepe természetesen az IT biztonsági szakértőknek van, akik ehhez szakjogászokkal tudnak együttműködni: a szigorú informatikai szabályok szabályzatokba, tájékoztatókba és laikusok számára is érthető tananyagokba öntése közös feladat lehet, ahogy a képzés is.

A főbb szabályokat (a logikát és a célt) mindenkinek ismernie kell, elmélyítve azt a néhány műveletet, amit minden munkavállalónak a saját tevékenységében el kell végeznie minden nap. A lényeg: MINDENKI, MINDEN MUNKANAPON alkalmazza, odafigyel rá, aktívan kiveszi a saját kis részét a teljes rendszer védelméből.