Η νέα στρατηγική για την άμυνα απέναντι στους κακόβουλους, που πληθαίνουν διαρκώς, βασίζεται στο μοντέλο Zero Trust και οι λύσεις στην αγορά είναι πλέον πολλές.

Οι τεράστιες ανατροπές που προκάλεσε η πανδημία στον τρόπο εργασίας, με σοβαρότερη την εξ ανάγκης μεταφορά του γραφείου στο σπίτι, έφεραν τα πάνω-κάτω και στον χώρο της ασφάλειας, καθώς η έως πρότινος καλά προφυλαγμένη περίμετρος κάθε εσωτερικού δικτύου… έπεσε θύμα της COVID-19 . Η νέα στρατηγική για την άμυνα απέναντι στους κακόβουλους, που πληθαίνουν διαρκώς, βασίζεται στο μοντέλο Zero Trust και οι λύσεις στην αγορά είναι πλέον πολλές.

Η πανδημία αναμφισβήτητα άλλαξε τους κανόνες του παιχνιδιού σε πάρα πολλούς τομείς, εγκαινιάζοντας την εποχή της «νέας κανονικότητας». Σε κάποιους οι αλλαγές ήταν περιορισμένες, όμως σε άλλους τομείς -όπως αυτός της κυβερνοασφάλειας- ήταν τόσο πολλές, που οι κανόνες έπρεπε ουσιαστικά να ξαναγραφτούν. Η μεταφορά του χώρου εργασίας από το γραφείο (όπου κι αν ήταν αυτό) στο σπίτι, διέλυσε εν μια νυκτί την καλά «φρουρούμενη» περίμετρο ασφαλείας των εσωτερικών δικτύων κάθε φορέα, επιχείρησης και οργανισμού. Κι όπως θα περίμενε κανείς, μέσα σε λίγες ώρες το «πάρτι» εκ μέρους των κακόβουλων ξεκίνησε, γιατί -ως γνωστόν- «ο λύκος στην αναμπουμπούλα χαίρεται…»

Στα δύο χρόνια που μεσολάβησαν από τη συνειδητοποίηση της πανδημίας και τον πρώτο εγκλεισμό μας, στις αρχές του ‘20, ως τις μέρες μας πολλά μεσολάβησαν: πλήθος μέτρα ελήφθησαν με τον χαρακτήρα του κατεπείγοντος και άμυνες οργανώθηκαν βιαστικά για να αντιμετωπίσουν τις μείζονες κυβερνοεπιθέσεις που άμεσα εκδηλώθηκαν. Οι περισσότερες από αυτές αποκρούσθηκαν, κάποιες όμως κατόρθωσαν να «περάσουν» τα φράγματα, ιδιαίτερα στο χώρο του ransomware (λυτρισμικού, στα καθ’ ημάς), προκαλώντας πηχυαίους τίτλους στα διεθνή ΜΜΕ, με τις οικονομικές και κοινωνικές επιπτώσεις τους.

Όμως, από την άλλη, αυτές οι «ήττες» λειτούργησαν καταλυτικά για την ανάσυρση από το παρελθόν (πρώτη εμφάνισή της, το μακρινό 1994) μιας αμυντικής στρατηγικής που δείχνει πλέον να επικρατεί και να γίνεται σταδιακά ο κανόνας στην αγορά – απόδειξη η απόφαση του προέδρου Μπάιντεν, ήδη από τον Μάιο του ’21, περί εφαρμογής της στο σύνολο των ομοσπονδιακών φορέων στις ΗΠΑ. Η Zero Trust Architecture (Αρχιτεκτονική Μηδενικής Εμπιστοσύνης, στα ελληνικά) βασίζεται σ’ αυτό που δηλώνει το όνομά της: απαιτεί από οργανισμούς και επιχειρήσεις να παρακολουθούν και να αξιολογούν διαρκώς και σε όλο το εύρος του δικτύου τους κάθε αίτημα πρόσβασης, αντιμετωπίζοντάς το ως «εχθρικό», μέχρις ότου διαπιστωθεί πέραν πάσης αμφιβολίας ότι ο αποστολέας έχει τα απαραίτητα δικαιώματα. Η ίδια φιλοσοφία επεκτείνεται σε ολόκληρο πλέγμα κανόνων και μέτρων, ώστε να διασφαλιστεί ο έλεγχος κάθε απόπειρας (έστω και επαναλαμβανόμενης) πρόσβασης κι όχι βεβαίως μονάχα άπαξ, στην αρχή.

Αναζητώντας το σημερινό στίγμα αυτής της στρατηγικής κυβερνο-άμυνας, τόσο διεθνώς όσο και στη χώρα μας, το netweek επικοινώνησε με εκπροσώπους επτά εταιρειών Πληροφορικής που την έχουν εντάξει στα προϊόντα και τις υπηρεσίες τους, άρα μπορούν να ομιλήσουν «μετά λόγου γνώσεως», ζητώντας να την παρουσιάσουν ο καθένας από τη δική του οπτική γωνία. Συνομιλητές μας ήταν (κατ’ αλφαβητική σειρά των εταιριών), οι Παναγιώτης Σωτηρίου, Director, Cybersecurity Technology – Adacom Cybersecurity, Κωνσταντίνα Συντίλα, Cyber Security Specialist, Leader Cisco Greece – Portugal – Cyprus – Malta, Νίκος Τσίγκος, Sales Engineer – Fortinet, Νίκος Μανιάτης, Διευθυντής Τομέα Τεχνολογίας – ΙΒΜ Ελλάδας & Κύπρου, Γιώργος Μπαλαφούτης, Sr CSA Manager, Global Technical Team / Corp Security Solution Area – Microsoft, Νικήτας Κλαδάκης, CEO – Netbull και Αντώνης Παράβαλος, Networking Unit Manager, Solutions Architect – Performance Technologies.

netweek: Ευνόητο, το πρώτο ερώτημα: Ποια είναι τα βασικά πλεονεκτήματα αυτού του μοντέλου έναντι των «παραδοσιακών» μορφών κυβερνοάμυνας και, αν ήταν αποτελεσματικό, γιατί άργησε τόσο πολύ να εφαρμοστεί στην πράξη;

Παναγιώτης Σωτηρίου: Όντας η επόμενη γενιά προσέγγισης έναντι των σύγχρονων και στοχευμένων απειλών, τα πλεονεκτήματα του Zero Trust μοντέλου είναι πολλά και σημαντικά. Συνοπτικά, να αναφέρουμε τη δυνατότητα για BYOD, που είναι πλέον σχεδόν επιβεβλημένη, την υποστήριξη ανομοιογενούς περιβάλλοντος που δυσκολεύει τη δυνατότητα για συνεχή έλεγχο συμμόρφωσης, ιδιαίτερα σημαντική για τους οργανισμούς που υπόκεινται σε κανονιστικό πλαίσιο, την υλοποίηση MFA με αποτέλεσμα ασφαλή χρήση από κοινόχρηστο υπολογιστή και την απουσία ιδιαίτερων απαιτήσεων, όσον αφορά στα τερματικά, που συνήθως αποτελούσαν εμπόδια. Ως τώρα, οι λύσεις δεν ήταν ιδιαίτερα ώριμες, αλλά και οι συνθήκες δεν επέβαλαν μια νοοτροπία Zero Trust. Όπως τα capital controls μας «έμαθαν» τη χρήση πλαστικού χρήματος, έτσι και η COVID-19 επέβαλε το remote working, ενίσχυσε τη χρήση BOYD και κατ’ επέκταση τη φιλοσοφία του Zero Trust.

Κωνσταντίνα Συντίλα: Καθώς οι χρήστες, οι συσκευές και οι εφαρμογές κινούνται εκτός των ορίων του εταιρικού δικτύου, το παραδοσιακό μοντέλο επιβολής ασφάλειας στην περίμετρο του δικτύου, όπου όλοι οι χρήστες είναι αξιόπιστοι όταν την περάσουν, δεν είναι πλέον αρκετό. Στο μοντέλο μηδενικής εμπιστοσύνης, κανένας χρήστης ή συσκευή δεν θεωρείται αξιόπιστος – απαιτείται αυστηρός έλεγχος ταυτότητας και εξουσιοδότηση χρήστη και συσκευής, πριν επιτραπεί η σύνδεση στο δίκτυο και τις εφαρμογές. Τα πλεονεκτήματα αυτής της αρχιτεκτονικής είναι η ασφαλής σύνδεση μεταξύ χρήστη/συσκευής και δεδομένων/εφαρμογής συμβάλλοντας στη μείωση της πολυπλοκότητας, στη μείωση του κόστους και στην αντιμετώπιση της αυξανόμενης έλλειψης σε εξειδικευμένο προσωπικό στον τομέα της κυβερνοασφάλειας. Παράλληλα επιτρέπει την αποτροπή πλευρικών επιθέσεων εντός των δικτύων και παραβίασης δεδομένων.

Νίκος Τσίγκος: Πολλές έννοιες που βασίζονται στο μοντέλο «μηδενικής εμπιστοσύνης» δεν είναι νέες στο χώρο της κυβερνοασφάλειας – αρκετοί οργανισμοί υιοθετούσαν μέρος των αρχών αυτού του μοντέλου. Όμως σε έναν ψηφιακά μεταβαλλόμενο κόσμο, όπου νέες τεχνολογίες και έννοιες έκαναν καθημερινά την εμφάνισή τους, χρειάστηκε χρόνος για να αποκρυσταλλωθούν όλες οι πτυχές της «μηδενικής εμπιστοσύνης» και να δημιουργηθούν αρχιτεκτονικές ικανές να υιοθετηθούν από το σύνολο των οργανισμών. Αυτό το μοντέλο οδήγησε σε μεταστροφή του τρόπου με τον οποίο αντιμετωπίζεται η εξουσιοδότηση χρηστών και συσκευών στα πληροφοριακά αγαθά των οργανισμών, μειώνοντας δραματικά την πιθανότητα έκθεσης σε κίνδυνο και σηματοδοτώντας μία νέα εποχή έναντι των «παραδοσιακών» μορφών κυβερνοάμυνας.

Νίκος Μανιάτης: Ο ψηφιακός μετασχηματισμός και η μετάβαση σε υβριδικές υποδομές cloud άλλαξαν τον τρόπο με τον οποίο δραστηριοποιούνται οι διάφοροι κλάδοι, καθώς δεν αρκεί πλέον να βασίζεσαι σε μια περίμετρο δικτύου. Πολλοί οργανισμοί προσαρμόζουν τα επιχειρηματικά τους μοντέλα, προσφέρουν στους πελάτες νέες ψηφιακές εμπειρίες, ενώ παράλληλα διαθέτουν εργατικό δυναμικό το οποίο εργάζεται απομακρυσμένα, χωρίς παραδοσιακή εσωτερική υποδομή για προστασία, άρα είναι πιο ευάλωτο σε κινδύνους, θέτοντας την επιχείρηση σε κίνδυνο. Κατά κανόνα, το zero trust είναι ένα πλαίσιο που υποθέτει ότι η ασφάλεια ενός σύνθετου δικτύου βρίσκεται πάντα σε κίνδυνο από εξωτερικές και εσωτερικές απειλές. Μέσω της εφαρμογής του, βοηθά στην οργάνωση και τη στρατηγική μιας διεξοδικής προσέγγισης για την αντιμετώπιση απειλών. Μια καλά συντονισμένη αρχιτεκτονική μηδενικής εμπιστοσύνης οδηγεί σε απλούστερη συνολική υποδομή δικτύου, καλύτερη εμπειρία χρήστη και, εν τέλει, σε βελτιωμένη προστασία.

Γιώργος Μπαλαφούτης: Κάποια πράγματα, τεχνολογίες ή πρακτικές, μπορεί να υπήρχαν πριν από την εποχή τους, αλλά κάθε τι χρειάζεται την κινητήριο δύναμη, push ή pull, που θα το φέρει στο προσκήνιο. Με την έκρηξη στην τεχνολογία των smartphones, την αύξηση της ταχύτητας μεταγωγής δεδομένων, τους δυνατούς φορητούς υπολογιστές και γενικότερα τη μεγαλύτερη ευκολία στην τηλεργασία, η ιδέα της περιμέτρου άλλαξε. Το βασικό πλεονέκτημα είναι ότι μειώνεται πλέον δραματικά ο κίνδυνος να έχουμε μια ψηφιακή «κερκόπορτα» – μια λάθος ενέργεια εκ μέρους ενός μονάχα χρήστη θα επιτρέψει την πρόσβαση σε μεγάλο μέρος του «ψηφιακού χρυσού» της εταιρείας, που δεν είναι άλλος από τα πολύτιμα δεδομένα της.

Νικήτας Κλαδάκης: Η ενσωμάτωση του μοντέλου μηδενικής εμπιστοσύνης στη σύγχρονη ασφάλεια πληροφοριών διασφαλίζει ότι δεν υπάρχει ούτε ένα σημείο αποτυχίας σε περίπτωση παραβίασης. Βασίζεται στην θεμελιώδη αρχή της «ρητής επαλήθευσης» προκειμένου να γεφυρώσει το χάσμα μεταξύ της επιχειρηματικής δραστηριότητας, της πληροφορικής και της κυβερνοασφάλειας. Οι επιχειρήσεις που αξιοποιούν αυτό το μοντέλο οδηγούν τις εξελίξεις στον τομέα της οργανωτικής αλλαγής, προκειμένου να επιτύχουν τον ψηφιακό μετασχηματισμό, χτίζοντας υποδομές ασφάλειας με τις οποίες μπορούν να χειριστούν την ταχύτητά του. Σε ένα περιβάλλον μηδενικής εμπιστοσύνης όχι μόνο διατηρούμε τον έλεγχο και τη γνώση όλων των δεδομένων (συνεχώς), αλλά σε περίπτωση παραβίασης, μπορούμε να εντοπίσουμε γρήγορα πότε και από πού οι επιτιθέμενοι μπορεί να έχουν κλέψει τα δεδομένα μας. Ο λόγος που δεν εφαρμόστηκε το μοντέλο στα παρελθόντα έτη, παρότι είχαμε κυβερνοεπιθέσεις, είναι διότι δεν το ευνοούσαν οι επιχειρηματικές συνθήκες.
Δίνει, τελικά, αυτό το μοντέλο λύση στην ουσιαστική απουσία περιμέτρου, στη νέα εποχή της δουλειάς από το σπίτι ή όπου αλλού, μέσω cloud; Τι πρέπει να προσέχουμε περισσότερο;

Π.Σ. Αν και γίνεται πολύς λόγος τελευταία για την κατάργηση της περιμέτρου, η αλήθεια δεν είναι ακριβώς αυτή. Πράγματι, σήμερα η περίμετρος δεν είναι όπως την ξέραμε, αλλά η υιοθέτηση του zero trust model δεν σημαίνει απαραίτητα πως στην «παραδοσιακή» περίμετρο δεν χρειάζονται λύσεις ασφάλειας – το datacenter κάθε οργανισμού είτε βρίσκεται on-prem είτε σε κάποιο public /private cloud, πρέπει να προστατεύεται και περιμετρικά. Πέραν αυτού, με την τηλεργασία σε πλήρη εξέλιξη, το Zero Trust αποτελεί μονόδρομο για τους roaming users, οι οποίοι είναι περισσότεροι από ποτέ.

Κ.Σ. Το Zero Trust έχει γίνει το κυρίαρχο μοντέλο ασφαλείας για αντιμετώπιση των προκλήσεων που έφεραν η υβριδική εργασία, η υιοθέτηση εφαρμογών στο cloud και η αύξηση των επιθέσεων ransomware, χτίζοντας μια αρχιτεκτονική που «ποτέ δεν εμπιστεύεται, αλλά πάντα επαληθεύει» όλες τις συνδέσεις και αποτρέπει ή μειώνει αρκετά την πιθανότητα ενός περιστατικού ransomware ή παραβίασης δεδομένων. Αυτό που πρέπει να προσέχουν οι οργανισμοί είναι ότι το Zero Trust δεν είναι προϊόν που εξαλείφει όλες τις παραβιάσεις, αλλά αρχιτεκτονική και πλαίσιο που πρέπει να είναι ευθυγραμμισμένο με τη στρατηγική του οργανισμού. Απαιτεί συντονισμένη προσπάθεια με διαχείριση σημαντικών αλλαγών σε ομάδες ασφάλειας, πληροφορικής και επιχειρήσεων. Ενεργοποιείται μέσω διαφόρων τεχνολογιών που παραδίδονται ως πλατφόρμες ή μεμονωμένα προϊόντα ενσωματωμένα ή μη και οι οργανισμοί πρέπει να χαράξουν μια στρατηγική που ευθυγραμμίζεται καλύτερα με τις διαδικασίες και τους ανθρώπους τους.

Ν.Τ. Μέσα σε μικρό χρονικό διάστημα, πραγματοποιήθηκε ο ταχύτερος μετασχηματισμός στον τρόπο λειτουργίας των επιχειρήσεων, καθώς όλες έπρεπε να προσαρμοστούν ώστε να παρέχουν τις υπηρεσίες και τα προϊόντα τους με συνέπεια, διατηρώντας υψηλού επιπέδου εμπειρία χρήσης, για πελάτες και εργαζόμενους. Το μοντέλο «μηδενικής εμπιστοσύνης» επιτρέπει στους οργανισμούς να εφαρμόσουν ισχυρό έλεγχο ταυτότητας σε χρήστες και συσκευές, οπουδήποτε κι αν βρίσκονται, διαχέοντας ταυτόχρονα τις πολιτικές πρόσβασης στις εφαρμογές εκτός «φυσικής» περιμέτρου με την προσθήκη νέου στρώματος ασφάλειας. Κατά τον σχεδιασμό της στρατηγικής «μηδενικής εμπιστοσύνης», κάθε οργανισμός πρέπει δίνει ιδιαίτερη προσοχή στον ανθρώπινο παράγοντα, λαμβάνοντας πάντα υπόψη πως αυτός αποτελεί το πολυτιμότερο αγαθό ενός οργανισμού, αλλά ταυτόχρονα και το σημείο το οποίο κάθε κυβερνο-εγκληματίας προσπαθεί να εκμεταλλευτεί.

Ν.Μ. Το Zero Trust καλύπτει τις ανάγκες ασφαλείας ενός υβριδικού περιβάλλοντος cloud που βασίζεται σε δεδομένα. Παρέχει στους οργανισμούς προσαρμοσμένη και συνεχή προστασία για χρήστες, δεδομένα και περιουσιακά στοιχεία, καθώς και τη δυνατότητα να διαχειρίζονται προληπτικά τις απειλές. Μ’ άλλα λόγια, η πρακτική να «μην εμπιστεύεσαι ποτέ και να επαληθεύεις τα πάντα», έχει στόχο να περικλείει την ασφάλεια γύρω από κάθε χρήστη, συσκευή και σύνδεση σε κάθε συναλλαγή. Η εφαρμογή ενός πλαισίου μηδενικής εμπιστοσύνης μπορεί επίσης να βοηθήσει τους επαγγελματίες να αποκτήσουν πληροφορίες για την επιχείρησή τους σε θέματα ασφάλειας, να επιβάλουν πολιτικές ασφαλείας με συνέπεια, να εντοπίζουν και να ανταποκρίνονται σε απειλές ταχύτερα και ακριβέστερα. Παράλληλα, παράγει πολλά συνακόλουθα οφέλη όπως βελτιωμένη απόδοση δικτύου, βελτιωμένη ικανότητα αντιμετώπισης σφαλμάτων δικτύου, απλούστερη διαδικασία καταγραφής και παρακολούθησης και ταχύτερους χρόνους εντοπισμού παραβάσεων.

Γ.Μ. Πρώτη μου αντίδραση, The devil is in the details, it’s all about the implementation! Στον σημερινό τρόπο εργασίας, η υιοθέτηση του Zero Trust μοντέλου αποτελεί απαραίτητη συνθήκη, όμως απαραίτητη είναι και η σωστή υλοποίησή του! Η προστασία χρηστών και δεδομένων είναι μια αέναη διαδικασία βελτίωσης.
Ένας λογιστής δεν θα σου πει για τα οικονομικά της εταιρείας, αφού κάναμε τη δουλειά μας πέρυσι, δεν χρειάζεται να κάνουμε τίποτα φέτος. Ούτε ένας φύλακας ότι πρόσεξα χθες το κτήριο, οπότε δεν χρειάζεται να είμαι σε επιφυλακή σήμερα. Γιατί να διαφέρει το θέμα της ψηφιακής ασφάλειας; Πόσω μάλλον όταν οι επιθέσεις αυτοματοποιούνται και εξαπολύονται μαζικά… Για σωστή προστασία, λοιπόν, απαιτείται η κυκλική εφαρμογή του τρίπτυχου «σχεδιασμός-υλοποίηση-μέτρηση» (plan-implement-measure).

Ν.Κ. Το μοντέλο μηδενικής εμπιστοσύνης δίνει λύση στη νέα εποχή της εργασίας από το σπίτι ή όπου αλλού, διότι δεν βασίζεται στην περιμετρική ασφάλεια, αλλά ουσιαστικά αναπτύσσει μηχανισμούς ασφαλείας γύρω από κάθε μία από τις ακόλουθες οντότητες: δεδομένα, δίκτυα, συσκευές, φόρτοι εργασίας και χρήστες. Υπάρχουν τρεις βασικοί τομείς που πρέπει να αναπτύξει ένας οργανισμός για την επιτυχή εφαρμογή του μοντέλου μηδενικής εμπιστοσύνης:

α/ Ορατότητα: Πρέπει να προσδιορίσουμε τις συσκευές και τους πόρους που θα παρακολουθούνται και θα προστατεύονται. Δεν είναι δυνατόν να προστατέψουμε έναν πόρο που δεν γνωρίζουμε. Η δυνατότητα ορατότητας σε όλους τους πόρους και τα σημεία πρόσβασης είναι απαραίτητη. β/ Πολιτικές: Πρέπει να καθιερώσουμε ελέγχους που επιτρέπουν μόνο σε συγκεκριμένους χρήστες την πρόσβαση σε συγκεκριμένους πόρους, υπό συγκεκριμένες συνθήκες. Άρα, χρειάζεται να αναπτύξουμε λεπτομερές επίπεδο ελέγχων πολιτικών. γ/ Αυτοματισμοί: Πρέπει να αυτοματοποιήσουμε τις διαδικασίες για να διασφαλίσουμε ορθή εφαρμογή των πολιτικών και να μπορέσουμε να προσαρμοστούμε άμεσα σε τυχόν αποκλίσεις από τις τυποποιημένες διαδικασίες.

Αντώνης Παράβαλος: Πρέπει πλέον να αντιμετωπίζουμε την τηλεργασία σαν εναλλακτική μορφή εργασίας – μάλιστα για πολλές επιχειρήσεις είναι ο βασικός τρόπος εργασίας. Προκειμένου να εργαστούν οι χρήστες απρόσκοπτα, θα πρέπει να έχουν πρόσβαση σε οποιαδήποτε εφαρμογή χρειάζονται, από οπουδήποτε και με οποιαδήποτε συσκευή. Αυτό ίσως να μην ακούγεται ασφαλές, όμως είναι ο λόγος που χρειαζόμαστε μια λύση Zero Trust, που δεν θα εμπιστεύεται κανέναν και θα παραχωρεί πρόσβαση σε μια εφαρμογή μόνο βάσει του πλαισίου ασφαλείας που έχουμε ορίσει. Αυτό μπορεί να περιλαμβάνει πολλά χαρακτηριστικά, όπως η ταυτότητα χρήστη, η τοποθεσία του, ο τύπος της συσκευής που προσπαθεί να συνδεθεί, ακόμα και τι εφαρμογές έχει εγκατεστημένες στη συσκευή του κι αν αυτές είναι ενημερωμένες.

Είναι προφανές ότι επιχειρήσεις και οργανισμοί χρειάζεται να αναπτύξουν στο εσωτερικό τους -με δεδομένο πως οι άνθρωποι είναι σχεδόν πάντα ο «αδύναμος κρίκος»- μια νέα κουλτούρα, αν πρόκειται να υιοθετήσουν αυτό το μοντέλο. Υπάρχουν αντιδράσεις και πόσο πιστά εφαρμόζονται τα νέα μέτρα;

Π.Σ. Η ασφάλεια, παραδοσιακά, έρχεται σε σύγκρουση με την καθημερινότητα των ανθρώπων ενός οργανισμού κι είναι αρκετές οι φορές που η συμμετοχή των τελικών χρηστών βοήθησε είτε να στεφθεί ένα έργο με επιτυχία είτε να μπει στο συρτάρι.
Στην περίπτωση του Zero Trust, μεγάλο μέρος του συνδυασμού των τεχνολογικών λύσεων που αξιοποιούνται για να το επιβάλουν, αλλά και το μοντέλο συνολικά, είναι εντελώς transparent προς τους χρήστες, με αποτέλεσμα την ευκολότερη και δίχως αντιδράσεις υλοποίησή του.
Ωστόσο, όπως σε κάθε έργο ασφάλειας, είναι ιδιαίτερα σημαντική η βοήθεια της διοίκησης στην αλλαγή της κουλτούρας σε όλα τα επίπεδα, ξεκινώντας από πάνω προς τα κάτω.

Κ.Σ. Η υιοθέτηση του Zero Trust εξελίσσει τις διαδικασίες ώστε η ασφάλεια να είναι μια εύκολη επιλογή για τους χρήστες και αλλάζει τον τρόπο με τον οποίο ο οργανισμός δραστηριοποιείται εκτός της περιμέτρου. H εφαρμογή του πρέπει να είναι διαφανής, να επιτρέπει μια θετική εμπειρία χωρίς τριβές και να διασφαλίζει ασφαλή πρόσβαση στα απαραίτητα συστήματα. Ο σκοπός του μοντέλου είναι να επιτρέπει την αύξηση της ψηφιοποίησης, όχι να την εμποδίζει.

Ν.Τ. Με τη συνεχή «έκρηξη» των άκρων και της περιμέτρου που παρατηρούμε τα τελευταία χρόνια, ως προϊόν του ψηφιακού μετασχηματισμού, είναι δεδομένο πως ο οργανισμός πρέπει να αξιοποιήσει κάθε πλεονέκτημα κυβερνοασφάλειας που έχει στα χέρια του. Φυσικά, κάθε αλλαγή μπορεί να διαταράξει τον τρόπο εργασίας, χωρίς αυτό να σημαίνει πως οι νέες τεχνολογίες έρχονται να δημιουργήσουν εμπόδια. Απεναντίας, αποτελούν χρήσιμα εργαλεία για βελτιστοποίηση της παραγωγικότητας, αλλά και το πρώτο ανάχωμα για την προστασία τους και εκείνη του οργανισμού. Για να αποφευχθούν εν δυνάμει αντιδράσεις, η ενημέρωση και εκπαίδευση του προσωπικού πρέπει να αποτελούν βασικό συστατικό στη στρατηγική κυβερνοασφάλειας κάθε οργανισμού.

Ν.Μ. Ο σχεδιασμός μιας αρχιτεκτονικής «μηδενικής εμπιστοσύνης» απαιτεί από τις ομάδες ασφάλειας και IT να επικεντρωθούν στο τι προσπαθούμε να προστατεύσουμε και από ποιόν. Η αρχιτεκτονική μηδενικής εμπιστοσύνης στηρίζει ολόκληρη τη λύση ασφάλειας που διατρέχει μια επιχείρηση. Οι τεχνολογίες και οι διαδικασίες τοποθετούνται πάνω από τη στρατηγική και όχι το αντίστροφο. Η «μηδενική εμπιστοσύνη» μπορεί να προσφερθεί ως υπηρεσία και μπορεί, επίσης, να εφαρμοστεί σταδιακά, με τους οργανισμούς να ξεκινούν από τα πιο κρίσιμα στοιχεία τους. Εναλλακτικά, μπορούν να ξεκινήσουν με μη-κρίσιμα περιουσιακά στοιχεία, σε δοκιμαστικό στάδιο, πριν την εφαρμόσουν ευρύτερα. Ανεξάρτητα από το σημείο εκκίνησης, μια ανάλογη λύση επιστρέφει άμεσα κέρδη, μέσω μείωσης του κινδύνου.

Γ.Μ. Βασικό συστατικό για την επιτυχία του Zero Trust είναι να γίνεται όσο τον δυνατόν πιο αόρατο για το χρήστη, να μην δυσκολεύει την εργασία του. Το Single Sign-On συμβάλλει προς αυτή την κατεύθυνση! Επίσης, βοηθά η διαρκής εκπαίδευση/υπενθύμιση των χρηστών για την ευθύνη που φέρουν, όσον αφορά στην προστασία των εταιρικών δεδομένων. Είναι πολύ σημαντικό το τμήμα Πληροφορικής/Ασφαλείας να αξιοποιεί το σύστημα ανατροφοδότησης των «πελατών» του, ώστε να εντοπίζει «τροχοπέδες» στην καθημερινή εργασία και να τις μειώνει όσο μπορεί.

Ν.Κ. Η συνταγή ενός επιτυχημένου μοντέλου «μηδενικής εμπιστοσύνης» πρέπει να περιλαμβάνει τακτική εκπαίδευση και ευαισθητοποίηση όλων των εργαζομένων, διότι μπορεί ο ανθρώπινος παράγοντας να είναι ο πιο αδύναμος, ταυτόχρονα όμως αποτελεί και την πρώτη γραμμή άμυνας. Πρέπει να γίνει αντιληπτό ότι, χωρίς την ενεργό συμμετοχή των εργαζομένων στην ασφάλεια ενός οργανισμού, κανένα μοντέλο ασφαλείας δεν μπορεί να πετύχει.

Α.Π. Πριν φτάσουμε στους χρήστες, θα ήθελα να αναφέρω πως ο πιο αποτελεσματικός τρόπος σχεδιασμού ασφαλείας είναι η top-down προσέγγιση. Το τμήμα Πληροφορικής δεν είναι το μόνο που πρέπει να εστιάζει στον σχεδιασμό ασφαλείας ούτε η διοίκηση να επικεντρώνεται αποκλειστικά στους υπόλοιπους στόχους. Αυτά πρέπει να είναι συνυφασμένα και να εξαρτώνται το ένα από το άλλο, ώστε να μπορέσουν να εισάγουν στην κουλτούρα της επιχείρησης το security mentality. Ως προς τους χρήστες, πριν από την πανδημία υπήρχε όντως άρνηση για νέα μέτρα ασφαλείας. Το βασικό πρόβλημα ήταν η ελλιπής εκπαίδευση και ενημέρωση – ο χρήστης πρέπει να γνωρίζει από τι τον προστατεύουν, ώστε να κατανοεί και τον λόγο ύπαρξης των μέτρων. Η ραγδαία αύξηση των περιστατικών ασφαλείας, που γίνονται πλέον σημαντικό θέμα και στα δελτία ειδήσεων, σίγουρα έκανε τους χρήστες να αποδέχονται με μεγαλύτερη ευκολία τα μέτρα που καλούνται να πάρουν οι επιχειρήσεις. Για την επιτυχημένη ενημέρωση και εκπαίδευση των χρηστών υπάρχουν εξειδικευμένα Security Awareness Trainings. Μάλιστα, τέτοια προγράμματα προσφέρουμε κι εμείς, σαν Performance Technologies, στους πελάτες μας.