Sådan implementerer du effektivt Zero Trust
Hvis virksomheder vil gøre sig forhåbninger om at være på forkant med cyberkriminelle og samtidig leve op til EU’s nye sikkerhedskrav, skal vi i gang med et langt højere niveau af databeskyttelse. Der er behov for Zero Trust-cybersikkerhedsmodellen for at beskytte virksomhedernes vigtigste data.
Ordet Zero Trust er de seneste år blevet et buzzword indenfor sikkerhedsområdet på samme måde som GDPR blev for år tilbage indenfor person- og datasikkerhed. Som navnet antyder, hviler Zero Trust på tanken om, at absolut ingen i eller udenfor virksomheden er pålidelig og til at stole på, da ethvert netværk og enhver infrastruktur samt alle data potentielt kan blive angrebet.
For at implementeringen af Zero Trust ikke bliver et helt uoverskueligt projekt, skal virksomheden koncentrere sig om at beskytte det essentielle: Følsomme og forretningskritiske data, de såkaldte kronjuveler, der er afgørende for virksomhedens eksistensgrundlag.
Det fungerer på den måde, at skulle det lykkes hackeren at komme igennem virksomhedens eksisterende sikkerhedsmur, danner Zero Trust cybersikkerhedsmodellen et ekstra beskyttelseslag ovenpå sikkerhedsmuren omkring de essentielle data i virksomheden.
Europæiske virksomheder har 21 måneder til at komme i mål
Zero Trust er ikke en ny model, men hvor det tidligere har været en manuel og ressourcetung proces at implementere, er det nu ofte overflyttet til cloud-baserede tjenester.
Det betyder, at virksomheder i alle størrelser og på tværs af brancher kan implementere Zero Trust-sikkerhedsmodellen, der giver virksomheden mulighed for at regulere adgangen til systemer, netværk og data uden at opgive kontrollen. Derfor vokser antallet af virksomheder, der går over til Zero Trust-sikkerhedsmodellen også hastigt.
Når jeg arbejder med cybersikkerhed i Fujitsu, møder jeg ofte virksomheder, der kender til alle Zero Trust-modellens fordele. Jeg møder dog sjældent virksomheder, som ved, hvordan de kommer i mål med Zero Trust.
Og det er især vigtigt at løse, efter EU’s medlemslande netop har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2).
Det betyder, at europæiske virksomheder nu har knap 21 måneder til at implementere sikkerhedsforanstaltninger, der rækker langt udover det sikkerhedsniveau, virksomhederne har i dag. Derfor er det helt essentielt allerede nu at forberede virksomheden til at implementere Zero Trust-sikkerhedsmodellen.
En effektiv implementering kræver tre tilgange
Med nedenstående tre tiltag øger virksomheder sandsynligheden for at komme i mål med det ekstra sikkerhedslag i løbet af 9-12 måneder – i stedet for at blive et projekt, som ofte løber over flere år.
Styr på brugerne
Det er vigtigt at starte med brugerne. Ved at tage udgangspunkt i brugernes individuelle behov og arbejdsområder kan de rette ressourcer og adgange tildeles til den enkelte bruger. Med Zero Trust skal brugeren bekræfte sin identitet, før systemet giver adgang til virksomhedens data og ressourcer, som er specificeret for brugeren.Brugeren har kun adgang til de data og ressourcer, som er nødvendige for at fuldføre arbejdsopgaverne, mens virksomheden har større kontrol over, hvem der har adgang til deres forretningskritiske data. Kort sagt vil styring af brugernes adgang betyde, at kronjuvelerne i højere grad vil være beskyttet.
Mikrosegmentering
Det næste tiltag er mikrosegmentering, som er en opdeling af virksomhedens systemer for at isolere virksomhedens elementer og data. Det betyder, at brugerne ikke frit kan tilgå virksomhedens systemer på én gang, men derimod kun kan åbne ét system, én app eller ét datasæt ad gangen, hvor brugernes adgang vil være beskyttet af en sikkerhedskomponent.Mikrosegmentering giver derfor virksomheden større kontrol over systemer, apps og datasæt, hvilket resulterer i langt højere sikkerhed og robusthed overfor hackere. Hvis en hacker alligevel skulle få adgang til virksomhedens netværk, vil mikrosegmentering spænde ben for hackeren og lukke ned for adgang til de øvrige ressourcer, data og systemer på tværs af virksomhedens it-infrastruktur. Mikrosegmentering er derfor et tiltag, der vil kunne stoppe ondsindet aktivitet.
Brug de cloud-baserede værktøjer
Det tredje tiltag handler om at anvende cloud-baserede værktøjer til at sikre adgang fra fjernbrugere til virksomhedens systemer og ressourcer. Ved at opsætte cloud-baserede værktøjer som en form for netværkskontrollør kan systemet automatisk opsætte virksomhedens netværk og it-infrastruktur til fjernbrugere, der har fået godkendt adgang.På den måde bliver der etableret en sikker kanal for fjernbrugerens adgang til virksomhedens netværk, uden at adgangen vil udgøre en sikkerhedsrisiko for virksomheden. Tiltaget kendes også som Zero Trust Network Access (ZTNA).
Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
