ET BEDRE ALTERNATIV: Mange virksomheter greier ikke å praktisere Zero Trust i praksis. Derfor er Smart Trust bedre, mener Torben Clemmensen. (Foto: Istock)

DEBATT: Glemt alt om Zero trust og velg Smart Trust i stedet!

Alle vil ha Zero Trust, men 95 prosent av bedriftene som tror at de har implementert det, har gjort det på feil måte, noe som heller kan gjør dem mer usikre. Derfor bør du i stedet implementere Smart Trust.

Publisert

Zero Trust er et av de mest hypede trend-ordene innenfor it-sikkerhet om dagen – og med god grunn, for grunnideen er tilnærmet genial i all sin enkelhet: Ikke stol på noen, tildel så få rettigheter som mulig og forvent at ditt it-sikkerhetsforsvar allerede er brutt. Deilig pessimistisk, men implementert korrekt er det et fremragende vern mot it-kriminelle – både i forbindelse med forebyggelse, og ved håndtering av «damage control» når du bli angrepet.

Problemet er bare at de fleste ikke klarer å implementere Zero Trust riktig, for Zero Trust kan ikke implementeres i din eksisterende it-sikkerhetsstrategi – det må designes fra bunnen. Og nettopp det glemmer eller bevisst overser de fleste bedrifter (fordi alternativet er for uoverskuelig), og de ender med å bruke en formue, tid og ressurser på Zero Trust, uten å oppnå det sikkerhetsnivået de ønsker.

Zero Trust burde være the security framework to end all security frameworks, men for de fleste skaper det bare flere problemer, mer skygge-it og større risiko for brudd og angrep.

Gartner Magic Quadrant

Et av problemene ligger i at når den årlige utgivelsen av for eksempel Gartners Magic Quadrant kommer ut, saumfarer mange listen for å se hvilke produkter som ligger i toppen, og konkluderer med at «det er det som skal beskytte min bedrift».

Torben Clemmensen i Vipre Security tar til orde for et alternativ til Zero Trust. (Foto: Vipre Security)

Zero Trust bygger kort fortalt på autentiseringshåndtering, løsninger som kan snakke sammen og «best practice»-politikk, og mens de mange tilbyderne forklarer at deres løsninger fungerer i et Zero Trust-rammeverk, betyr ikke det at de fungerer sammen. Det er egentlig snakk om Apples økosystem enda en gang.

Når en bedrift velger løsninger fra GMQ som ikke snakker sammen, ender man ganske enkelt med å bygge et vertikalt system med kontroll på kontroll på kontroll, noe som skaper et monster av en annen verden. Så legger man til VPN, end point-sikkerhet og andre nødvendige sikkerhetsløsninger, som kun gjør de ansattes jobb vanskeligere.

Vi har sett bedrifter hvor de ansatte bruker opptil ni minutter bare på å logge på om morgenen, fordi de skal logge på åtte forskjellige steder og ingen av løsningene snakker med hverandre.

Og hva betyr det?

At de ansatte blir hackere.

Ansatte vil bedriften det beste

Dine ansatte ønsker i utgangspunktet å beskytte bedriften, men bare så lenge det ikke kommer i veien for jobben de skal gjøre. Hvis it blir en plage når de skal selge, støtte, produsere eller utvikle, øker risikoen for at den ansatte forsøker å unngå it-problemer – og så skapes det skygge-it. De bruker for eksempel smarttelefonen til å logge på løsninger der de ikke burde det eller lagrer data i offentlige skyer eller på laptopen fremfor å ha det liggende på bedriftens servere, ganske enkelt fordi prosessene er for tunge takket være dårlig implementert Zero Trust.

Oxford University utga i fjor en analyse som viser at hvis du bruker mer enn 50 forskjellige it-sikkerhetsapplikasjoner og -maskinvareløsninger – og det er det overraskende mange bedrifter som gjør – så faller it-sikkerhetsnivået ditt med åtte prosent for hver fem prosent mer it-sikkerhet du legger til. Og en av grunnene er brukertretthet. Eller «ansatte som er lei av it-avdelingens tull»-syndromet, som vi også kan kalle det.

Drop Zero Trust

Zero Trust er et rammeverk som ble utviklet tilbake i 2017. Verden utvikler seg raskt og derfor er jo dette et oldtidsfunn på nivå med Osebergskipet, som ikke lenger lever opp til den verden det brukes i.

Derfor kommer jeg her med et forslag til et nytt rammeverk som vi bør ta til oss: Smart Trust (copyright pending – navnet ble unnfanget i over-hekken-dialog med min nabo, som tilfeldigvis også er it-sikkerhetskonsulent).

Så lenge Zero Trust er et trend-ord, og store spillere på markedet skaper halvlukkede systemer som ikke fungerer på tvers, så skaper det problemer når bedrifter forsøker å implementere det.

Det er Zero Trust, bare smart – smart, ikke sant? Så lenge Zero Trust er et trend-ord, og store spillere på markedet skaper halvlukkede systemer som ikke fungerer på tvers, så skaper det problemer når bedrifter forsøker å implementere det.

Så hva er Smart Trust?

Et rammeverk bedrifter kan designe it-sikkerhetsstrukturen sin etter, men med fokus på å unngå de barnesykdommene som følger med Zero Trust.

Det kan kokes ned til:

  • Ta deg tid til analyse: Snakk med dine ansatte og kartlegg arbeidsvanene deres, hva de jobber med, hvordan og hvor de gjør hva, samt kontaktflatene deres med bedriftens it-programvare. Vær også oppmerksom på utfordringene de eventuelt har med din eksisterende it-sikkerhetsløsning, så du ikke gjør de samme feilene igjen. Kun på den måten unngår du skygge-it.
  • Bygg opp fra bunnen av: Smart Trust skal – akkurat som Zero Trust – designes fra bunnen og kan ikke integreres i et eksisterende system, men det betyr ikke at du skal skrote eksisterende it-programvare. Så lenge det fungerer sammen med de andre it-løsningene som er nødvendige for å nå målet ditt, trenger man ikke finne opp kruttet på nytt. Husk samtidig å segmentere nettverket ditt. Dette er en av de lavthengende fruktene, og vil være avgjørende hvis/når bedriften blir infiltrert.
  • Ha styr på dataene dine: Skap et grunnlag ved å vite hvem som har tilgang til bedriftens data, og hvorfra og når tilkoblingene kommer. Har du dette, har du også oversikt.
  • Alle it-sikkerhetsløsninger må snakke sammen: Du kan ha alle de beste it-løsningene på markedet, men de er ikke verdt noe hvis de ikke snakker sammen. Og ved at alt fungerer på tvers av applikasjoner, er det mulig å komme i mål med Smart Trust. På samme måte er det mulig å skape en plattform der alle applikasjoner rapporterer til ett sted. Ellers mister du fullstendig oversikten.
  • Bruk SSO med multifaktor og personliggjør it-sikkerheten: Må implementeres alle steder i bedriften, og på tvers av alle plattformer. Med multifaktor mener vi at det valideres på tvers av bruker, enhet og nettverk. Det betyr at når Bente logger på om morgenen på enheten sin, så åpnes det også automatisk opp for alle de plattformene og løsningene som Bente måtte få bruk for og skal ha tilgang til, ut fra hennes brukerprofil, enhetstype og nettverk. Hun skal for eksempel ikke ha tilgang til kritiske filer og nettverk hvis hun er tilkoblet via et åpent nettverk på en kafé, men fortsatt få tilgang til Outlook og kundemapper så hun kan jobbe. Dette er allerede mulig i dag via for eksempel et sterkt Microsoft-fundament, krydret med ekstra tredjepartsikkerhetsløsninger.
  • Avvis skygge-it på en omfavnende måte: Systemet ditt må avvise BOYD-enheter og skygge-it-løsninger, men uten å irritere brukeren. Hvis Bente for eksempel har åpnet jobb-epost på telefonen fra et ukjent sted og nettverk, så blokker kun skrive- og redigeringsrettigheter – mest sannsynlig ønsker hun bare å lese en ny epost, som hun deretter kan reagere på ved å få fatt i den rette kollegaen.

Torben Clemmensen, it-sikkerhetsekspert i Vipre Security