Αναζητώντας την πραγματική εμπιστοσύνη στον ψηφιακό κόσμο των σημερινών απειλών, η υλοποίηση ενός μοντέλου Zero Trust επαναπροσεγγίζει την ασφάλεια των δεδομένων και των ICT υποδομών
Του Ιωάννη Σολωμάκου, CSO Huawei – South Balkans
Αυξάνονται οι απειλές στα ψηφιακά οικοσυστήματα
Λειτουργώντας στη καρδιά του έξυπνου ψηφιακού κόσμου ερχόμαστε συχνά αντιμέτωποι με δυνητικούς ψηφιακούς κινδύνους. Και όταν αναφερόμαστε σε ψηφιακούς κινδύνους μιλάμε για σοβαρές απειλές με σημαντικό αντίκτυπο στην πρακτική λειτουργία της κοινωνίας, τις οποίες δεν πρέπει να αντιμετωπίζουμε περιστασιακά ή να τις υποβαθμίζουμε καθώς τα πραγματικά συμβάντα είναι πολλά και επικίνδυνα.
Μερικά από αυτά περιλαμβάνουν τις σχετικά πρόσφατες κυβερνο-επιθέσεις σε έξι Ευρωπαϊκά ιδρύματα, στο Ιταλικό υπουργείο ενέργειας, στον Ευρωπαϊκό οργανισμό φαρμάκων, καθώς και σε πολλούς άλλους οργανισμούς οι οποίοι πέσανε θύματα ransomware με αποτέλεσμα είτε να χάσουν τα δεδομένα και τις υποδομές τους, είτε να πληρώσουν αδρά για να την ανάκτησή τους.
Με την συγκυρία της πανδημίας των τελευταίων ετών και ειδικά με την αύξηση της online παρουσίας, της μετάβασης από τα παραδοσιακά δίκτυα στο cloud, τις προηγμένες διασυνδέσεις, την ανάπτυξη της τεχνητής νοημοσύνης (ΑΙ) και της υβριδικής εργασίας, είδαμε τις απειλές στο κυβερνοχώρο να αυξάνονται σε αριθμούς, πολυπλοκότητα και επιπτώσεις, να γίνονται πιο σύνθετες, πιο καινοτόμες και να προσαρμόζονται στις νέες συνιστώσες της κοινωνίας μας. Τα τελευταία δυο χρόνια είδαμε τις επιθέσεις σχετικά με Ransomware και κυβερνητικούς οργανισμούς να φτάνουν στην κορυφή της πυραμίδας των απειλών. Βιώσαμε επιθέσεις με γνώμονα το κέρδος και την υποκλοπή κρυπτονομισμάτων, οι οποίες αυξήθηκαν σε επίπεδα ρεκόρ, ενώ παρατηρήσαμε ότι η αύξηση των IoT συσκευών εξέλιξε τις Distributed Denial-of-Service επιθέσεις σε πιο επίμονες και πολυδιάστατες από ποτέ.
Οι απαιτήσεις υλοποίησης ενός περιβάλλοντος Zero Trust
Με βάση τα δεδομένα αυτά γεννάται το εξής απλό και εύλογο ερώτημα: Μπορούμε να έχουμε εμπιστοσύνη στο ψηφιακό κόσμο? Η απάντηση σαφώς δεν είναι ούτε απλή, ούτε μονοδιάστατη. Το μόνο σίγουρο είναι πως η εμπιστοσύνη στο ψηφιακό κόσμο δεν μπορεί πλέον να βασίζεται σε υποκειμενικού χαρακτήρα κριτήρια αλλά μόνο σε αντικειμενικά πολυδιάστατες πολιτικές και πρακτικές ασφάλειας που δεν εμπεριέχουν συναισθηματισμούς.
Έτσι προκύπτει η έννοια του Zero Trust, όπου πλέον αποτολμάται η εφαρμογή πρακτικών μηδενικής εμπιστοσύνης από τη γένεση ενός προϊόντος ή μιας υπηρεσίας μέχρι και την απόσυρσή τους από την αγορά. Υπό το μοντέλο του Zero trust, οι παραδοσιακές έννοιες, όπως η περίμετρος δικτύου, οι έμπιστοι χρήστες ή το εσωτερικό δίκτυο, γίνονται λιγότερο σημαντικές καθώς η επέλαση του cloud computing, των IoT devices, και της ολοένα αυξανόμενης απομακρυσμένης πρόσβασης, δημιουργούν νέες σταθερές όπου προϊόντα, υπηρεσίες, λογισμικό, και προσβασιμότητα διέπονται συνεχώς υπό συστημική αμφισβήτηση σχετικά με την ασφάλειά τους ,ενώ υπόκεινται σε συνεχείς πολυδιάστατους ελέγχους και πολιτικές ασφαλείας καθ’ ολη την πορεία τους μέσα στο εκάστοτε δίκτυο, από το στάδιο του σχεδιασμού τους μέχρι και το στάδιο της απόσυρσής τους.
Για την επίτευξη ενός περιβάλλοντος Zero Trust με την ελάχιστη δυνατή διεπαφή και ενόχληση προς τον τελικό χρήστη, χρειάζεται να επανασχεδιάσουμε τον τρόπο με τον οποίο προσεγγίζουμε την ασφάλεια των δεδομένων αλλά και των ευρύτερων ICT υποδομών μας. Τα εκάστοτε συστατικά του οικοσυστήματος δεν πρέπει να αντιμετωπίζονται ως μεμονωμένα, αλλά ως διασυνδεδεμένα κομμάτια του ίδιου συνόλου, το οποίο διέπεται από πολυσύνθετες και ανθεκτικές συστημικές πολιτικές ασφαλείας καθ’ όλη την διάρκεια της διεπαφής του χρήστη και της συσκευής.
Η υλοποίηση ενός περιβάλλοντος μηδενικής εμπιστοσύνης δεν είναι μια συγκεκριμένη διαδικασία και μπορεί να επιτευχθεί με πολλούς διαφορετικούς τρόπους. Σε κάθε περίπτωση είναι σύνηθες να επικεντρωνόμαστε στις τεχνικές πτυχές του θέματος και να ξεχνάμε τους μη τεχνικούς παράγοντες που περιβάλουν την προσπάθεια μας, οι οποίοι παίζουν εξίσου σημαντικό ρόλο και αποτελούν εξίσου σημαντικά εργαλεία στα χέρια μας. Ένας από αυτούς τους παράγοντες είναι τα διεθνή πρότυπα (standards) της εκάστοτε βιομηχανίας που όταν βασίζονται σε αντικειμενικά κριτήρια και τυγχάνουν κοινής αποδοχής από τον κλάδο γίνονται ισχυρές πλατφόρμες εμπιστοσύνης στο ψηφιακό κόσμο. Το ίδιο ισχύει και για τους αντίστοιχους μηχανισμούς πιστοποίησης, που μας βοηθούν να δημιουργούμε εμπιστοσύνη γύρω από προϊόντα και υπηρεσίες και που διευκολύνουν και στοιχειοθετούν τις αποφάσεις στις διαδικασίες και πολιτικές ασφαλείας σε ένα περιβάλλον μηδενικής εμπιστοσύνης.
Ένας άλλος εξίσου σημαντικός πυλώνας στην υλοποίηση ενός περιβάλλοντος μηδενικής εμπιστοσύνης είναι η ανάληψη των μεριδίων ευθύνης και υποχρεώσεων που αντιστοιχούν στους εκάστοτε εταίρους της εφοδιαστικής και παραγωγικής αλυσίδας. Με άλλα λόγια, η συνολική διασφάλιση δεν πρέπει να είναι μονομερής υποχρέωση του τελικού αποδέκτη-προμηθευτή αλλά πρέπει να μοιράζεται κατά αναλογία και με τεχνικά αποδεκτά κριτήρια σε όλους τους συμμετέχοντες στη παραγωγή ενός τελικού προϊόντος ή υπηρεσίας, ανεξαρτήτως του κομματιού της αλυσίδας το οποίο εξυπηρετούν.
Και καθώς όλα αυτά είναι ωραία και δημιουργούν έναν εφησυχασμό στον εκάστοτε μικρόκοσμό μας, καταλήγουμε στο ότι για να λειτουργήσουμε προς μια θετική κατεύθυνση είναι ζωτικής σημασίας να γίνουμε απόλυτα διαφανείς και εξωστρεφείς, σε ότι αφορά τις προσπάθειες υλοποίησης οικοσυστημάτων ασφαλείας στο σύνολό τους. Έτσι θα δώσουμε την δυνατότητα σε όλους τους stakeholders να δουν, επεξεργασθούν εις βάθος, και γιατί όχι να αμφισβητήσουν τα λεγόμενά μας, έτσι ώστε μέσα από αυτή τη διαδικασία να χτιστεί αμοιβαία εμπιστοσύνη σε πιο γερές βάσεις.
Στην προσπάθεια αλλαγών και εγκαθίδρυσης εκσυγχρονισμένων αντιλήψεων υπάρχει πάντα η σχετική παραφιλολογία που μπορεί εμμέσως να επηρεάσει αρνητικά τις σχετικές αποφάσεις υλοποίησης. Για αυτό είναι σημαντικό σε κάθε προσπάθεια υλοποίησης περιβάλλοντος μηδενικής εμπιστοσύνης να ξεκαθαρίζονται από νωρίς οι μύθοι που περιβάλλουν το εγχείρημα, έτσι ώστε να υπερισχύουν τα πραγματικά δεδομένα γύρω από αυτό. Στην περίπτωση του Zero Trust τα θετικά στοιχεία είναι πολλά και ισχυροποιούν την ασφάλεια γύρω από τις υποδομές αλλά και τα δεδομένα που εμπεριέχουν αυτές, ενώ παράλληλα απλοποιούν την ενσωμάτωση νέων χρηστών ή συσκευών στο ICT οικοσύστημα. Και παρόλο που αυτό δεν είναι πάντα τόσο εύκολο όσο ακούγεται, η υλοποίηση μιας λογικής μηδενικής εμπιστοσύνης η οποία βασίζεται στη διαφάνεια, στους συνεχείς ελέγχους, τις βέλτιστες πρακτικές και πολιτικές προστασίας, τα διεθνή πρότυπα και τις πιστοποιήσεις, είναι ίσως η μονή βιώσιμη στρατηγική διασφάλισης και προστασίας δεδομένων και υποδομών στο κυβερνοχώρο η οποία δύναται να δημιουργήσει πραγματική εμπιστοσύνη μεταξύ των εμπλεκομένων μερών.