Неясно като дефиниция, но пък безкрайно и необятно, „нулевото доверие“ – новата парадигма в киберсигурността – е забележително предизвикателство и сложно начинание. „Искам да се запозная с онези 12%, които не са го намерили за трудно,“ казва по този повод един мениджър по ИТ сигурността.
Близо девет от всеки 10 лидери по сигурността са се сблъскали със значителни предизвикателства при опитите си за внедряване на принципа на нулево доверие, според скорошен доклад на Accenture.
Всеобхватният характер на внедряванията, нивото на съпротива от страна на ръководителите на отдели и изключително дългото време, необходимо постигане на значима възвръщаемост на инвестициите – това са ключовите фактори за трудностите на CISO по пътя към постигане на прословутото нулево доверие, казват индустриални анализатори и специалисти по сигурността.
Тази „ фундаментална рамка за сигурност“ представлява значително предизвикателство за 88% от организациите, се казва в доклада на Accenture. „Уязвимост се простира до физическия свят, като 80% не са в състояние ефективно да защитят своите киберфизически системи.“
Голяма част от трудностите опират до това, че много компании дефинират нулевото доверие по различни начини. Но в случая не става дума за спецификация, колкото за подход към сигурността – макар че това не означава, че много CISO са постигнали успех при въвеждането а новия подход в своите организации.
Нещо повече: фактът, че всяка корпоративна среда е уникална, налага липсата на специфични подробности за внедряване на принципа на нулево доверие, тъй като регулациите, географските граници, вертикалите и естеството на партньорите могат да варират значително. Сложността се увеличава допълнително заради локалните, облачните, отдалечените, IoT и наследените специфики.
„Това е стратегическа трансформация, а не тактическо внедряване, и затова наблюдаваме толкова широко разпространени трудности в цялата индустрия“, казва Прашант Део, ръководител на глобалната практика по киберсигурност в Tata Consultancy Services. „Внедряването на нулево доверие на корпоративно ниво е трудна задача. Тя може да изисква поетапен подход, специфичен за конкретния случай.“
Део твърди, че нулевото доверие всъщност е начин на мислене – и той е „във фундаментално в противоречие с начина, по който предприятията винаги са подхождали към сигурността“. Защо?
„В продължение на десетилетия сигурността се изграждаше върху предпоставката за имплицитно доверие в рамките на мрежовия периметър. Моделът на нулево доверие изисква пълен обрат в това мислене“, отбелязва Део. „Преминаването на цяла организация към култура „на никога не се доверявай, винаги всекиго проверявай“ е значителна и трудна промяна.“
„Нулево доверие означава различни неща за различни хора. Не искаме да ограничаваме разбирането какво следва да означава нулево доверие и да предлагаме идеализиран модел като единствено възможно решение,“ казва Рекс Бут, CISO в Sailpoint. За него объркването в дефинициите е причината за голяма част от трудностите.
Карън Андерсен, мениджър управление на идентичността в World Wide Technology, е съгласна с Бут относно двусмисления характер на термина. „Често си мисля, че хората не знаят какво да мислят за термина. Някои казват, че е продукт, но той означава различни неща за различните хора“, казва Андерсен. „Може дори да се разглежда като маркетингова модна дума, но аз вярвам в стратегията зад него.“
Всъщност Андерсен е изненадана, че само 88% от ръководителите по сигурността са намерили внедряването на нулево доверие за трудно. „Искам да се запозная с онези 12%, които не са го намерили за трудно“, отбелязва тя.
Като цяло специалистите са на мнение, че едно наистина цялостно внедряване на нулево доверие може да отнеме повече от десетилетие – ако изобщо може да се приеме, че това е процес, който някога би бил завършен.
Салех Хамдан Ал-Буали, който е прекарал години като мениджър по информационна сигурност в хотелската верига Four Seasons, е друг дългогодишен кибер-мениджър, който е загрижен за сложността на нулевото доверие и липсата на конкретни стимули за неговото постигане.
„Няма абсолютно никакъв стимул да се направи това“, казва Ал-Буали, който днес е ръководител по сигурността на AI стартъп. Определя нулевото доверие като противоположност на доверения хост на Unix.
„Това има забавящ ефект върху бизнеса. Не можете да постигнете нулево доверие, освен ако не го внедрите напълно. Дотогава няма да получите никакви предимства“, казва Ал-Буали. Според специалиста, единственият начин нулевото доверие да бъде успешно е, ако се налага отгоре надолу, от борда или главния изпълнителен директор към останалите в организацията.
Краткосрочността на бизнес-циклите прави картината още по-сложна. „Повечето публично търгувани компании живеят тримесечие за тримесечие“, посочва Уил Таунсенд, вицепрезидент и главен анализатор в Moor Insights & Strategy. „Това, което се цени, са неща, които подобряват производителността, способността да се монетизират продукти и услуги“.
Търси се бърза възвръщаемост на инвестициите. А това е нещо, което няма как да се види „с просто око“ при киберхигиената, заключава той.
