Küberturvalisus on rahutus maailmas aina kriitilisema tähtsusega ja kes sellele piisavalt tähelepanu ei pööra, selle andmed saavad kurjategijad varem või hiljem kätte. Muutuvates oludes ei saa turvalisus, eriti digitaalne, olla aga enam ainult IT-osakonna pärusmaa – see teema peab olema kõikide juhtide laual juba praegu. Kõrgema turvalisuse oluline nurgakivi on null-usalduse ehk Zero Trust kasutusele võtmine.

Kui praegu on suhteliselt levinud see, et ettevõtte töötajad nii kodus kui kontoris saavad pilveteenuses paiknevatele andmetele ligi oma parooliga, ärirakenduste kasutamiseks nõutakse VPNi ja mõnda tarkvara või andmebaasi saab kasutada ainult kindla seadmega, siis Gartner prognoosib, et juba 2,5 aasta hakkab 80% ettevõtteist lubama ligipääsu oma veebi- ja pilveteenustele ning privaatsetele rakendustele ainult ühe kindla teenusepakkuja turvalise platvormi SSE (Security Service Edge) kaudu. See on efektiivsem ja turvalisem, sest on vähem erinevaid osapooli ja vähem kohti, kus andmeid dekrüpteerida, kontrollida ja uuesti krüpteerida.

Võrreldes praeguse lähenemisega turvalisusele tooks Gartneri ennustuse täitumine põhimõttelise muutuse. Lihtsustatult öeldes on praegu enamuses ettevõtetest sisevõrk nagu keskne varahoidla, kus hoitakse kõiki ettevõtte jaoks väärtuslikke ja sensitiivseid andmeid ning rakendusi. Selleks, et väljaspool kontorit olevatel töötajatel oleks ligipääs ettevõtte sisemistele süsteemidele, suunatakse „kesksest varahoidlast“ läbi ka nende seadmete liiklus. Arusaadavalt ei ole selline lähenemine lõpuni turvaline.

Zero-Trust ehk null-usalduse mudeli rakendamisel jagataks keskne „varahoidla“ aga isoleeritud tükkideks, millele ligipääsu kontrollivad nö turvalukud ehk SSE teenus. Peale kõige muu kontrollib SSE ka, kust ligipääsu taotletakse, mida soovitakse teha, millised õigused kasutajal on, millise turvatasemega seadmeid kasutatakse jne.

Ettevõtteis, kus Zero-Trust võrgumudel on korrektselt juurutatud, ei ole enam ühte sisemist võrku ja kõik töötajad, kes vastavad ettevõtte poolt määratud kriteeriumitele, pääsevad turvaliselt üle avaliku interneti (kasvõi kohviku avalikust WiFi võrgust) ligi ainult nendele teenustele ja andmetele, milleks neil luba on. Nii kaob ära ka võrkude ülekoormuse probleem, millega paljud ettevõtted näiteks COVIDi alguses kokku puutusid ja lisaks pole selliselt seadistatud võrguteenused võõrastele ehk potentsiaalsetele ründajatele isegi näha.

Null-usaldus

Turvalisema keskkonna loomine peakski algama Zero Trust poliitika juurutamisest ja seda rõhutab ka Gartner ennustades, et 2025. aastaks on just Zero Trust 60% organisatsioonide jaoks turvalisuse lähtepunkt, mille peale järgmisi lahendusi luua. Gartner hoiatab samas, et enam kui pooled neist ei suuda ZT-st saadavat kasu realiseerida, sest nende mõtteviis on nö vanades harjumustes ja dogmades kinni. Kahjuks kinnitab seda ka ADM Cloudtechi kogemus Eestis ja ka teistes riikides – kuigi turvalisus on aina kriitilisema tähtsusega, ei hooma enamus ärijuhtidest ja isegi IT-osakondadest null-usaldusest saadavat väärtust.

Tõepoolest, ZT ei ole imerelv, vaid laiaulatuslik muutus, mida õnnestub edukalt juurutada ainult siis, kui juhtkond seda oluliseks peab ja selgelt toetab. ZT ei ole lihtsalt null-usaldus, vaid organisatsiooni visioon, mille õnnestumine eeldab terve senise kultuuri muutmist. IT-meeskond saab selle juurutamisel pakkuda väärtuslikku tehnilist abi, kuid mitte rohkem – otsus ZT kasutama hakata, peab olema ärijuhi oma.

Muide, küberturvalisus ongi nihkumas IT-osakonnast juhtkonnatasandile, sest see, mida turvalisus mistahes organisatsioonis puudutab, on ju otseselt seotud äriga ja riskiga selle jätkumisele. Nii on see mitte ainult ZT, vaid ka näiteks lunavara puhul. Kui ennetavad turbetegevused ei ole olnud viljakad ja kurjategijad siiski krüpteerivad andmed ning nõuavad nende avamise eest raha, siis ei saa maksmise üle otsustada ju IT-juht või veel vähem IT-spetsialist. See on äriline otsus ja seega peab jääma ärijuhi otsustada. Gartner soovitab ärijuhtidel lunaraha läbirääkimistesse kaasata nii oma turvaintsidentide osakond ja juristid kui ka politsei.

Kuna turvariskid ei ole juba ammu ainult tehnilised, siis ennustabki Gartner, et vähem kui nelja aasta pärast on see teadmine laiemalt levinud ja poolte tippjuhtide töölepingutes on riski- ja turvateemad mõõdikutena juba sees. Selle tulemusel peaks vastutus küberriskide käsitlemise eest liikuma IT-osakonnast juhatuse tuppa ehk sinna, kuhu see päriselt kuulub.

See artikkel ilmus 20. juuli ITuudistes.