Zero Trust määrittelee luottamuksen uudella tavalla
Paikkariippumattoman työn myötä ulkoisten ja sisäisten verkkojen raja on hämärtynyt. Yrityksen verkoissa työskentelevät paitsi työntekijät myös yhteistyökumppanit ja alihankkijat. Tämä haastaa perinteistä tietoturva-ajattelua, jossa sisäverkko on luotettu ja ulkoverkko epäluotettava. Zero Trust määrittelee luottamuksen uudella tavalla.
Mikä on Zero Trust?
Zero Trust on tietoturvaperiaate, jossa luottamus on todennettava jatkuvasti uudelleen. Yhtäkään käyttäjää tai resurssia ei oleteta luotettavaksi, vaan jokainen istunto on tarkistettava ja todennettava. Zero Trustin ytimessä on pääsynhallintapolitiikka ja se keskittyy suojaamaan käyttäjät, laitteet ja resurssit valvomalla pääsyvaatimuksia sekä hyödyntämällä uhka- ja lokitietoa. Luottamus ei ole tila vaan prosessi, joka on todennettava joka hetki uudelleen.
Tietoturvan merkitys yrityksissä kasvaa – Zero Trust vastaa haasteisiin
Työn murroksen myötä myös tapa toimia yrityksen verkoissa on muuttunut. Työtä tehdään kotikonttoreilta, julkisilta paikoilta ja ulkomailta. Etätyön yleistyttyä moni työrutiini on muuttunut etäyhteyksin suoritettavaksi, eikä ratkaisuja ole välttämättä suunniteltu tietoturva edellä. Tietoverkot (IT) ja tuotannon verkot (OT) ovat nykyään entistä lähempänä toisiaan ja myös tehdassalin lattialle tarvitaan käytäntöjä IT-maailmasta, jos tuotannon rattaat halutaan pitää pyörimässä.
Aggressiiviset kyberhyökkäykset lisääntyvät ja viime aikoina ne ovat kohdistuneet usein esimerkiksi kriittiseen tuotantoinfrastruktuuriin. Onko yritykselläsi riittävä näkyvyys verkkojen tilaan? Pystyykö jo sisäverkkoihin päässyt hyökkääjä tekemään tuhojaan vailla rajoitusta? Tällaisia ongelmia Atea pyrkii ratkaisemaan hyödyntämällä Zero Trust -lähestymistapaa.
Case: Kriittisen infrastruktuurin ja OT-verkkojen turvallisuus
Jos organisaatiosi toimii kriittisen infrastruktuurin, kuten lämmöntuotannon ja -jakelun, sähköntuotannon ja -siirron tai vedenjakelun parissa, on toiminnan jatkuvuus ensiarvoisen tärkeää. Tuotannon keskeytyminen on merkittävä kulu ja riski liiketoiminnalle toimialaan katsomatta, ja siksi tuotannon verkkojen tietoturvaan kannattaa panostaa.
Kun organisaatiolla on suuri määrä kumppaneita ja alihankkijoita, jotka työskentelevät sen verkosta käsin, on tärkeä varmistaa kattava näkyvyys verkkoon ja se, että kumppaniverkoston pääsyä hallinnoidaan asianmukaisesti. Erityisesti tuotannon verkossa olevat laitteet voivat olla haavoittuvaisia hyökkäyksille, sillä niiden teknologia ei välttämättä ole aina uusimmasta päästä. Siksi niiden suojaamiseen kannattaa panostaa.
Esimerkiksi etäyhteyksin operoivan huoltokumppanin kanssa toimiessa on keskeistä varmistaa, että tietoturvaan liittyvät varotoimet on hoidettu asianmukaisesti. Muuten on riski siihen, että tunkeutuja pääsee sisäverkkoon ja vaarantaa hyökkäyksellä koko tuotannon.
Miten lähteä liikkeelle?
Atea tarjoaa selkeän palvelupolun Zero Trust -ympäristön saavuttamiseksi. Atean asiantuntijat auttavat rakentamaan ratkaisukonseptin ja valitsemaan oikeat tietoturvateknologiat organisaatiollesi. Tämä auttaa osaltaan myös tekemään liiketoiminnasta NIS2-periaatteiden mukaista.
- Zero Trust -arkkitehtuurityöpaja: Työstö alkaa yhteisestä työpajasta, jossa Atean asiantuntijat selvittävät liiketoiminnan tarpeet ja haasteet sekä kartoittavat kokonaiskuvan ympäristön nykytilasta. Työpajan tuloksena asiakas saa ratkaisuehdotukset Zero Trust -toteutukselle.
- Ratkaisusuunnittelu: Työpajan perusteella Atean tietoturva-asiantuntijat suunnittelevat ratkaisun, joka vastaa yrityksen tarpeisiin ja ottaa huomioon yrityksen kohtaamat uhat.
- Ratkaisun Proof of Concept: Kun ratkaisu on konseptoitu, testataan sen toimivuutta Proof of Conceptilla, jotta voidaan tunnistaa mahdolliset aukot suunnitelmassa ja todentaa, että se toimii.
- Ratkaisun pilotointi: Edellisen vaiheen perusteella hiottua konseptia testataan vielä tositoimissa, ennen kuin se otetaan käyttöön laajemmin.
- Käyttöönotto: Yhdessä suunniteltu ja hallitusti tehty käyttöönotto takaa liiketoiminnan turvallisen jatkuvuuden jokaisessa käytön vaiheessa.
- Jatkokehitys: Kun Zero Trust -ympäristö on saatu käyttöön, on jatkuva kehitys luontainen osa projektia. Tietoturvan kehittäminen on jatkuva prosessi, joka vaatii suunnitelmallisuutta ja asiantuntijuutta.