Yritysten tietoturva-arkkitehtuurissa kaiken A ja O on nyt nollaluottamus eli englanniksi Zero Trust. Sen perusidea on yllättävän yksinkertainen ja helppo oivaltaa: nollaluottamus lähtee siitä, että verkossa mikään tai kukaan ei ole oletusarvoisesti luotettava. Zero Trust -malli turvaa kaikenkokoisten yritysten liiketoiminnan jatkuvuuden perustavanlaatuisella tavalla.
Ulkoiset uhkat voivat milloin tahansa vaarantaa yrityksen arkaluonteiset tiedot, asiakastiedot ja liiketoimintaprosessit. Uhkien kehityksen seurauksena perinteinen reaktiivinen tietoturvakäytäntö ei enää riitä. Siksi yritykset ovat joukolla kääntymässä kohti Zero Trust -tietoturvamallia ja sen mukaista verkon arkkitehtuuria.
Perinteisessä mallissa yrityksen verkon sisällä oleva laite ja käyttäjä saattaa saada laajat käyttöoikeudet kaikkiin järjestelmiin ja tietoihin. Näin hyökkääjällä on vapaa pääsy joka paikkaan, kunhan vain pääsee käsiksi yhteen laitteeseen tai käyttäjätunnukseen.
Zero Trust -mallissa sen sijaan oletetaan, että verkossa oleva ympäristö on täynnä potentiaalisia hyökkääjiä ja joskus jokin hyökkäys onnistuu. Siksi jokainen laite ja käyttäjä tarkastetaan ja tunnistetaan ennen kuin pääsy sisään myönnetään. Jokaisen käyttäjän ja laitteen oikeudet myös määritellään tarkasti roolin mukaisesti, eli kukin saa vain tarpeelliset oikeudet eikä mitään ylimääräistä. Kukaan ei saa liikkua vapaasti yrityksen verkon sisällä. Tämän ansiosta mikään hyökkäys ei pääse leviämään digitaalisissa järjestelmissä ja pysähtyy nopeasti ja liki automaattisesti. Tämä rajaa myös korjaavien toimien tarpeen, mikä säästää resursseja tuntuvasti.
Yrityksen järjestelmiin pyrkijän identiteetin ja tarkoitusten kyseenalaistaminen vastaa täysin arkista käyttäytymistämme: jos ennestään täysin vieras henkilö tulee ja pyytää selittämättä kotiavaimia, tyrmäämme moisen pyynnön oitis, koska oletamme, että hän ei ole lainkaan luotettava.
Zero Trust -mallin noudattaminen tuo yritykselle useita etuja:
- Zero Trust edellyttää aina tunnistautumista ja valtuutusta ennen kuin kukaan pääsee verkon kautta käsiksi digitaalisiin resursseihin.
- Jokaiselle rajataan tarkasti roolin mukaisesti sallitut palvelut. Pääsy muualle vaatii lisävaltuuksia.
- Malliin kuuluu jatkuva, automatisoitu valvonta yrityksen verkko- ja pilviympäristöissä sekä kattava lokiraportointi, jonka avulla tapahtumia voidaan tutkia tarvittaessa myös jälkikäteen.
- Nollaluottamusmalli parantaa henkilöstön tietoisuutta tietoturvasta ja opettaa vastuulliseen tietoturvakäyttäytymiseen.
- Zero Trust -malli tuo myös skaalautuvuuden etuja. Kun resursseihin voidaan antaa pääsy vain tarpeen mukaan, tämä on omiaan vähentämään liikennettä verkossa.
- Malli voi helpottaa keskeisimmän sääntelyn kuten GDPR:n noudattamista.
Zero Trust -arkkitehtuuri on kuin digitaalinen portinvartija, joka ei päästä ketään sisään ilman asianmukaisia papereita ja päiväkirjamerkintää. Kääntäen sanottuna nollaluottamuksen malli vaikeuttaa tuntuvasti erilaisten tietoturvahyökkäysten toteuttamista. Tämä pienentää yrityksen liiketoiminnan riskejä.
Haluatko tietää reilusti lisää Zero Trustista? Lataa kattava oppaamme ”Zero Trust – Vahvaa turvaa nollaluottamuksella”!
Ilmoittaudu myös mukaan Kyberturva 2025 -aamiaistilaisuuteemme, joka järjestetään 31.10. Helsingissä. Tapahtumassa kuulemme alan huippuasiantuntijoiden puheenvuoroja muun muassa kvanttiturvallisesta salauksesta sekä Suomeen kohdistuvien kyberhyökkäysten kehityksestä.
Artikkeli päivitetty 17.9.2024. Artikkeli julkaistu alun perin 9.10.2023.
