DNA:n uuden Yllättävän yksinkertaista -podcastin toinen jakso sukeltaa tietoturvan syvään päätyyn. DNA:n oma business manager Juho Saarinen vääntää jaksossa rautalangasta, mitä ihmettä zero trust -tietoturva-arkkitehtuuri oikein on ja miksi modernin organisaation kannattaa kiinnostua luottamuksettomasta tietoturvasta. Tämä artikkeli on tiivistelmä podcastista.
Zero trust -arkkitehtuuri pyrkii muuttamaan nimensä mukaisesti käsityksen luottamuksesta tietoturvassa. Perinteisesti tietoturva on nojannut ajatukseen siitä, että uhka vaanii ulkoverkossa.
"Aikaisemmin yrityksissä ja organisaatioissa usein ajateltiin, että työntekijä tulee aina työpaikalleen tekemään hommansa. Koronapandemia sai kuitenkin todella nopeasti muutoksen aikaan: ihmiset, joilla oli mahdollisuus tehdä töitä etänä, jäivät kotiin tekemään töitä. Monissa yrityksissä löytyi valmiudet tähän, mutta oli niitäkin, joille tilanne tuli isona yllätyksenä", Saarinen kertoo podcastissa.
Mutta mikä yhteys työtapojemme muutoksella on tietoturvaan? Perinteiset tietoturvamallit lähtökohtaisesti luottavat organisaation sisäverkossa toimiviin käyttäjiin ja laitteisiin sekä siihen, etteivät kriittisiä käyttöoikeuksia hallussaan pitävät tunnukset päädy vääriin käsiin. Nyt tiedetään, että uhka voi tulla sisältäkin.
"Pandemian myötä hybridityöstä on tullut pysyvää. Aikaisemmin töitä tehtiin yrityksen toimipisteellä olevilla laitteilla, mutta nyt työvälineet, kuten läppärit, viedään kotiin ja niitä saattaa siellä työntekijän lisäksi käyttää vaikkapa lapset tai puoliso. Jos työvälineelle ladataan jotakin ja saadaan esimerkiksi haittaohjelma kylkiäisenä, yritystä koskettava uhka ei tulekaan ulkopuolelta, vaan sisäpuolelta", Saarinen täsmentää.
Tietoturvakakku rakentuu kerros kerrallaan
Zero trust -arkkitehtuurin käsite on syntynyt hieman yli kymmenen vuotta sitten, mutta vasta viime vuosina se on saanut todellista jalansijaa tietoturvamaailmassa. Saarinen itse kuuli termistä ensimmäisen kerran muutama vuosi sitten.
"Zero trust on laaja konsepti, eikä yhtä kaiken kattavaa ja torjuvaa zero trust -ohjelmistoa voi ostaa mistään. Zero trustille ei edes löydy täydellistä määritelmää, eikä millään keinolla voi saavuttaa täysin absoluuttista zero trustia – tai tietoturvaa ylipäätään. Tietoturvaa ei myöskään kannata rakentaa nyt pinnalla olevien ratkaisuiden tai trendien perässä, vaan yrityksen omista lähtökohdista. Tietoturva on kakku, jonka ei tarvitse olla kerralla valmis, sitä voi rakentaa aina kerroksen kerrallaan", Saarinen alleviivaa.
Vaikka "nollaluottamus" voi kalskahtaa tylyltä, se on kuitenkin tehokasta. Zero trustiin voi sisällyttää esimerkiksi automaation, joka huomaa helposti, jos käyttäjä toimii yrityksen sisäisissä järjestelmissä poikkeavalla tavalla.
"Ei kuitenkaan tarvitse säikähtää, että työnantaja voisi tällä tavalla vakoilla kaikkea, mitä työkoneella tapahtuu. Järjestelmä yksinkertaisesti turvaa organisaation resurssit: älä luota, varmista aina. Nykymaailmassa kaikki muuttuu vauhdilla ja tietoturvaratkaisujen pitää tukea yrityksiä ja organisaatioita", Saarinen summaa.
Haluatko oppia lisää zero trustista? Kuuntele aihetta käsittelevä Yllättävän yksinkertaista -podcastin jakso tästä!
