В результате недавнего решения Верховного суда США агентства должны считать себя предупрежденными о том, что пришло время реализовать модель нулевого доверия для защиты конфиденциальной информации от несанкционированного доступа. Решение было принято ранее этим летом по делу Ван Бурен против Соединенных Штатов.
Дело было возбуждено на основании действий бывшего сержанта полиции Джорджии, который получил деньги в обмен на предоставление информации о номерном знаке, которую он получил при использовании своего компьютера патрульной машины. Верховный суд постановил, что доступ Ван Бурена подпадает под определение санкционированного использования, изложенное в Законе о компьютерном мошенничестве и злоупотреблениях 1986 года (CFAA).
Программа дела Ван Бурен против Соединенных Штатов резюмирует следующее: «В общем, человек превышает санкционированный доступ, когда он получает доступ к компьютеру с авторизацией, но затем получает информацию, расположенную в определенных областях компьютера - таких как файлы, папки или базы данных, - которые для него недоступны». Таким образом, все стороны соглашаются, что Ван Бюрен действовал с разрешения. Спор заключался в том, входило ли получение информации о номерных знаках в сферу действия этого разрешения. Было решено, что он сможет; следовательно, Ван Бурен не превышал санкционированный доступ, как это определено в CFAA, даже несмотря на то, что получение этой информации определенно имело ненадлежащую цель.
Шаги к реализации модели нулевого доверия
Это постановление должно привлечь внимание организаций к переоценке доступа сотрудников к конфиденциальным данным. Подход «никогда не доверяй, всегда проверяй» имеет решающее значение. Вот пять шагов к созданию протокола нулевого доверия.
Изучите свой инвентарь
Чтобы защитить ваши конфиденциальные данные, вы должны сначала провести тщательную оценку своей киберинфраструктуры, создать точную инвентаризацию и получить хорошее представление о ее охвате. Архитектура нулевого доверия не может быть реализована без этого важного первого шага.
Для устойчивого подхода вносите постепенные изменения
Если вы не создаете вычислительную среду с нуля, эту архитектуру Zero Trust невозможно реализовать одним усилием. Скорее всего, вам нужно будет объединить ваши усилия по нулевому доверию с прежними. Чтобы упростить этот переход, поищите способы работы инструментов Zero Trust в существующей среде. Вносите изменения, которые можно вносить поэтапно и легко управлять. Включите тестирование того, что работает для вас и вашей организации, а затем увеличивайте масштаб.
Помните, что Zero Trust - это не универсальная структура
Другие успешно прошли это изменение. Ищите их советы и рекомендации. Мы в Acronis SCS готовы поделиться с вами своим опытом. Мы можем быть ценным ресурсом в ваших усилиях по созданию вашей архитектуры Zero Trust.
Превратите тактику в стратегию
Возможно, вам потребуется заручиться поддержкой на высоком уровне при разработке и переписывании ИТ-политик для достижения и поддержания ваших целей нулевого доверия. В сегодняшней среде кибербезопасности с ростом осведомленности общественности это не должно быть сложной задачей для вашего руководства, которое должно осознавать необходимость принятия модели нулевого доверия.
Расширьте возможности своих "человеческих брандмауэров"
По сути, подход нулевого доверия отражает два ключевых принципа.
- Не доверять никому.
- Все проверить.
При рассмотрении этих принципов важно отметить одно исследование, в котором было обнаружено, что около одной трети утечек данных происходит из-за целевого фишинга, а ошибки, приписываемые человеческим ошибкам, играют причинную роль в более чем одной пятой утечек.
Таким образом, реализация Zero Trust должна минимизировать влияние любого нарушения, вызванного деятельностью человека. В то же время вы не должны сбрасывать со счетов критическую роль, которую люди играют в защите ваших систем и информации от любых форм компрометации, таких как потеря данных и кибератаки.
Создавая архитектуру Zero Trust, крайне важно обеспечить, чтобы каждый сотрудник был активным участником, давая им возможность делать это. Учебные и информационные занятия должны быть разработаны таким образом, чтобы прививать культуру безопасности среди сотрудников. Убедитесь, что у каждого сотрудника есть сила быть человеческим брандмауэром - #Cyberfit, постоянно бдительным и устойчивым. Как и в случае с большинством изменений подобного рода, реализация архитектуры нулевого доверия должна быть результатом коллективных усилий для достижения успеха.
Работа с Acronis SCS на пути к нулевому доверию
В Acronis SCS мы уже шли по этому пути. Мы внедрили архитектуру Zero Trust в нашей собственной организации и имеем богатый опыт и знания, которыми можем поделиться с нашими партнерами. Мы поощряем организации, готовые начать напишите нам как можно быстрее.
Ваши конкретные потребности, скорее всего, будут отличаться от наших или других организаций. Тем не менее, наш опыт как с нашим собственным процессом внедрения, так и с учетом нашей позиции в качестве ведущего поставщика решений кибербезопасности в государственном секторе США может помочь нам в этом.
Активная защита от программ-вымогателей, такая как Acronis SCS Cyber Backup 12.5 Hardened Edition, может защитить вашу компанию от ненужных и дорогостоящих утечек данных, а простое решение для нотариального заверения и цифровой аутентификации может предотвратить изменение ваших данных злоумышленниками.
Результаты Ван Бурен против Соединенных Штатов действительно обратили внимание на государственный сектор. В результате ясно, что необходимо незамедлительно принять меры для защиты наиболее конфиденциальных данных нашей страны. Это действие начинается с реализации архитектуры нулевого доверия.
