Digitaliseringen krever en ny bransjestandard for IT-sikkerhet

En ny digital tidsalder krever en helt ny type forsvar mot digitale angrep. Zero trust er det nye mantraet for IT-sikkerhet i skyen.

NULL-TILLIT: Automatisering, digitalisering og en myriade av nye skytjenester hjelper kanskje på både produktivitet og lønnsomhet, men skaper også helt nye problemer for IT-sikkerheten. En null-tillitspolitikk kan være redningen, tror sikkerhetsekspertene. Illustrasjonsfoto: Anders Horntvedt
Teknologi

Ronald Reagan lanserte på 80-tallet forhandlingsprinsippet «trust, but verify» i forbindelse med de svært krevende forhandlingene med Sovietunionen som skulle avslutte den kalde krigen.

Dette null-tillitsprinsippet viste seg å være et utmerket rammeverk for slike tilsynelatende umulige oppgaver som å forhandle frem atomnedrustningsavtaler mellom to erkefiender som ikke stoler en døyt på hverandre.

Etter Berlinmurens fall er det blitt mindre behov for denne typen diplomatiske metoder. 

Til gjengjeld har IT-industrien omfavnet Reagans gamle forholdsregel, og bruker den som grunnpilar i fremtidens cyberforsvar.

Trenger bedre rammeverk

«Absolutt sikkerhet på nettet har alltid vært et umulig mål, og i dag mindre enn noen gang. Vi befinner oss i en ny, digital verden der vi har skapt et totalt dynamisk miljø hvor vi aldri kan være helt sikre på at det vi ser er det det utgir seg for å være», skriver sikkerhetsselskapet NTT Security i en rapport om cybersikkerhet i skyen.

«Med en digitalisering i et stadig akselererende tempo er det nå et sterkt behov å utvikle et nytt rammeverk som kan ivareta næringslivets sikkerhet på en skikkelig måte», konkluderer rapporten.

Digital forvirring

Det er ikke lenger bare økningen i antall hackere og andre cyberkriminelle i verden som gjr sikkerhetsansvarlige mer hodebry enn før.

Digitaliseringen, og alle de fantastiske mulighetene den tilbyr, er i seg selv blitt en sikkerhetsrisiko.

Det gjelder også den mer eller mindre vellykkede hastverksdigitaliseringen som har foregått i løpet av coronaepidemien.

Fysiske arbeidsmiljø er blitt flyttet ut av kontorene og inn i mobilenheter og virtuelle møterom. Digitaroduksjonen får bidrag fra stadig flere digitale komponenter som AI-verktøy, IoT-enheter, SaaS-tjenester, API-er, dataanalyse og automatisering.

Praktisk erfaring viser at dette mangfoldet raskt blir uoversiktlig, og dermed utgjør en sikkerhetsrisiko.

Trussel fra innsiden

Begrepet «zero trust» har vokst som moteord i IT-sikkerhetsbansjen de siste årene.

Begrepet ble lansert av sikkerhetseksperten John Kindervag i Forrester Research (i dag teknologidirektør i Palo Alto), da han fikk en åpenbaring om at alt tradisjonelt sikkerhetsarbeid baserer seg på en antagelse om at alt som befant seg på innsiden av organisasjonens nettverk er sikkert, fordi man har brannmurer, virusprogram og sånt.

Den teorien kommer man ikke langt med i dag.

Cyberkriminelle, særlig de som opererer i vinnings øyemed, bruker store ressurser på å lure til seg passord som gjør at de kan komme seg usett inn i nettverket, og gjerne bli der lenge.

Ny industristandard

Det hittil beste svaret på denne nye IT-sikkerhetssituasjonen er altså en strategi om at ingen og ingenting er det det utgir seg for å være uten å ha dobbeltsjekket det.

I praksis betyr det å legge et ekstra sikkerhetsstruktur som autentiserer alle brukere og skal godkjenner all trafikk i nettet før den slipper videre.

Zero trust-spørsmål opptar for tiden store deler av arbeidskapasiteten til kundebehandlere hos IT-sikkerhetsselskapene. Sikkerhetseksperter spår at slike løsninger kommer til å bli bransjestandard innen få år.

Dermed ser det i beste fall ut til at vi omsider kan klare å få et overtak i kappløpet mot cyberkriminelle angrep, som i år vil koste verden over 4.000 milliarder dollar globalt.

Det vil si hvis ikke hackerne finner på noe nytt, og det er det vel liten tvil om at de kommer til å gjøre.

digitalisering
Fremtidens IT
IT-sikkerhet
automatisering
iot
Nyheter
Teknologi