Sikkerheten henger etter: – Jeg er redd det blir mye verre før det blir bedre

– Jeg kan beskrive zero trust slik: Implisitt kan du ikke stole på noen. Dette betyr ikke bare meg og deg som mennesker, men også de enhetene vi har med oss, de applikasjonene vi kjører, og de filene og bildene vi har lagret et eller annet sted. Vi skal ikke stole på at jeg skal ha åpen tilgang til disse bare fordi jeg sier at det er Cato som prøver å få tilgang, sier Evensen.

– Ganske enkelt skal vi alltid verifisere, helst gjennom flere mekanismer, at du er du og ikke maskinen din som er tatt over av noen andre.

Evensen forteller at utfordringen er at dersom man spør ti IT-personer, får man ti forskjellige svar på hva zero trust er. Da blir det vanskelig å lage en sikkerhetsmekanisme som er god nok.

– Jeg snakker ofte med ledere og styremedlemmer, som ikke har IT-sikkerhet som sine fagfelt. Deres nisje er å gjøre det best mulig for selskapet innen sitt fagfelt, så har de fått presset behovet for IT-sikkerhet på seg, gjerne gjennom EU-lover, GDPR-krav og frykt for å skulle bli tatt over av hackere.

– Disse sier ofte at de vil ha zero trust, men når jeg spør hvor de er i dag med tanke på IT-sikkerhet, sier de ofte at de ikke vet hvor de skal begynne en gang. Denne forvirringen må alle som opererer i sikkerhetsbransjen ta ansvar for, da alle har laget en versjon av zero trust som dekker akkurat deres domene, mener Evensen.

Glemmer sikkerhet i digitaliseringsprosessen

Han er klar på at kravene til sikkerhet skal være de samme, enten man sitter på kontoret eller et annet sted og jobber. I dag kommer man gjerne rett inn i applikasjoner dersom man sitter på bedriftens egne trådløse nettverk.

– Under pandemien satt plutselig alle på hjemmekontor, og vi skulle ha tilgang til de samme programmene og de samme serverne. Det måtte vi ha tilgang til og det måtte bedriften legge til rette for, og plutselig har man to sikkerhetsløsninger man skal vedlikeholde. I stedet kan man sette én linje, og verifisere på samme måte, uavhengig av lokasjon. Da kan man faktisk bli mer effektive, samt spare kostnader, ved at man slipper å vedlikeholde flere løsninger som skal verifisere brukerne.

Evensen forteller at de opplever at ledere ofte vil starte på en digitaliseringsprosess, men at sikkerheten blir glemt i prosessen.

– Når vi spør hva slags sikkerhetsløsninger de bruker på dette, viser det seg ofte at disse ikke snakker sammen. De løser bare problemet akkurat der de er. Så plutselig har den stakkars sikkerhetsansvarlige masse alarmer, som da flagger at det må gjøres noe her og der, så drukner de i informasjon. Da har man gått i samme fellen som vi gjorde for ti år siden, nemlig at vi lager et lappeteppe av løsninger som ikke snakker sammen, så de ansvarlige drukner de i informasjon, advarer han.

Med et slikt system blir det umulig for sikkerhetsansvarlig å vite hva som er en reell alarm, og hvor det må gjøres noe og ikke. Derfor predikerer Palo Alto Networks at det må være en samhandling. Dersom en persons laptop blir infisert må brannmuren som står foran bedriftens datasenter, cloudtjenesten, og alle applikasjoner bli varslet om at personen er infisert, og hva som er viruset. Da kan man begynne å skanne etter samme virus hos andre brukere, eller tjenester i sanntid gjennom en automatisert prosess. Dette kan ikke være en menneskelig reaksjon, det blir alt for sent da hackerne bruker automatiserte skytjenester som sitt domene.

– Vi er nødt til å ha samhandling mellom enhetene og applikasjoner, så disse kommuniserer. Denne samhandlingen eksisterer mange steder ikke, fordi vi har laget oss siloer. Disse har gjerne valgt de “beste” løsningene innenfor sitt domene, men disse snakker ikke sammen.

– Så tenker de at «vi har zero trust i Office 365», «vi har zero trust i Google Cloud», og «vi har zero trust på datasenteret», men det er ingen samhandling lenger, så det vil ikke vare en zero trust-løsning, for du kan ikke identifisere brukeren hele veien. Først må vi se at du er du, så må vi se hvilken enhet du er på, så må vi se hvilken applikasjon du skal inn på og om du får lov til å bruke den. Det må være uavhengig av hva du prøver å gjøre eller hvor du er, ifølge Evensen.

Dette skal du gjøre om du er usikker på om bedriften din er godt nok sikret

Er du usikker på om bedriften din er godt nok sikret, mener Evensen det er to ting du bør gjøre. Det første er å få en tredjepart inn for å ta temperaturen på sikkerheten i IT-miljøet. Da kan man kartlegge hva som må beskyttes først, og hvordan man legger en plan for å ha en sikkerhet som samhandler også andre steder. Hvilke løsninger dette er vil variere fra bedrift til bedrift, men prosessen bør være lik.

– Skal jeg være litt dommedagsprofet tror jeg dette blir mye verre, før det blir bedre. Derfor haster det. Dette krever en sterk sikkerhetsansvarlig, med myndighet til å gi klare instrukser til ledelsen. Denne personen må legge en klar plan for hvordan man sikrer hele bedriften.

– Skal du gjøre en digitalisering av arbeidsplassen din, koble for guds skyld på en sikkerhetsansvarlig tidlig i prosessen. Dette må ikke komme som en plasterlapp senere, de må være med når det skjer. Man må ha sikkerhet med på laget fra dag én, avslutter han.