Zajištění kyberbezpečnosti ve vysoce decentralizovaném prostředí vyžaduje novou filozofii. Jakou cestou se vydat, ukáže konference Cisco Day.
Ve středověku představoval nejbezpečnější útočiště opevněný hrad. Koncept hradu mnoho let celkem spolehlivě fungoval i jako řešení pro ochranu firemního IT prostředí. Stačila bytelná hradba firewallů. Už dávno to ale neplatí! Odhaduje se, že již zhruba tři čtvrtiny firemního provozu běží přes internet. Možná dokonce není příliš velkou nadsázkou tvrdit, že internet se vlastně stal firemní sítí. Velká část zaměstnanců pracuje v hybridním režimu a do firmy se připojuje zvenčí. Roste užívání veřejných cloudů, kde nejen běží aplikace, ale jsou tam ukládána i firemní data. Dále podniky hojně využívané SaaS (Office 365, Salesforce atd.). Současně vzniká plno firemních poboček s vlastní infrastrukturou, která je k centrále připojena nejen drahými MPLS linkami, ale stále častěji i přes internet.
V dynamickém prostředí, kdy „všichni“ komunikují „odkudkoli“ „kamkoliv“, nemá smysl stavět vyšší nebo silnější hradby. Velká, nebo dokonce zcela podstatná část dění se totiž odehrává vně hradeb.
Firma, která se chce účinně bránit hackerským útokům, tedy potřebuje nejen hradby, ale musí patřičně obrnit i všechny své rytíře, kteří se pohybují venku. Musí chránit zaměstnance, data a aplikace. Protože nefunkční aplikace znamenají otrávené zaměstnance a odcházející zákazníky. Ukradená data stojí miliony a ohrožují vaši reputaci.
Houstone, máme problém
To, že máme problém ostatně potvrzují i statistická data. Takže pár čísel pro dokreslení. Podle průzkumu Cisco Security Outcomes Report, mělo v uplynulých dvou letech bezpečnostní incident 60 procent firem. A u 40 procent z nich to mělo za důsledek trvalé pověsti značky. Ani Česko není výjimkou. Podle jiného šetření, které Cisco loni prováděla mezi tuzemskými IT experty, je jen méně než třetina firem schopna poskytnout vzdáleným pracovníkům podporu a diagnostikovat vzniklé problémy „end-to-end“ od zařízení uživatele až do firemní sítě. A tak by se dalo pokračovat.
Bezpečnost na cestě k lidem a datům
V decentralizovaném prostředí se otevírají hackerům desítky skulin pro neoprávněný vstup do firemní sítě. Ukradnou nebo zašifrují data, ochromí chod firemních aplikací. A chtějí peníze, velké peníze. Je naivní v decentralizovaném prostředí spoléhat na antivirus v notebooku a firewall. Je třeba chránit firemní data, zaměstnance a aplikace.
Tento princip společnost Cisco zhmotnila do bezpečnostní architektury Cisco SASE (Secure Access Servise Edge). SASE je koncept, který slučuje funkce síťového připojení a zabezpečení do jedné komplexní služby. Zajišťuje bezproblémové a bezpečné připojení každého uživatele ke každému cloudu. Sníží provozní náklady, zlepší flexibilitu a výkon sítě a přesune bezpečnost blíž uživatelům. Zabezpečení tak na své cestě následuje lidi a data. Dva základní aspekty konceptu SASE jsou vlastně obsaženy již v jeho názvu: Secure Access reprezentuje zabezpečení připojení, Service Edge pak posunutí bezpečnostního perimetru blíž k uživateli.
Poskládejte si bezpečnost
Implementovat SASE ovšem není stejné jako koupit housku na krámě. Nemůžete prostě chtít „jedno SASE“, protože konkrétní podoba bude u každé firmy trochu jiná. Nasazení závisí na již existující infrastruktuře. Některé prvky cloudové bezpečnosti nebo softwarově definované sítě totiž již mnoho podniků provozuje. Technologicky zahrnuje SASE několik komponent, které na sebe navazují nebo se doplňují. Půvab SASE tedy spočívá v tom, že jde o skladbu různých služeb, které si může zákazník postupně nastavit a spouštět. Využívá je jako cloudovou službu a nemusí tedy investovat do žádného hardwaru.
Na trhu působí řada dodavatelů, kteří umí nabídnout jednu nebo několik SASE komponent. Ty by ale měly být v optimálním případě integrovány do jednotné architektury. Firmy totiž dnes mají často desítky různých bezpečnostních nástrojů a řešení, což činí celé prostředí velmi složité. I proto Gartner ve své loňské studii předpokládá, že do roku 2025 bude zhruba 2/3 firem svá SASE řešení konsolidovat na jednoho, maximálně dva dodavatele. Přitom Cisco je jednou z mála společností, která dokáže nabídnout integrované single vendor SASE řešení.
Nové zákonné požadavky
Reakcí na změněnou bezpečnostní situaci je i evropská kyberbezpečnostní norma NIS2, kterou budou muset nejpozději v příštím roce dodržovat i české podniky. Jejím cílem je zajistit vysokou úroveň kybernetické bezpečnosti napříč EU a v Česku se dotkne minimálně 6000 firem. Směrnice se vztahuje na podniky od střední velikosti (50 zaměstnanců, 10 milionů eur roční obrat) ve vybraných oborech. Vyhovět NIS2 bude od domácích společností vyžadovat nejen technologické investice, ale také například provést analýzu bezpečnostních rizik, vytvořit bezpečnostní týmy a zpracovat bezpečnostní politiku. Povinné bude také podávat Národnímu úřadu pro kybernetickou a informační bezpečnost hlášení o incidentech.
Témata moderní kyberbezpečnosti a nové legislativy podrobně rozebere konference Cisco Day, která proběhne 13. června v Praze. Přijďte si zdarma poslechnout, jak se můžete vydat na cestu k SASE a jak se připravit na nové zákonné požadavky!