Det lyder så uvenligt, men det er i kort form hovedbudskabet i en Zero Trust modellen som anbefales af de førende eksperter.

Men hvad betyder det i praksis, og hvordan implementerer man denne strategi?

Den gamle strategi var trust-but-verify, hvor vi i udgangspunktet stolede på en bruger, hvis de havde adgang. Det tør vi ikke basere vores sikkerhed på længere.

Zero Trust bygger på 3 principper:

1. Assume breach

2. Verify explicitly

3. Least privilege access

Lad os se lidt nærmere på principperne.

Asume breach

Dette er på mange måder et mindset. I stedet for at antage vi i udgangspunktet ikke er i fare, antager vi med assume breach at vores netværk, servere og applikationer er sårbare og at vi højst sandsynlig allerede er under angreb.

Dette er en vigtig forudsætning, som bringer os ud af vores comfortzone og tvinger os til at tænke proaktivt.

Verify explicitly

Dette princip betyder at vi skal verificere brugernes adgang ud fra alle tilgængelige parametre og datapunkter fx enhed, lokation, enhedsstatus, data som der ønskes adgang til og sågar brugerens adfærd. Denne verificering skal ske løbende.

Least privilege access

Dette princip betyder at vi skal sikre at brugere kun har de nødvendige rettigheder, men ikke nok med det, vi skal også sikre at de kun har dem når det er krævet. Her taler vi om Just-In-Time and Just-Enough Access (JIT/JEA).

Jo mere omfattende rettigheder vi taler om, jo vigtigere er det.

Men Zero Trust principperne gælder for alle entiteter - det vi også kalder sikkerhed i dybden.

• Brugerkonti, 2-faktor, rettigheder

• Enheder, overvågning, antimalware, opdatering

• Applikationer, kun godkendte, roller, opdaterede

• Data, klassificerede og krypterede samt logning af adgang

• Infrastruktur, konfiguration og adgang, samt overvågning

• Netværk, patches, segmenteres og overvåges

Så som du kan se, er det nødvendigt ikke at stole på nogen. Zero Trust er en god model/tjekliste når du arbejder med den tekniske IT-sikkerhed.

Vi bruger Zero Trust modellen i vores arbejde med IT-sikkerhed. Skal vi hjælpe din virksomhed?

Mange tror fejlagtigt at bare deres data og systemer ligger i skyen, så er IT-sikkerhed en andens ansvar. Men her tager de grueligt fejl.

Kender du ”shared responsibility” modellen?

Modellen beskriver I sin enkelthed ansvarsfordelingen mellem en cloud-udbyder og kunden på de forskellige services. Se figur 1.

Bemærk at kunden ALTID har ansvaret for følgende:

• Informationer og data (dvs. også backup)

• Enheder – dvs. sikkerhed på de fysiske enheder der anvendes inkl. antimalware

• Konti og identiteter, herunder brugere og deres rettigheder

Kører man systemer on-premise giver det sig selv at man påtager sig et langt større ansvar for IT-sikkerhed end hvis man anvender hosting eller cloud. Men det er dog vigtigt at mærke sig at de allervigtigste ting han man stadig selv ansvaret for.

Lad os lige tage de enkelte punkter:

Informationer og data

Cloud-udbyderen tilbyder en service fx ERP, CRM, projektstyring, kontorplatform. Men DU har ansvaret for de data og informationer du importerer eller opretter i systemet.

Det gælder både

• når én af dine brugere ved en fejl sletter data.

• hvis du bliver udsat for et ransomware angreb

• når leverandøren ved en fejl kommer til at slette dine data eller bliver lagt ned i en længere periode

Her skal du naturligvis tænke på backup. Gerne en backup der er helt uafhængig af din udbyder og hostingpartner, da det jo i værste fald er dem der er eller har problemet.

Tænk også i muligheden for at lave delvis genetablering (restore), typisk vil det kun være en del af dine data du mister. Oftest tilbyder cloud-tjenester at gå tilbage til et snapshot. Men den pris kan være for høj, for dermed mister du alle de ændringer der er foretaget siden dit genindlæsningspunkt.

Enheder

Naturligvis har du selv ansvaret for dine pc’er og mobile enheder. Så her er det afgørende med en god antimalware løsning. Det er ikke her du skal spare.

Men tænk også på dine mobile enheder.

Konti og identiteter

Dine medarbejdere og brugerkonti har du ansvaret for. Herunder også de brugere med administrative rettigheder.

• Hvor mange brugere har alt for mange rettigheder på dine løsninger?

• Hvad med dine samarbejdspartnere og konsulenter?

• Hvad med 2-faktor login og kvaliteten af dine brugeres passwords?

Der er mange IT-sikkerhedsrelaterede udfordringer her.

IT-sikkerhed handler om at minimere risikoen for at blive udsat for brud på fortrolighed, integritet af data og tilgængelighed.

Og du har selv det største ansvar!

Du har hørt det før, du ved det godt. Når uheldet er ude eller de IT-kriminelle har taget dine data som gidsel - så har du kun backup’en at falde tilbage på.

Men alligevel ser vi gang på gang at der tages for let på backup-procedurerne. Og flere rapporter indikerer at op imod 80% af virksomheder der er ramte af ransomware angreb ender med at betale "dummebøden".

Men hvad er en god backup procedure?

I mange år har best-practise være backup-modellen 3-2-1, og den holder til dels stadig.

3-2-1 = 3 kopier af data, på 2 forskellige medier, hvoraf 1 medie opbevares offline.

Modellen siger altså, at du skal have 3 separate kopier af data, hvor den primære er dine produktionsdata.

De 2 forskellige backups skal lagres på 2 forskellige medier. Dette stammer fra de gode gamle dage, hvor backup ofte blev gemt på bånd.

Af de 2 medier, skal den ene opbevares offline og man kan med fordel tilføje off-site.

I dagens komplekse verden anvender vi altså stadig en backupstrategi fra IT-teknologiens barndom.

Men en del har trods alt ændret sig.

I dag er vores data spredt ud over flere forskellige cloud-tjenester og datamængderne kan være meget store. Ligesom mange virksomheder i dag har åbent 24/7.

Det kan derfor være vanskeligt at nå at tage fuld backup af alle data fx i løbet af natten. Samtidig ønsker vi måske at tage backup meget ofte - fx hvert kvarter, så vi mister mindst mulige data.

Her taler vi om RTO og RPO.

RTO - Recovery Time Objective

Det er et mål for den tid vi vil acceptere det tager at reetablere vores data, ud fra en backup. Oftest udtrykt i timer - en RTO på 6 timer betyder at vi accepterer at det kan tage op til 6 timer at reetablere vores systemer fra en backup ved tab af data.

RPO - Recovery Point Objective

Det er den tid vi maksimalt accepterer at miste data ved behov for at indlæse en backup. RPO udtrykkes normalt også i timer.

Lad os antage at vi tager natlige backups af vores data kl. 2.00 om natten.

Sker vores “uheld” så kl. 14.00 om eftermiddagen bliver vores RPO altså 12 timer. Vi mister altså maksimalt ca. 12 timers data - som brugerne skal genindtaste - hvis det er muligt.

Sker skaden derimod midnat mister vi 22 timers data.

Vores maksimale RPO er altså ca. 24 timer, som er logisk nok, da vi jo netop tager en backup pr. døgn.

For at undgå sådanne lange RPO tider taler vi om at tage løbende eller inkrementelle backups - hvor vi oftere og løbende tager kopi af ændringer i data. Fx hvert kvarter, eller hver gang data ændrer sig. På denne måde bliver vores RPO meget mindre. Måske tæt på nul.

RTO og RPO skal ledelsen forholde sig til - hvad kan og vil vi acceptere?

Måske tænker du “Jamen, mine data ligger jo i skyen, Microsoft tager vel backup?”

Det er til dels korrekt, men de fleste cloud-udbydere pointerer at data er kundens ansvar. Du betaler for en service og det er ikke leverandørens ansvar at beskytte dig fra brugerfejl og hackerangreb.

Og måske skal du netop bruge backup’en fordi din leverandør er nede eller har lavet en kæmpe fejl.

Derfor er det også vigtigt at den ene af dine 2 forskellige backups er uafhængig af dine cloud og hostingpartnere. Hvis problemet er dem, hvordan kan du så stole på at kunne få adgang til dine data?

Kravet om at den ene backup skal være offline er også stadig aktuel. I gamle dage tog sekretæren nattens bånd med hjem i tasken og satte et nyt i båndoptageren. Og denne praksis har reddet mange virksomheders data fx når fabrikken i løbet af natten er brændt ned til grunden.

Mange praktiserer stadig at tage fx en USB-harddisk med hjem i privaten og det kan bestemt være et godt supplement for mindre virksomheder. Men det er ikke den optimale løsning og modellen understøtter også ofte en uacceptabel lang RPO - hvor gammel er din "aktuelle" USB-kopi?

Bedre er det at have en sekundær backup i skyen som er helt uafhængig af virksomhedens lokation, hostingpartnere og cloud-udbydere.

Fordi truslen fra IT-kriminelle og ransomwareangreb er så aktuel, er det også vigtigt at kryptere backups og beskytte dem fra kompromittering og sletning.

I dag findes der sofistikerede real-time backup-løsninger, men det er stadig godt at tænke worst-case igennem og anvende de gode dyder fra 3-2-1 modellen.

Sidst - men ikke mindst - husk at øve og teste indlæsning af dine backup. Dette bør ske periodisk, fx kvartalsvist. Det gælder om at validere at backup er korrekt, at vores forventede RPO og RTO er realistiske og at vores medarbejdere kan finde ud af at genetablere data og systemer - helt eller delvist.

Har du ikke styr på din backup strategi eller er du bare usikker på om din nuværende er hensigtsmæssig? Så kontakt os for en dialog om backup, vi tilbyder også at hjælpe med at teste din backup.

Vi tilpasser vores ydelser til din virksomhed, så du kan roligt henvende dig - hvad enten din virksomhed er stor eller lille.