SIGURNOSNE POLITIKE

Američke agencije neće uspjeti implementirati sigurnosne politike nultog povjerenja do 2026.

Uz rujan 2024. krajnji rok za specifične zahtjeve nultog povjerenja za savezne agencije SAD-a koji se uspostavljaju, zahtjevi su široki za sve agencije

Američke agencije neće uspjeti implementirati sigurnosne politike nultog povjerenja do 2026.
Depositphotos

Prema Gartneru, do 2026. 75% saveznih agencija SAD-a neće uspjeti implementirati sigurnosne politike nultog povjerenja zbog nedostatka sredstava i stručnosti. Gartner definira nulto povjerenje kao sigurnosnu paradigmu koja polazi od baze povjerenja nijednom krajnjem korisniku, te eksplicitno identificira korisnike i dodjeljuje im točnu razinu pristupa potrebnu za obavljanje njihovog zadatka. Nulto povjerenje nije specifična tehnologija, proizvod ili usluga. Umjesto toga, to je skup principa sigurnosnog dizajna koji je u suprotnosti s tradicionalnim sigurnosnim pristupom temeljenim na perimetru.

"Uz rujan 2024. krajnji rok za specifične zahtjeve nultog povjerenja za savezne agencije SAD-a koji se uspostavljaju, zahtjevi su široki za sve agencije", rekao je Mike Brown, potpredsjednik analitičar u Gartneru. “Međutim, u skladu s drugim rokovima usklađenosti, agencije će se boriti da ispune te ciljeve. S obzirom na tipična kašnjenja u usvajanju saveznog proračuna u Kongresu, sredstva vjerojatno neće biti dostupna za inicijativu nultog povjerenja do drugog tromjesečja fiskalne 2024., što će omogućiti samo djelomičnu godinu za postizanje ciljeva.”

Iako se postignuća nultog povjerenja, ili nedostatak istih, mogu zabilježiti u revizijama, javno izvješćivanje o određenim detaljima napretka nultog povjerenja može biti ograničeno ili prikriveno. Time se želi izbjeći prepoznavanje slabijih aspekata vladine kibernetičke sigurnosti u korist zlonamjernih aktera. "Jedna od glavnih prepreka vladinim agencijama na njihovom putu nultog povjerenja je nedostatak vještina u području kibernetičke sigurnosti", rekao je Brown. Državne agencije su pred izazovom da se natječu s privatnim sektorom za osoblje s potrebnim vještinama. Kako bi se riješile te nestašice talenata, agencije bi trebale raditi istovremeno s ugovorima o uslugama, na prekvalificiranju postojećeg osoblja i zapošljavanju novog osoblja.”

Nepoštivanje rokova politike i dalje će ostavljati savezne agencije izložene rizicima koji se mogu ublažiti. “To bi moglo dovesti do prekida vitalnih državnih usluga ili ugrožavanja osjetljivih informacija, a oboje bi imalo značajan fiskalni utjecaj na rješavanje onoga što bi se moglo spriječiti”, rekao je Brown. “Sigurnosne povrede će se dogoditi jer čak ni najbolje implementacije kibernetičke sigurnosti nisu imune. Ipak, one agencije i njihovi CIO-ovi koji ne uspiju u potpunosti i odmah usvojiti mjere nultog povjerenja bit će podvrgnuti najnegativnijem ispitivanju. Povreda često katalizira fokus i ulaganje u ublažavanje, što je predvidljiva potreba.”