Концепция Zero Trust актуальна, но не используется массово
Точных данных относительно того, сколько организаций внедряют Zero Trust (ZT - концепция нулевого доверия), нет. Однако владелец продукта "НОТА Купол. Управление" Святослав Дмитриев считает, что речь идет об около 20% крупнейших компаний: "По нашим оценкам, концепция Zero Trust известна большинству организаций, однако лишь около 20% крупнейших компаний уже приступили к внедрению ее элементов в ИТ-инфраструктуру". Руководитель направления центра компетенций по информационной безопасности "Т1 Интеграция" Валерий Степанов приводит оценку в 20-30% компаний, которые начали формально внедрять элементы ZT.
"При грамотной реализации ZT можно существенно повысить уровень кибербезопасности, но на пути внедрения кроется множество подводных камней. Поэтому многие компании двигаются в эту сторону, но медленно и довольно сегментированно", - считает начальник отдела по информационной безопасности компании "Код безопасности" Алексей Коробченко.
Концепция Zero Trust - стратегический подход к кибербезопасности, который подразумевает, что никакому условному пользователю и устройству не следует доверять, даже если они находятся внутри корпоративной сети.
По словам консультанта по инфобезопасности AKTIV.CONSULTING (АО "Актив-Софт") Владислава Крылова, все попытки доступа к ресурсам проходят проверку и аутентификацию вне зависимости от местонахождения.
При этом полного консенсуса относительно того, что относится к ZT, нет. "ZT - это не продукт, а концепция, и это создает почву для манипуляций как в одну, так и в другую сторону. Можно сказать, что ZT в чистом виде нет ни у кого. Но если в инфраструктуре есть служба каталогов, реализуется политика сменяемости паролей, присутствует сегментация доступов на уровне сети, то можно сказать, что ZT есть", - рассказал менеджер по продукту UserGate Client компании UserGate Виталий Даровских.
Концепция нулевого доверия появилась задолго до пандемии, но во время коронавируса началась вторая волна популярности, рассказал Алексей Коробченко. Опрошенные ComNews эксперты считают, что это связано с переходом на удаленную работу.
По словам экспертов, концепция популярна и в 2024 г., и тренд на дальнейшее ее распространение в будущем сохранится, учитывая расширение ландшафта угроз, увеличение числа кибератак и количества утечек данных, необходимость организаций соответствовать требованиям законодательства и нормативным актам, ускоренную цифровизацию, внедрение облачных сервисов и активный процесс импортозамещения. Валерий Степанов утверждает, что многие крупные компании и государственные учреждения активно изучают и внедряют элементы Zero Trust, однако на уровне малых и средних предприятий процесс менее заметен.
В будущем, по мнению Владислава Крылова, компании будут активнее внедрять автоматизацию и машинное обучение для улучшения процессов в рамках Zero Trust.
Препятствиями для внедрения ZT является нехватка ресурсов, недостаточная осведомленность организаций, наличие устаревших систем и технологий и необходимость проведения масштабных изменений в инфраструктуре и политике безопасности, считает Валерий Степанов.
"Поскольку внедрение концепции Zero Trust требует и инвестиций, и времени, и неизбежного ухудшения, по крайней мере на первых порах, пользовательского опыта, - обосновать пользу и необходимость ZT на уровне топ-менеджмента сложно, отчего она пока не получает широкого распространения", - считает Алексей Коробченко.
Виталий Даровских считает, что внедрению мешает то же, что и остальным ИТ инфраструктурным изменениям: несогласованность бизнеса, ИТ-департамента и ИБ-департамента, поиск возможностей "сэкономить" за счет отдельных элементов системы и др.
"Внедрение Zero Trust требует значимого ресурса. Во-первых, необходимо решить вопрос с сильным дефицитом кадров на рынке - реализовывать концепцию кому-то надо, и это требует определенных компетенций. Во-вторых, одной вовлеченности специалистов по ИБ мало, ведь ZT нельзя построить без ИТ - важно учитывать time to market и жесткие требования со стороны бизнеса. В-третьих, чаще всего каждая инфраструктура создается не с нуля и уже имеет разветвленную архитектуру с обширным наследием, что, естественно, влияет на бизнес и не может переконфигурироваться быстро", - рассказал директор по результативной кибербезопасности, Positive Technologies Алексей Трипкош.
Также эксперты назвали сложность интеграции ZT с уже существующими системами и процессами и сопротивление сотрудников.
Специалисты в области ИБ считают, что уход иностранных вендоров способствует развитию отечественных решений. Также внедрение ZT усложнилось, так как многие компании полагались на зарубежные решения в области кибербезопасности, по мнению Святослава Дмитриева. Виталий Даровских считает, что через год-два все вернется на прежний уровень.
"У зарубежных ИБ-решений был значительный плюс - более богатая, по сравнению с отечественными продуктами, функциональность. Поэтому внедрять концепцию ZT стало немного труднее, однако за последние два года российские вендоры значительно подтянулись. Не исключено, что в ближайшие несколько лет мы увидим более масштабную реализацию концепции ZT", - считает Алексей Коробченко.