Wdrożenie Zero Trust to podróż, a nie rewolucja

Z Sebastianem Gwiozdą, Senior Cybersecurity Architect w Trecom rozmawiam o: upadku klasycznego modelu bezpieczeństwa, który przestał działać w erze chmury i pracy zdalnej; strategii Zero Trust i jej kluczowych filarach: od weryfikacji tożsamości po mikrosegmentację, a także o tym, jak sztuczna inteligencja stała się bronią w rękach atakujących, wymuszając zmianę podejścia do ochrony danych. 

Dlaczego model Zero Trust zyskuje od pewnego czasu na znaczeniu? Czy klasyczne podejście do bezpieczeństwa nie ma już racji bytu?

Klasyczny model bezpieczeństwa, który można porównać do twierdzy z firewallem i VPN-em, opierał się na prostym założeniu: wszystko wewnątrz sieci jest zaufane. Ten model miał sens, kiedy pracownicy, dane i aplikacje znajdowały się fizycznie w jednym miejscu, w biurze i często na stacjonarnych komputerach. Dziś takie podejście po prostu przestało działać, ponieważ granice sieci całkowicie się zatarły.

Pracownicy łączą się z dowolnego miejsca, dane oraz aplikacje przeniosły się do chmury i rozwiązań typu SaaS, a do tego dochodzi eksplozja urządzeń IoT, które często są najsłabszym ogniwem całej architektury cyberbezpieczeństwa. W efekcie, stare podejście oparte na zaufaniu do sieci wewnętrznej stało się nie tylko nieskuteczne, ale wręcz niebezpieczne. Generuje bowiem ogromne problemy i uniemożliwia administratorom skuteczne zarządzanie oraz kontrolowanie tego, co dzieje się w organizacji.

Jak należy rozumieć działanie mechanizmów Zero Trust?

Zasadę działania Zero Trust można ująć w jednym zdaniu: „Nigdy nie ufaj, zawsze weryfikuj”. Trzeba jednak wyraźnie podkreślić, że koncepcja Zero Trust to nie pojedynczy produkt, a cała strategia bezpieczeństwa, w której domyślnie nikt i nic nie jest zaufane.

Wszystko zaczyna się od silnej weryfikacji tożsamości, najczęściej przez uwierzytelnianie wieloskładnikowe (MFA). Zaraz potem wchodzi zasada minimalnych uprawnień: użytkownik dostaje dostęp tylko do tego, co jest mu absolutnie niezbędne do pracy. Co kluczowe, zaufanie nie jest przyznawane na stałe. System ciągle weryfikuje, czy zachowanie użytkownika jest normalne, a w razie anomalii może natychmiast cofnąć dostęp.

Do tego dochodzi mikrosegmentacja, czyli tworzenie małych, odizolowanych stref w sieci. Dzięki temu, nawet jeśli atakujący przełamie jedną barierę, nie może swobodnie poruszać się po całej infrastrukturze, co drastycznie ogranicza potencjalne szkody.

Wszystkie te elementy spinają się w zdolność do automatycznej reakcji – gdy system wykryje zagrożenie, jest w stanie natychmiast podjąć działanie, na przykład blokując dostęp, zanim dojdzie do eskalacji ataku.

Czy rozwój AI, automatyzacji i agentów AI zmienia podejście do Zero Trust?

Nie tyle zmienia co wręcz wymusza jeszcze szersze i głębsze wdrażanie strategii Zero Trust. Sztuczna inteligencja jest bowiem narzędziem, które przynosi ogromne korzyści, ale jednocześnie stanowi potężne zagrożenie.

Z jednej strony pracownicy, korzystając z publicznych narzędzi AI, mogą nieświadomie doprowadzić do wycieku wrażliwych danych. Z drugiej – co ważniejsze – AI stało się bronią w rękach atakujących. Dzięki niemu potrafią oni błyskawicznie tworzyć i wykorzystywać na masową skalę exploity, gdy tylko pojawi się nowa podatność. Skoro tempo i skuteczność ataków tak dramatycznie wzrosły, model, który z definicji nikomu i niczemu nie ufa, jest dziś po prostu koniecznością.

Agenci AI mają coraz częściej dostęp do systemów i danych firmowych – jak Zero Trust może chronić przed nimi i zjawiskiem Shadow AI?

To bardzo aktualne wyzwanie. Musimy odróżnić firmowe modele AI od tzw. Shadow AI, czyli publicznych narzędzi, z których korzystają pracownicy bez wiedzy pracodawcy. Problem w tym, że firmy nie nadążają z zabezpieczeniami.

Przykładowo, pracownik w dobrej wierze może wkleić do publicznego chatbota treść maila, by go przetłumaczyć, nieświadomie udostępniając wrażliwe dane firmowe.

Filozofia Zero Trust nie polega na blokowaniu tych narzędzi, bo są one przydatne. Chodzi o odzyskanie kontroli. Nowoczesne systemy działają jak inteligentny strażnik: monitorują, co pracownicy wysyłają do AI i blokują wrażliwe dane. Co więcej, potrafią też analizować odpowiedzi od chatbota i zatrzymać je, jeśli naruszają politykę bezpieczeństwa firmy.

Jak Zero Trust wpisuje się w potrzeby związane z wdrożeniem NIS2/UKSC?

Dyrektywa NIS2 wymaga od organizacji wdrożenia odpowiednich środków technicznych do zarządzania ryzykiem, a filozofia Zero Trust jest praktycznie gotową odpowiedzią na te potrzeby. Jej kluczowe filary wprost adresują konkretne zapisy dyrektywy.

NIS2 kładzie ogromny nacisk na kontrolę dostępu i zarządzanie ryzykiem. Zero Trust realizuje to przez swoje fundamentalne zasady: obowiązkowe uwierzytelnianie wieloskładnikowe (MFA), zasadę najmniejszych uprawnień oraz ciągłą weryfikację tego, kto i w jakim kontekście łączy się z zasobami.

Podobnie jest z wymogami dotyczącymi ciągłości działania i raportowania incydentów. Dzięki pełnej widoczności, jaką daje Zero Trust, możemy znacznie szybciej wykrywać zagrożenia, co jest kluczowe dla raportowania. Z kolei dzięki mikrosegmentacji nawet jeśli dojdzie do ataku, jesteśmy w stanie drastycznie ograniczyć jego zasięg i zapobiec paraliżowi całej infrastruktury. Widać więc, że Zero Trust to spójna strategia, która pozwala skutecznie wdrożyć kluczowe wymogi regulacyjne.

Czy wdrożenie Zero Trust w kontekście wymogów NIS2 i KSC oznacza konieczność gruntownej przebudowy środowiska IT?

Absolutnie nie, i zawsze staram się to podkreślać. Wdrożenie Zero Trust to podróż, a nie rewolucja, która wymagałaby wyrzucenia dotychczasowej infrastruktury.

Kluczowe jest natomiast podejście iteracyjne. I ten proces musi zacząć się od absolutnego fundamentu: dogłębnego audytu tego, co faktycznie dzieje się w sieci. Zanim zaczniemy cokolwiek projektować, musimy zrozumieć nasz punkt wyjścia: jakie mamy zasoby, kto i dlaczego ma do nich dostęp oraz jakie luki już istnieją. Bez tej wiedzy dalsze działania to działanie po omacku.

Dopiero na postawie tych informacji możemy świadomie określić, które zasoby są najcenniejsze i stopniowo wdrażać polityki bezpieczeństwa, zaczynając od najbardziej krytycznych obszarów.

Co więcej, wiele organizacji nie zdaje sobie nawet sprawy, że posiada już fundamenty pod Zero Trust – takie jak choćby uwierzytelnianie wieloskładnikowe czy podstawowa segmentacja sieci. Często wystarczy tylko zmiana konfiguracji istniejących narzędzi lub dołożenie rozwiązania, które działa jak inteligentna nakładka na obecną infrastrukturę. To sprawia, że ta podróż jest osiągalna dla każdej firmy, niezależnie od jej wielkości i budżetu.

Jakie są najczęściej popełniane błędy podczas wdrażania podejścia Zero Trust?

Największym błędem jest traktowanie Zero Trust jak produktu do kupienia, a nie jak długofalowej strategii. Z tego fundamentalnego nieporozumienia wynikają kolejne, powiązane problemy:

• Po pierwsze, próba wdrożenia wszystkiego naraz, co zamiast stopniowej poprawy bezpieczeństwa, prowadzi do chaosu, frustracji użytkowników i przeciążenia zespołu.
• Po drugie – ignorowanie doświadczenia pracowników. Zbyt restrykcyjne i nieprzemyślane polityki prowokują do szukania obejść, co w efekcie osłabia całe zabezpieczenia.
• Kolejna kwestia to działanie „na ślepo” i pułapka uniwersalności. To chyba najczęstszy błąd – wdrażanie polityk bez wcześniejszej, dogłębnej inwentaryzacji zasobów. Prowadzi to do instalacji rozwiązania według gotowego szablonu, bez zrozumienia specyfiki firmy. W efekcie otrzymujemy system, który nie jest dopasowany do unikalnego ekosystemu organizacji i nie chroni jej tak, jak powinien.
• Wreszcie, błędem jest myślenie wyłącznie o sieci. Koncepcja Zero Trust to także tożsamość, urządzenia i dane. Zaniedbanie któregokolwiek z tych filarów pozostawia otwartą furtkę dla atakujących.

Wracając do Shadow AI – czy użytkownik nadal pozostaje najsłabszym ogniwem w bezpieczeństwie IT?

Zdecydowanie tak, człowiek jest też najczęściej atakowanym ogniwem. Ataki, zwłaszcza phishing wspomagany przez AI, stają się niemal niemożliwe do odróżnienia od autentycznej komunikacji.

Sam niedawno niemal padłem ofiarą takiego ataku. Czekałem na ważną przesyłkę i otrzymałem perfekcyjnie przygotowany mail o jej rzekomym zatrzymaniu przez służby celne. Uratował mnie wyłącznie nawyk – nigdy nie klikam w linki w takich wiadomościach, tylko loguję się do systemu przewoźnika przez zaufaną zakładkę. To pokazuje, jak łatwo o błąd, nawet przy dużej świadomości zagrożeń.

Dlatego wolę myśleć o człowieku nie jako o „najsłabszym”, ale „najczęściej atakowanym” ogniwie. To zmienia perspektywę: zamiast obwiniać użytkowników, trzeba budować systemy odporne na ich pomyłki. I tu właśnie wkracza idea Zero Trust, który jest projektowany z założeniem, że błędy będą się zdarzać. Jego zadaniem jest zablokowanie ataku lub ograniczenie jego skutków, nawet jeśli użytkownik kliknie w złośliwy link.

Jakiego rodzaju ataki są obecnie największym zagrożeniem dla firm?

Na czele obecnych zagrożeń dla firm stoi kilka kluczowych rodzajów ataków. Niezmiennie dominuje ransomware, często uruchamiany dzięki skutecznemu phishingowi, który pozostaje główną bramą do sieci firmowej. Coraz większym problemem stają się również ataki na łańcuch dostaw, gdzie przestępcy, zamiast atakować główny cel, kompromitują jego słabiej chronionego partnera. Wszystkie te metody często wykorzystują ostatni, kluczowy element – niezałatane podatności w oprogramowaniu, które dla atakujących stanowią otwartą furtkę.

A jeżeli chodzi o ataki bezpośrednio na użytkowników…

Jeśli chodzi o ataki na użytkowników, niekwestionowanym liderem jest phishing, który wykorzystuje socjotechnikę, aby grać na naszych emocjach: pośpiechu, strachu czy ciekawości. Tuż za nim plasują się ataki wykorzystujące słabe lub powtarzane w wielu serwisach hasła. Prowadząc szkolenia, często pokazuję listę najpopularniejszych haseł w danym roku i widząc uśmiechy na sali, wiem, że wiele osób właśnie zobaczyło na niej swoje hasło. To daje do myślenia i pokazuje, jak kluczowe jest używanie menedżerów haseł, z których wiele jest dziś dostępnych za darmo.

Największym wyzwaniem jest jednak to, że socjotechnika została turbodoładowana przez sztuczną inteligencję. Dzięki niej precyzyjnie przygotowany atak, idealnie dopasowany kontekstowo i pozbawiony błędów, staje się niemal niemożliwy do odróżnienia od autentycznej komunikacji.

W jaki sposób projekty związane z wdrażaniem Zero Trust wspiera zespół Trecom? Z jakich etapów składa się typowy projekt?

Trecom jako firma, jest na rynku już 25 lat, co daje nam ogrom skumulowanego doświadczenia przy naprawdę trudnych i złożonych projektach. Przez te wszystkie lata nauczyliśmy się, że nie ma jednego rozwiązania i do każdego projektu podchodzimy w sposób indywidualny – często proponujemy rozwiązania nieoczywiste, które okazują się optymalne technologicznie i kosztowo dla klientów.

Mogę z czystym sumieniem powiedzieć, że na tle innych firm wyróżniamy się naprawdę wysokimi kompetencjami i tym, że posiadamy wyspecjalizowane zespoły – osobne do audytu, projektowania i wdrożenia – dzięki temu, na każdym kroku z klientem pracuje ekspert.

Typowy projekt zaczynamy od dogłębnego audytu, by zrozumieć środowisko klienta i zintegrować posiadane już przez niego rozwiązania. Następnie projektujemy szytą na miarę architekturę i wdrażamy kluczowe elementy, takie jak MFA czy segmentacja sieci. Wdrożenie to jednak nie koniec – zapewniamy usługi, które długofalowo wspierają bezpieczeństwo klientów. Przykładowo, nasz własny, działający 24/7 Security Operations Center (SOC) może przejąć stały monitoring i reagowanie na incydenty, a całość uzupełniamy o wsparcie w zakresie zgodności z regulacjami, jak NIS2 oraz dedykowane szkolenia.

Wiem, że specjalizujesz się w rozwiązaniach Cisco. Jakie narzędzia w obszarze Zero Trust oferujecie w ramach tej technologii?

Cisco ma w portfolio kompletny zestaw narzędzi do budowy architektury Zero Trust. Podstawą jest weryfikacja tożsamości z Cisco Duo, które zapewnia silne uwierzytelnianie wieloskładnikowe (MFA). Bezpieczny dostęp z dowolnego miejsca gwarantuje z kolei chmurowa platforma Cisco Secure Access (SASE), łącząc w sobie funkcje ZTNA (Zero Trust Network Access), bezpiecznej bramy internetowej (SWG) oraz ciągłego monitoringu.

Za kontrolę dostępu do samej sieci odpowiada natomiast Cisco ISE, które działa jak inteligentny strażnik, weryfikując stan urządzenia przed połączeniem. Całość spina należący od niedawna do Cisco Splunk – potężna platforma SIEM, która działa jak centrum dowodzenia, analizując dane z całego środowiska i automatyzując reakcję na incydenty.

Co wyróżnia ofertę Cisco w kontekście inwestycji w Zero Trust – konkurencja pewnie jest spora?

To prawda, ale kluczowym wyróżnikiem oferty Cisco jest kompletne i zintegrowane portfolio, które opiera się na podejściu platformowym. Zamiast jednego rozwiązania, Cisco oferuje wiele wyspecjalizowanych systemów, które działają jak jeden, holistyczny organizm. Ta integracja pozwala na automatyczną reakcję – anomalia wykryta w sieci może natychmiastowo zablokować dostęp użytkownika w innym systemie.

Całość jest wzmacniana przez wiedzę zespołu Cisco Talos, jednej z największych na świecie grup analizujących zagrożenia. Dodatkowo, oferta Cisco jest gotowa na nowe wyzwania, posiadając dedykowane rozwiązania do ochrony przed zagrożeniami związanymi ze sztuczną inteligencją.

Portfolio jest więc nie tylko szerokie, ale i stale rozwijane. Co jednak kluczowe, wdrożenie Zero Trust w oparciu o technologie Cisco nie oznacza podejścia „wszystko albo nic”. To podróż, którą można zacząć, wykorzystując posiadane już rozwiązania. Mając system kontroli dostępu ISE, uwierzytelnianie Duo, czy nawet tylko firewall nowej generacji, można stopniowo uruchamiać kolejne funkcjonalności Zero Trust, budując bezpieczeństwo krok po kroku na bazie istniejącej infrastruktury.

O jakich ciekawych projektach możesz opowiedzieć?

Jednym z ciekawszych projektów jest wdrożenie dla dużej, międzynarodowej firmy z tysiącami użytkowników na całym świecie. Ich głównym wyzwaniem był przeciążony dostęp przez VPN, który wymuszał ciągłe i kosztowne inwestycje w nowe firewalle. W odpowiedzi wdrażamy rozwiązanie Cisco Secure Access, co pozwala firmie całkowicie zrezygnować z własnej infrastruktury VPN. Teraz pracownik, zamiast łączyć się z centralą w Warszawie, łączy się z najbliższym geograficznie centrum danych Cisco, co drastycznie skraca czas dostępu i poprawia komfort pracy. Dla użytkownika wszystko dzieje się automatycznie w tle, bez potrzeby ręcznego uruchamiania klienta VPN.

Jak mierzy się skuteczność wdrożenia filozofii Zero Trust?

Skuteczność Zero Trust mierzy się na kilku płaszczyznach. Po pierwsze, metryki incydentów – czy spadła ich liczba, czy skrócił się czas wykrycia i reakcji, czy ograniczony został zasięg potencjalnych naruszeń dzięki mikrosegmentacji. Po drugie, pokrycie wdrożenia – jaki procent zasobów objęty jest MFA, least privilege i ciągłą weryfikacją. Po trzecie, można oprzeć się na modelach dojrzałości, np. CISA Zero Trust Maturity Model, który ocenia postęp w pięciu filarach: tożsamość, urządzenia, sieć, aplikacje i dane. Na koniec – regularna walidacja przez testy penetracyjne i ćwiczenia red team, które weryfikują, czy kolejne warstwy zabezpieczeń faktycznie działają.

Jakie mogą być trendy w podejściu Zero Trust w najbliższych latach?

Absolutnie dominującym trendem będzie zastosowanie filozofii Zero Trust do ochrony sztucznej inteligencji. Rozwój AI jest niesamowicie szybki i jest to narzędzie, które może przynieść ogromne korzyści, ale jednocześnie stanowić potężne zagrożenie.

Dlatego w najbliższych latach zobaczymy mocne skupienie na dwóch obszarach. Po pierwsze, na ochronie przed niekontrolowanym wykorzystaniem zewnętrznych, publicznych modeli AI przez pracowników, czyli zjawiskiem Shadow AI. Po drugie, na zabezpieczaniu wewnętrznych, często niezwykle cennych modeli AI, które organizacje rozwijają na własne potrzeby. To będzie kolejny, naturalny krok w ewolucji tej strategii.