Mit jelent a zéró bizalmi biztonsági modell?

A számítástechnikai eszközök fejlődésével és rohamos térnyerésével a számítógépes rendszerek, a számítógépes rendszerekben tárolt adatok biztonsági kérdései is fontos kérdésnek bizonyulnak. A kiberbiztonság területén is nagyon nagy előrelépés történt az elmúlt időszakban.

A túlkommunikált társadalmunkban egy-egy fogalom, amelyet egy szakmai közösség használ olykor eljut a szélesebb közönség köreibe és ilyenkor fennáll a lehetősége annak, hogy azt az emberek másképpen értelmezik.

Tipikusan ilyen, a számítógépes védelmi szakemberek, szoftverfejlesztők és más szakemberek által használt „ne bízz senkiben” kifejezés, amelynek alkalmazását, nem a hétköznapi értelemben vett, ember-ember közötti kapcsolat vonatkozásában kell értelmezni.

A „ne bízz senkiben” egy szoftverfejlesztési, kibervédelmi modell, amelyet alkalmazások fejlesztése, rendszerek telepítése, titkosítási eljárások során alkalmaznak szakemberek. Az alábbi cikkben kísérletet teszünk arra, hogy bemutassunk néhány olyan adatvédelemmel, számítógépes biztonsággal kapcsolatos kifejezést, amelyek meghatározták az elmúlt évtizedek kiberbiztonság területén végbemenő fejlődését.

Mit jelent a zéró bizalmi biztonsági modell?

A zéró bizalom biztonsági modell egy jelentős eltérés a hagyományos biztonsági modellhez képest, amely a szoftverfejlesztő és számítástechnikai szakemberek felhasználókhoz történő hozzáállását jelentik. A hagyományos modell szerint „bízz meg a felhasználóban, de ellenőrizd.” A zéró bizalom keretrendszer szerint „senkiben se bízz meg.”

A zéró bizalom biztonsági modell folyamatos ellenőrzést, a felhasználó folyamatos hitelesítését, engedélyezést és érvényesítést követel meg. Annak érdekében, hogy az alkalmazásokhoz, adatokhoz biztonságos hozzáférés biztosítson.

Akár hálózaton tárolt, akár a helyszínen található adatbankról legyen szó, a zéró bizalom stratégiájának megfelelően senkiben sem lehet megbízni és mindent ellenőrizni kell.

A zéró bizalom kifejezést első alkalommal Stephen Paul Marsh használta, 1994-ben. A Stirlingi Egyetem számítógépes biztonságáról szóló doktori értekezésében, került bevezetésre ez a fogalom, amelyben azt állítja, hogy a bizalom fogalma túlmutat az emberi tényezőkön.

2010-ben a zéró bizalom modell kifejezést John Kindervag, a Forrester Research elemzője a szigorúbb kiberbiztonsági programok és a vállalatokon belüli hozzáférés ellenőrzés jelölésére használta.

2018-ban megjelent a Zero Trust Architecture amely egy vállalat kiberbiztonsági terveként határozta meg a ZTA-t.

A „ne bízz senkiben” angol nyelvű rövidítése: TNO, egy szoftverbiztonsági kérdések megközelítésére használt modell. A modell arra tanít, hogy senkiben sem szabad megbízni, amikor egy alkalmazott titkosítási technológia mögötti kulcsuk tárolásáról van szó.

A tervezés filozófiája, hogy a titkosított kulcsok az azokat használó felhasználó kezében maradjanak. Tehát semmilyen külső fél nem férhet hozzá.

Az adatvédelem területén használt szakmai modelleket tehát a nem számítógép szakértő foglalkozású embereknek nem szabad a hétköznapi formában értelmezni. Mint láthatjuk, a fentiek során különböző titkosítási, védelmi, szoftverfejlesztési, számítógépes rendszerépítési szakmunka során használt kifejezésekről van szó.

Ezek a modellek, a folyamatos fejlődés következtében folyamatosan változnak, ami ennél is fontosabb, hogy ezek a modellek egy meghatározott keretben működnek, számítógép és felhasználó közötti összefüggésben.