Przez lata wiele firm budowało bezpieczeństwo wokół granicy: biuro było „wewnątrz”, Internet „na zewnątrz”. Praca zdalna, aplikacje SaaS, prywatne urządzenia i chmura sprawiły, że taka granica przestała być wystarczająca. Konto księgowej zalogowane z domowego laptopa może mieć większy wpływ na firmę niż serwer stojący w szafie rack.
W artykule
Zero Trust to sposób podejmowania decyzji o dostępie
W praktyce chodzi o to, żeby każde żądanie dostępu oceniać w kontekście: kto się loguje, z jakiego urządzenia, do jakiego zasobu, z jakiej lokalizacji, z jakim poziomem ryzyka i czy dana osoba naprawdę potrzebuje tych danych. Dla małej firmy nie musi to oznaczać rozbudowanego systemu klasy enterprise. Pierwszy krok to spis kont, wymuszenie MFA, odebranie niepotrzebnych uprawnień i uporządkowanie administratorów.
Mapa dojrzałości Zero Trust w MŚP
Wykres pokazuje przykładowy priorytet działań dla firmy, która zaczyna od środowiska mieszanego: komputery pracowników, chmura plików, poczta i kilka systemów biznesowych.
Najwyższe wyniki mają działania, które można wdrożyć szybko i które ograniczają skutki przejęcia hasła.
Dlaczego MFA jest ważniejsze niż kolejny firewall?
Firewall nadal jest potrzebny, ale coraz więcej incydentów zaczyna się od przejęcia konta, phishingu, słabego hasła albo logowania do usługi chmurowej. Jeżeli napastnik zna hasło i nie napotyka drugiego składnika, może wyglądać jak legalny użytkownik. Dlatego ochrona tożsamości staje się pierwszą linią obrony.
Zero Trust bez spisu kont nie istnieje
Nie da się ograniczyć dostępu, jeżeli firma nie wie, jakie konta istnieją, kto jest ich właścicielem, które są administracyjne i gdzie są używane. Inwentaryzacja kont jest mniej efektowna niż nowe narzędzie, ale często ważniejsza.
Plan wdrożenia na 90 dni
Dobry plan dla MŚP powinien zaczynać się od działań, które nie dezorganizują pracy. Najpierw zabezpiecza się konta i odzyskuje widoczność. Później ogranicza uprawnienia i segmentuje zasoby. Dopiero na końcu wdraża się bardziej zaawansowaną automatyzację, warunkowy dostęp i integracje z monitoringiem.
| Etap | Działanie | Efekt | Ryzyko, które spada |
|---|---|---|---|
| Dni 1-15 | Spis kont, administratorów i usług zewnętrznych. | Firma wie, kto ma dostęp do czego. | Konta osierocone i niekontrolowani administratorzy. |
| Dni 16-30 | Wymuszenie MFA dla poczty, chmury i kont uprzywilejowanych. | Przejęcie samego hasła przestaje wystarczać. | Phishing i credential stuffing. |
| Dni 31-55 | Przegląd grup, folderów, ról i dostępów zewnętrznych. | Mniej niepotrzebnych uprawnień. | Wycieki z powodu zbyt szerokiego dostępu. |
| Dni 56-75 | Podział zasobów krytycznych i reguły dostępu. | Atak na jedno konto nie daje dostępu do całej firmy. | Ruch boczny i eskalacja uprawnień. |
| Dni 76-90 | Alerty, logi, procedura reakcji i test odtworzenia. | Firma szybciej widzi incydent i wie, co robić. | Długi czas wykrycia i chaos po zdarzeniu. |
Zasada najmniejszych uprawnień w praktyce
Najmniejsze uprawnienia nie oznaczają utrudniania pracy. Oznaczają, że pracownik ma dostęp do danych, których realnie potrzebuje, przez czas, w którym ich potrzebuje. Dobrze działają role działowe, dostęp czasowy do projektów i regularny przegląd uprawnień wykonywany razem z kierownikami, a nie wyłącznie przez IT.
Dobre praktyki
- Oddzielne konta administracyjne.
- Brak współdzielonych loginów.
- Dostęp projektowy z datą końca.
- Przegląd uprawnień co kwartał.
Sygnały ostrzegawcze
- Jedno konto admina używane do wszystkiego.
- Folder „wszyscy” z dokumentami wrażliwymi.
- Brak procedury po odejściu pracownika.
- Publiczne linki bez właściciela.
Segmentacja: mała firma też może ograniczyć zasięg incydentu
Segmentacja nie musi zaczynać się od skomplikowanej architektury. W małej firmie może oznaczać oddzielenie sieci gościnnej, komputerów biurowych, serwerów, systemów księgowych i backupu. Chodzi o to, aby problem na jednym laptopie nie dawał prostego dojścia do wszystkiego.
Zero Trust działa wtedy, gdy firma przestaje traktować zalogowane konto jako wystarczający dowód bezpieczeństwa.
Wniosek dla MŚP
Najlepszy start to nie wielki projekt, ale konsekwentna lista działań: MFA, spis kont, usunięcie starych dostępów, oddzielne konta adminów, ograniczenie linków publicznych, aktualizacje urządzeń, backup i podstawowy monitoring. Taki zestaw nie brzmi marketingowo, ale realnie zmniejsza powierzchnię ataku.
Źródła i punkty odniesienia:
- NIST SP 800-207 - Zero Trust Architecture - architektura Zero Trust oparta na ochronie zasobów, tożsamości i kontekstu dostępu.
- CISA Zero Trust Maturity Model 2.0 - model dojrzewania wdrożenia Zero Trust w obszarach tożsamości, urządzeń, sieci, aplikacji i danych.
- Era Informatyki - AI a cyberbezpieczeństwo - polski kontekst anomalii, phishingu, automatyzacji reakcji i rosnącej roli analizy zachowań.