logo

Zero Trust: De ce „încrederea” este cel mai mare risc de securitate pentru compania ta

  • noiembrie 17, 2025
  • Ionut

Vă securizați biroul cu o ușă metalică, un sistem de alarmă și camere de supraveghere. Acesta este perimetrul dumneavoastră fizic. În lumea digitală, echivalentul a fost, timp de decenii, firewall-ul: un „zid” digital puternic care separa rețeaua internă, „de încredere”, de internetul extern, „neîncrezător”. Acest model este cunoscut sub numele de „castel și șanț”.

Problema este că, odată ce un atacator (sau un angajat cu un cont compromis) trecea de poarta principală, avea acces liber în interiorul „castelului”. Putea să se plimbe nestingherit prin rețea, să acceseze serverul de contabilitate și să extragă contracte confidențiale. Ne bazam pe o premisă simplă: oricine este înăuntru este de încredere.

În 2025, această premisă nu este doar depășită – este de-a dreptul periculoasă.

Perimetrul tradițional s-a dizolvat. Angajații lucrează de acasă, din rețele Wi-Fi nesecurizate. Aplicațiile critice ale companiei rulează în cloud (Microsoft 365, Google Workspace, aplicații CRM). Mai mult, angajații accesează aceste date de pe dispozitive personale – o practică denumită BYOD (Bring Your Own Device).

Adăugați la aceasta riscul intern. Statisticile arată constant că multe breșe de securitate provin din interior, adesea de la un cont de angajat compromis. Un singur click pe un link de phishing este suficient pentru ca un atacator să fure o parolă și să devină, din perspectiva rețelei, o entitate „de încredere”.

Securitatea modernă nu mai poate fi bazată pe locația unui utilizator. Aici intră în scenă modelul Zero Trust (Încredere Zero). Este o schimbare fundamentală de paradigmă, rezumată într-un principiu simplu: “Never Trust, Always Verify”.

Demontarea miturilor: Zero Trust nu este un produs, este o strategie

Este esențial să clarificăm: Zero Trust nu este un produs magic pe care îl cumperi. Mulți furnizori îl promovează ca pe un firewall de ultimă generație, dar aceasta este o greșeală fundamentală. Zero Trust este o strategie de securitate, o filozofie care regândește fundamental modul în care acordăm accesul.

Această strategie se bazează pe trei piloni fundamentali:

  1. Verificarea explicită: Fiecare cerere de acces este tratată ca venind dintr-o rețea neîncrezătoare. Autentificăm și autorizăm fiecare cerere pe baza identității, locației, stării dispozitivului (este actualizat? are antivirus?) și detectării anomaliilor.
  2. Accesul pe baza privilegiului minim (Least Privilege): Zilele în care angajații aveau acces generalizat „pentru orice eventualitate” au apus. Utilizatorii primesc doar accesul minim necesar pentru sarcina lor curentă și doar pentru timpul necesar.
  3. Asumarea breșei (Assume Breach): Aceasta este cea mai importantă schimbare de mentalitate. Proiectăm rețeaua presupunând că un atacator este deja în interior. Obiectivul este să limităm drastic daunele pe care le poate face odată intrat.

Pentru a realiza acest lucru, Zero Trust folosește micro-segmentarea. Gândiți-vă la modelul tradițional ca la un castel cu un singur șanț exterior. Odată trecut, ai acces la tot. Micro-segmentarea construiește ziduri interne și uși încuiate în jurul fiecărei camere importante (visteria, arhivele). Chiar dacă un atacator intră în castel, este blocat pe hol. Dacă compromite un laptop de la marketing, nu se poate mișca lateral pentru a accesa serverul de finanțe.

Ce NU este Securitatea Zero Trust:

  • Nu este un singur produs. Este o arhitectură care integrează mai multe tehnologii (managementul identității, securitatea endpoint-urilor, segmentarea rețelei etc.).
  • Nu este același lucru cu un VPN. Un VPN tradițional te aduce înăuntrul perimetrului de încredere. Zero Trust te verifică constant, chiar dacă ești conectat prin VPN.
  • Nu înseamnă că nu aveți încredere în angajați. Înseamnă că nu aveți încredere în dispozitivele și conturile lor – care pot fi compromise fără ca ei să știe. Este o protecție pentru companie și pentru angajat.

Ghid practic: Cei 5 piloni acționabili pentru a construi o fortăreață digitală modernă

Adoptarea Zero Trust se traduce în pași tehnici concreți. Pentru un IMM din România, implementarea se concentrează pe cinci piloni esențiali.

Pilonul 1: Identitatea – „Cine ești?”

Identitatea este noul perimetru. Parolele sunt cea mai slabă verigă: ușor de furat prin phishing. Odată ce un atacator are o parolă validă, el este acel angajat.

  • Soluția (Ghid Practic):
    1. Autentificarea Multi-Factor (MFA): Acesta este pasul critic, non-negociabil. MFA este un sistem dublu de verificare: pe lângă parolă (ceva ce știi), ai nevoie de telefon (ceva ce ai). Implementarea MFA obligatorie pentru toate conturile (Microsoft 365, VPN etc.) este cea mai eficientă măsură. Folosiți o aplicație de autentificare (ex: Microsoft Authenticator), nu SMS, deoarece SMS-urile pot fi interceptate.
    2. Managementul centralizat al identității (IdP): Un IdP (Identity Provider) este un „serviciu de pașapoarte” digital. În loc de 10 parole diferite, angajații au un singur cont securizat (cu MFA). Servicii ca Microsoft Entra ID (fostul Azure AD) sau Google Identity devin panoul de control unic pentru toate accesele.

Pilonul 2: Dispozitivul (Endpoint) – „Cu ce te conectezi?”

O identitate validă pe un dispozitiv compromis este la fel de periculoasă. Gândiți-vă la laptopuri de acasă neactualizate sau telefoane personale (BYOD) cu aplicații nesigure. Un dispozitiv neconform este o poartă deschisă.

  • Soluția (Ghid Practic):
    1. Managementul Dispozitivelor (MDM): O soluție MDM acționează ca un „gardian”. Folosind unelte ca Microsoft Intune, puteți impune reguli minime. Un dispozitiv nu primește acces dacă nu este conform: disc necriptat (pentru ca datele să nu poată fi citite dacă laptopul e furat), sistem de operare vechi sau virusat.
    2. EDR (Endpoint Detection & Response): Antivirusul tradițional (paznicul cu o listă de fețe) este depășit. Soluțiile EDR monitorizează comportamentul (paznicul care observă un comportament suspect). Un EDR poate detecta dacă un fișier Word încearcă brusc să cripteze date (semn de ransomware) și poate bloca acțiunea și izola automat dispozitivul.

Pilonul 3: Rețeaua – „Cum limitezi mișcarea laterală?”

Trebuie să asumăm că un atacator va intra. Obiectivul este să-l blocăm. Majoritatea rețelelor sunt „plate”: odată conectat la Wi-Fi, un atacator poate scana și ataca orice alt dispozitiv.

  • Soluția (Ghid Practic):
    1. Micro-segmentarea: Începeți simplu: rețeaua Wi-Fi pentru oaspeți este o formă de segmentare. Aplicați același concept intern folosind VLAN-uri (pereți despărțitori digitali). Departamentul financiar trebuie să fie separat de marketing. Dispozitivele IoT (camere, termostate) trebuie să fie pe rețeaua lor izolată. Astfel, un atacator care compromite o cameră nu poate „sări” la serverul de contabilitate.
    2. ZTNA (Zero Trust Network Access): Este înlocuitorul modern pentru VPN. Un VPN tradițional este ca o cheie de la ușa principală (acces la toată clădirea). ZTNA este un card de acces care funcționează doar pentru biroul tău specific. ZTNA oferă acces granular, per-aplicație, fără a expune utilizatorul la întreaga rețea.

Pilonul 4: Aplicațiile și Datele – „Ce protejăm, de fapt?”

Nu toate datele sunt egale. O breșă pe datele financiare este o catastrofă. Problema este că, în timp, angajații acumulează drepturi de acces și, în scurt timp, aproape toată lumea are acces la tot.

  • Soluția (Ghid Practic):
    1. Clasificarea datelor: Identificați „bijuteriile coroanei”: datele financiare, datele GDPR, contractele. Știind unde sunt, le puteți proteja cu cele mai stricte controale.
    2. Principiul Privilegiului Minim (PoLP): Un angajat de la HR nu are nevoie de acces la serverul dezvoltatorilor. Un angajat de la marketing nu are nevoie de acces la softul de contabilitate. Acordați doar accesul minim necesar și revizuiți periodic aceste drepturi (ex: la fiecare 6 luni).

Pilonul 5: Monitorizarea și Răspunsul – „Cum știi că ești atacat?”

Nu poți opri ceea ce nu poți vedea. Multe companii descoperă o breșă de securitate de la clienți sau de la atacatori, nu de la sistemele lor. Timpul mediu de detectare a unei breșe este adesea de luni de zile.

  • Soluția (Ghid Practic):
    1. Vizibilitate totală (SIEM): O soluție SIEM funcționează ca un centru de comandă care colectează și analizează log-uri din toate sursele (firewall-uri, servere, cloud). Exemplu: Un utilizator se loghează din Cluj la 10:00 AM și, 5 minute mai târziu, din China. SIEM-ul detectează această „călătorie imposibilă” și generează o alertă de cont compromis.
    2. Automatizarea răspunsului (SOAR): Detectarea este doar jumătate din luptă. O soluție SOAR este „brațul” automatizat al SIEM-ului. Când SIEM-ul detectează alerta de „călătorie imposibilă”, SOAR poate bloca automat contul și izola dispozitivul, totul în câteva secunde, chiar și la 3 dimineața.

Complexitatea: Adevăratul cost al securității moderne

Implementarea celor 5 piloni este logică, dar să fim onești: este un proces tehnic extrem de complex și continuu. Aici, majoritatea IMM-urilor din România se confruntă cu o realitate dură. Managerii trebuie să își pună întrebări critice:

  • Cine are timpul și expertiza să configureze corect politicile de acces condiționat în Microsoft Entra ID?
  • Cine va selecta, implementa și gestiona soluția EDR pe zeci sau sute de dispozitive, multe dintre ele nefiind proprietatea companiei?
  • Cine va monitoriza alertele de securitate generate de sistemul SIEM 24 de ore pe zi, 7 zile pe săptămână? (Pentru că atacatorii nu lucrează doar de luni până vineri, între 9 și 5).
  • Cine se asigură că micro-segmentarea rețelei este făcută corect, astfel încât să blocheze atacatorii, dar să nu oprească producția?

Realitatea pieței din România este un deficit acut de specialiști în securitate. Chiar dacă o companie ar dori să angajeze o echipă internă, costurile de salarizare sunt prohibitive pentru majoritatea IMM-urilor.

Treci de la „încredere și speranță” la „verificare și reziliență”

Zero Trust nu este un proiect unic, ci o schimbare de mentalitate și un proces continuu. În lumea muncii hibride și a atacurilor ransomware, nu mai este o opțiune, ci o necesitate strategică.

Securitatea Zero Trust este complexă, dar nu trebuie să o implementați singuri. Majoritatea IMM-urilor nu au resursele necesare pentru a gestiona o strategie de securitate modernă 24/7.

La NetITworks, transformăm complexitatea descurajantă a Zero Trust într-o soluție gestionată, accesibilă și eficientă. Pachetele noastre de Externalizare IT și Soluții de Securitate sunt construite fundamental pe principii Zero Trust. Noi preluăm sarcina de a vă proteja activele, oferindu-vă protecție de nivel enterprise la un cost adaptat și predictibil pentru piața din România.

Nu așteptați ca o breșă de securitate costisitoare să vă demonstreze limitările modelului tradițional bazat pe încredere. Acționați proactiv.

Contactați echipa NetITworks astăzi pentru o discuție despre strategia dumneavoastră de securitate. Vom analiza infrastructura actuală, vom identifica vulnerabilitățile critice și vom descoperi împreună cum putem proiecta o strategie Zero Trust personalizată pentru a vă proteja activele critice și a vă asigura continuitatea afacerii.

 

Alte articole

logo white
Abonează-te la newsletter pentru a afla ultimele noutăți despre serviciile noastre.
Navigare
Info
Date de contact
ADRESĂ:
EMAIL:
Copyright © 2025 netitworks.ro - Toate drepturile rezervate.