Era ručnog upravljanja certifikatima završava: sigurnost podataka ulazi u novu fazu

Valjanost SSL/TLS certifikata u idućim će se godinama značajno skratiti, a prema trenutačnim planovima industrije do 2029. certifikati bi mogli vrijediti svega mjesec i pol dana. Na prvu to zvuči kao tehnička promjena koja zanima isključivo IT odjele, no posljedice bi mogle biti puno šire.

Kraći životni vijek certifikata znači da će organizacije morati višestruko češće obnavljati certifikate, rotirati enkripcijske ključeve i provjeravati sigurnosne politike kroz kompleksna IT okruženja koja danas često uključuju kombinaciju cloud servisa, lokalne infrastrukture, SaaS platforme i legacy sustave. Ono što se danas obavlja jednom godišnje, za nekoliko godina moglo bi postati kontinuirani operativni proces.

U praksi to znači više administracije, više automatizacije, ali i znatno veći rizik od pogrešaka. Neobnovljeni certifikat danas više nije samo tehnički problem, već potencijalni uzrok prekida poslovanja, pada servisa, sigurnosnih incidenata i compliance problema.

Upravo zato upravljanje certifikatima i enkripcijskim ključevima postaje jedna od ključnih tema enterprise sigurnosti. O tome kako se organizacije nose s rastućom kompleksnošću sigurnosnih sustava razgovarali smo s Ivanom Galićem, cyber security stručnjakom iz Alfatec Grupe koja je regionalni partner Thales sigurnosnih rješenja. 

„Velike organizacije danas upravljaju ogromnim količinama podataka koji se nalaze u različitim sustavima, okruženjima i slojevima infrastrukture, od hardvera i baza podataka do aplikacija i cloud servisa. Svaki od tih slojeva koristi vlastite enkripcijske ključeve i certifikate, što s vremenom stvara vrlo kompleksno kriptografsko okruženje“, objašnjava Galić.

Dodaje kako dodatni problem predstavlja kontinuirano skraćivanje roka valjanosti certifikata, zbog čega IT i sigurnosni timovi moraju sve češće pratiti njihovo obnavljanje, rotaciju i usklađenost s regulatornim zahtjevima. „Većina organizacija danas ima neku vrstu enkripcije, ali puno manji broj njih sustavno upravlja svojim ključevima i certifikatima. To su dvije potpuno različite razine sigurnosti“, upozorava Galić.

Prema njegovim riječima, upravo tu dolazi do izražaja potreba za centraliziranim upravljanjem kriptografskim sustavima kroz platforme poput Thales CipherTrust Managera, rješenja koje omogućuje jedinstveno upravljanje ključevima, sigurnosnim politikama i pristupnim pravima kroz različita IT okruženja.

 „Najveći problem koji danas vidimo kod organizacija je fragmentacija sigurnosnih politika. Tvrtke koriste više cloud platformi, različite sigurnosne alate i legacy sustave, pri čemu svaki od njih ima vlastiti način upravljanja sigurnošću. To otežava nadzor i povećava rizik od sigurnosnih propusta i neusklađenosti“, kaže Galić.

CipherTrust Manager omogućuje centralizirano upravljanje kriptografskim ključevima iz jednog sučelja, uključujući generiranje, pohranu, rotaciju i revizijske zapise, ali i automatizaciju procesa koji su se dosad često obavljali ručno.

„Kada se uspostavi automatizirana rotacija i obnova certifikata i ključeva, sustav sam prati rokove i provodi definirane sigurnosne politike. Time se značajno smanjuje rizik od ljudske pogreške i rasterećuju se IT timovi“, ističe Galić. Posebno naglašava kako je za enterprise korisnike danas ključno da nova sigurnosna rješenja ne zahtijevaju potpunu zamjenu postojeće infrastrukture.

„Organizacije ne žele ponovno graditi cijelu infrastrukturu. Prednost CipherTrust Managera je što se može integrirati u postojeće operativno okruženje uz minimalan downtime i bez narušavanja kontinuiteta poslovanja“, pojašnjava.

Sve to dodatno dobiva na važnosti u kontekstu regulativa poput NIS2 i DORA-e, koje od organizacija više ne traže samo formalnu dokumentaciju nego dokazive i kontinuirane sigurnosne procese.

„Compliance danas više nije pitanje papira. Organizacije moraju moći dokazati da zaista upravljaju sigurnosnim politikama, pristupima i ključevima kroz svakodnevno poslovanje“, kaže Galić.

Dodaje kako mnoge organizacije još uvijek podcjenjuju koliko će vremena i resursa biti potrebno za stvarnu prilagodbu novim regulatornim zahtjevima.  U cijeloj priči važnu ulogu imaju i partneri koji organizacijama mogu pomoći u implementaciji i dugoročnom upravljanju sigurnosnim sustavima. U Alfatecu ističu kako njihova suradnja s Thalesom traje više od 30 godina te da se kroz taj period razvila duboka ekspertiza u području kriptografije i enterprise sigurnosti.

„Thales je danas jedan od vodećih globalnih igrača u području cyber securityja i zaštite podataka. Osim što prati tržišne trendove, često ih i postavlja, posebno kroz razvoj novih tehnologija i akvizicije specijaliziranih sigurnosnih kompanija“, kaže Galić.

Dodaje kako Alfatecova pozicija na tržištu nije klasična upravo zbog izuzetno kvalitetnog i opsežnog partnerstva s Thalesom. „Naša pozicija nije samo distribucija tehnologije. Pomažemo savjetovanjem od inicijalne analize potreba i sigurnosne arhitekture pa sve do implementacije i dugoročne tehničke podrške. Organizacije danas trebaju partnera koji razumije kompleksnost enterprise okruženja, regulatorne zahtjeve i sigurnosne procese“, objašnjava.

Osim CipherTrust platforme, Alfatecovi stručnjaci rade i na drugim segmentima Thales portfelja, uključujući HSM sustave, High Speed Encryptore i druga rješenja za zaštitu podataka i upravljanje kriptografskim ključevima.

„Sigurnost podataka i upravljanje ključevima više nisu tema o kojoj se može razmišljati tek nakon incidenta. Kasnije reakcije gotovo uvijek znače veće troškove, veći operativni problem i ozbiljniju reputacijsku štetu“, zaključuje Galić.

Upravo zato tržište sve više ide prema centralizaciji i automatizaciji sigurnosnih procesa. Jer u vremenu u kojem certifikati vrijede svega nekoliko desetaka dana, ručno upravljanje kriptografijom jednostavno više neće biti održivo.