Implementacija Zero Trust arhitekture postaje zakonska obveza za kritičnu infrastrukturu unutar EU

Sigurnosna paradigma „vjeruj, ali provjeri“ službeno je mrtva u pravnom poretku Europske unije. Najnovije analize i službeni dokumenti objavljeni u zadnja dva dana jasno pokazuju da europski regulatori više neće tolerirati situacije u kojima hakeri probojem jedne vanjske obrambene točke dobivaju slobodan pristup cijeloj unutrašnjoj mreži neke organizacije. Koncept Zero Trust, koji se temelji na premisi „nikada ne vjeruj, uvijek provjeri“, prelazi iz domene preporučene najbolje prakse u domenu stroge zakonske obveze za tisuće poduzeća diljem kontinenta.

Prema novim smjernicama za tumačenje kibernetičke otpornosti unutar Europske unije, svaka organizacija koja se klasificira kao ključni ili važni subjekt mora implementirati neprekidnu autentifikaciju i autorizaciju za svaki pojedinačni pristup podacima ili aplikacijama, bez obzira nalazi li se korisnik unutar fizičkog ureda tvrtke ili se spaja s udaljene lokacije. To podrazumijeva obvezno uvođenje mikrosegmentacije mreže, naprednog upravjanja identitetima i pristupom (IAM) te kontinuiranog praćenja ponašanja uređaja u realnom vremenu.

Kazne za neusklađenost s ovim visokim standardima su drakonske i mogu iznositi do 10 milijuna eura ili 2% ukupnog godišnjeg prometa na globalnoj razini, no još važnija je odredba o izravnoj osobnoj odgovornosti članova uprave. Ako se utvrdi da je do uspješnog ransomware napada na bolnicu, elektroenergetsku mrežu ili telekom došlo zbog nepostojanja Zero Trust kontrola, menadžment može biti kazneno gonjen ili suspendiran s dužnosti, što je presedan u europskom digitalnom zakonodavstvu.