דוח: יורחב יישום שיטת אפס אמון בארה"ב

This post is also available in: English (אנגלית)

גישת אפס אמון (Zero-Trust) הוא מונח מתחום ה-IT והגנת סייבר, שמאפיין גישה לעיצוב ויישום רשתות IT. בבסיס הגישה עומד הרעיון כי לא ניתן להסתמך כברירת מחדל על מכשירים ברשת, והיא דוגלת באימות הדדי ללא קשר למיקום, ואישור גישה ליישומים ושירותים רק על סמך אמון זהות המכשיר ובריאותו במקביל לאימות משתמשים.

לפי דוח אחרון מטעם המועצה שמייעצת לביטחון לאומי לתקשורת בממשלה הפדרלית של ארה"ב, כדי שגישת האפס אמון תבחן בצורה מלאה, ולמרות שרוב הסוכנויות הפדרליות בארה"ב רק מתחילות לבחון את הגישה, יש להרחיב את התכנון ולקבוע מטרות לטווח ארוך. הדוח, אשר נשלח לנשיא ביידן בסוף חודש פברואר, מכיל מספר המלצות ספציפיות שמפרטות באילו דרכים ניתן לעקוב אחר התפתחויות אימוץ הגישה, וטוען כי ההטמעה הרחבה של עקרונות האפס אמון בממשלה ובתעשייה מייצגים לא רק שינוי פרדיגמה בטכנולוגיה, אלא גם שינוי תרבותי בגישה שלנו בכל הנוגע לאבטחת סייבר.

לפי federalnewsnetwork.com, מבין ההמלצות המפורטות בדוח קיימת קריאה להקמת משרד אזרחי בגישת אפס אמון, תחת הסוכנות לאבטחת הסייבר והתשתיות. משרד זה עתיד לרכז הנחיות יישום, ארכיטקטורות התייחסות, קטלוגים שונים, מודולי הדרכה, וישמש גם כמרכז מצוינות לניהול ידע ממשלתי ואזרחי בגישת האפס אמון. משרד זה יהווה מקבילו האזרחי של משרד ההגנה בגישת אפס אמון שהוקם לאחרונה (Defense Department Zero Trust Program Office), ויעבוד עמו בתיאום מלא ובשיתוף שיטות עבודה.

נוסף על כך, הדוח גם ממליץ לממשלת ארה"ב לאמץ ולפתח סטנדרטים בשלים יותר, לצד הנחיות מגובשות שנוגעות לגישת האפס אמון, ולהגביר את שיתופי הפעולה עם התעשייה וגופי הסטנדרטים הבינלאומיים בכדי לגבש סטנדרטים אחידים וקבועים בגישת האפס אמון. פיתוחם ואימוצם של סטנדרטים אלה הוא קריטי, וניתן לעשות בהם שימוש כדי למדוד ולקבוע האם יש צורך לשנות רגולציות, או האם התוכנית מתקדמת כפי שצפוי. נוסף על כך, גם הממשלה תוכל לעשות שימוש בסטנדרטים שיקבעו כדי להעריך הצלחתן של יוזמות שונות.