Infrastruktura javnih ključeva (PKI) ostaje temelj gotovo svakog IT sigurnosnog okruženja. No, iako tehnologija sazrijeva, novi slučajevi upotrebe i rastući zahtjevi za usklađenošću stavljaju nove izazove pred profesionalce za informacijsku sigurnost koji su zaduženi za upravljanje implementacijom PKI.
Ovo je ključna tema, koja proizlazi iz Studije o globalnim PKI i IoT trendovima za 2022. koju je proveo Institut Ponemon, a sponzorirao Entrust, globalni lider za pouzdano plaćanje, identitete i digitalnu infrastrukturu.
U istraživanju su prikupljene povratne informacije od više od 2500 IT stručnjaka iz cijelog svijeta – od CISO-a i CIO-a do IT sigurnosnih menadžera – od kojih su svi naveli da su uključeni u poslovnu infrastrukturu javnih ključeva svoje organizacije.
Kada govorimo o zaštiti podataka, obično se misli na enkripciju. No, nije dovoljno samo enkriptirati svoje podatke kako biste ih zaštitili u povezanom okruženju.
Studija je otkrila da, iako su glavni slučajevi upotrebe za PKI i dalje tradicionalni, kao što su TLS/SSL, osiguravanje VPN-a i privatnih mreža te digitalno potpisivanje, na usvajanje PKI-ja najviše utječu zakonodavni okvir i noviji slučajevi upotrebe – kao što su usluge temeljene na oblaku i IoT. To potvrđuju timovi za IT sigurnost, koji izvještavaju o rastućoj potražnji za PKI-jem koju potiče zakonodavni okvir – na najviše mjesto ih je postavilo 31% ispitanika u odnosu na 24% prethodne godine – te BYOD-om i internim upravljanjem uređajima, čija se važnost više nego udvostručila s 11% u 2021. na 24% u 2022.
Pa ipak, organizacije se i dalje bore s primjenom resursa potrebnih za učinkovito upravljanje njihovim PKI implementacijama, pri čemu 64% ispitanika navodi nedovoljne resurse, nedostatak vještina i nepostojanje jasnog vlasništva kao prva tri izazova koja bi omogućila aplikacijama da koriste PKI – znatno više od 51% zabilježenih u prošlogodišnjem istraživanju. Naglašavajući potrebu za resursima, gotovo polovica (48%) identificirala je 'nedostatak vidljivosti aplikacije koja će ovisiti o PKI-ju', što je porast s 34% u 2021. Također, došlo je do još jednog skoka - s 35% ispitanika koji su identificirali zahtjeve kao previše fragmentirane ili nedosljedne, u odnosu na 28% u 2021. godini.
Izazovi i mogućnosti
!Kada je riječ o postojećim implementacijama PKI-ja, najveći izazov i dalje je sposobnost podrške novim aplikacijama – navelo ju je 41% ispitanika – kao i nedostatak uvida u sigurnosne mogućnosti postojećeg PKI-ja (29% ispitanika). Činjenica da organizacije nemaju odgovarajuću tehnologiju za osiguravanje novih slučajeva upotrebe ili možda ne znaju je li njihov PKI sposoban za to je zabrinjavajuća, no ne i iznenađujuća, s obzirom na to da je samo 38% organizacija reklo da ima zaposlenog stručnjaka za PKI.
"Tri glavna izazova u implementaciji i upravljanju PKI-jem nisu se promijenila od početka provođenja ovog istraživanja do danas", rekao je dr. Larry Ponemon, predsjednik i osnivač Ponemon instituta. „No, gledajući neke od trendova kroz vrijeme, dobivamo sliku krajolika koji i dalje prepoznaje važnost PKI-ja, ali stalni razvoj slučajeva upotrebe i zahtjeva usklađenosti znači da organizacije pokušavaju trčati, no stoje u mjestu. Nedostatak kvalificiranog i iskusnog osoblja koje bi pomoglo u ublažavanju ovog pritiska sve se više osjeća, te u mnogim slučajevima nejasno vlasništvo nad tvrdoglavo zatvorenim poslovnim strukturama.”
Uloga IoT-a
Budući da je IoT istaknut kao primarni trend i glavni pokretač promjena, nije iznenađujuće da je skalabilnost milijuna upravljanih certifikata i dalje najvažnija PKI mogućnost za zapošljavanje u IoT-ju. Dok je skalabilnost rangirana kao najvažnija sposobnost, njezina se važnost smanjila s 53% ispitanika u 2018. na 39% ispitanika u 2020. Sposobnost potpisivanja firmvera za IoT uređaje porasla je s 27% ispitanika u 2021. godini na 33% u 2022. – naglašavajući kritičnu potrebu za osiguranjem sigurnosti i povjerenja u ove povezane uređaje.
Stoga se postavlja pitanje kako će se PKI koristiti za podršku pristupnim podacima za IoT uređaje. Prema ispitanicima, u sljedeće dvije godine prosječno 44% korištenih IoT uređaja oslanjat će se prvenstveno na digitalne certifikate za identifikaciju i autentifikaciju. Nešto više od trećine (35%) ispitanika vjeruje da će, kako IoT nastavlja rasti, podržavanje implementacije PKI-ja za pristupne podatke IoT uređajima biti kombinacija temeljena na oblaku i temeljenog na proizvođaču – što predstavlja pad s 42% u 2021. godini.