Cyber sigurnost danas i prije 10 ili 20 godina nije ista. Razvojem tehnologije i masovnim korištenjem digitalizovanih usluga proteklih decenija, rastao i broj cyber napada.

Nije se samo povećavao samo broj napada, napadi su postajali sve sofisticiraniji i nepredvidljivi. Nekada je važilo pravilo da je sve unutar IT sistema jedne kompanije, a što nije izloženo javno ili na Internetu, “sigurno”.

Isto je vrijedilo i za korisnike unutar IT sistema. Ranije se podrazumijevalo da je interni korisnik (npr. zaposlenik u kompaniji) po dobivanju prava pristupa IT sistemu “siguran” korisnik i da savjesno i odgovorno koristi sve IT resurse. Stoga, nakon prijave na sistem, korisnik je mogao da koristi IT resurse bez većih restrikcija i daljih provjera.

Korištenje softverskih rješenja, pogotovo komercijalnih, također nije bilo predmet sigurnosnih provjera, jer se podrazumijevalo da je njihov izvor “siguran”.

Međutim, mnogi incidenti, a pogotovo neki koji su se dešavali u zadnje vrijeme su pokazali da navedeni pricipi sigurnosti “da se nešto podrazumijeva da je sigurno” postaju neodrživi.

Cyber napadači čim uspiju ostvariti pristup internom IT sistemu jedne kompanije i otkriti kredencijale (privilegovanog) korisnika, usljed slabih restrikcija privilegija unutar samog IT sistema, uspijevaju dobiti pristup velikom broju kritičnih sistema i osjetljivim podacima kompanije, što u konačnici može ugroziti poslovanje kompanije.

Cyber napadači osim gore navedenog su otišli i korak dalje, pa je tako jedan od ekstremnih primjera i Solarwind napad. Cyber napadači uspiju ubaciti maliciozni kod u nadgradnju (update) Solarwind softvera, kojeg onda sve kompanije, koje legitimno koriste ovaj komercijalni softver, instaliraju u svoj IT sistem i time ugroze sigurnost svog informacionog sistema. Nijedna kompanija u tom slučaju nije napravila ništa pogrešno, nije prekršila nikakva sigurnosna pravila, osim što je “vjerovala” da je softver koji je dobila od proizvođača “siguran”.

To je razlog zašto se danas u sigurnosti govori o tzv. Zero Trust modelu, kažu nam stručnjaci za informacijsku sigurnost iz Addiko Bank Sarajevo, tj modelu čiji je slogan “nikad ne vjeruj, uvijek provjeri”. Vrijeme kad se podrazumijevalo da je nešto sigurno je prošlo. Stoga se kompanije, da bi očuvale svoje poslovanje, a time i siguran život zaposlenih i klijenata, okreću novom modelu i ulažu u tehnička rješenja i razvoj procesa kako bi bolje kontrolisale aktivnosti u IT sistemu, te zaštitile povjerljive informacije i IT resurse gdje se te informacije i nalaze.