
Dawniej sieci komputerowe przypominały średniowieczne zamki. Miały silne mury w postaci mocnych haseł i programów antywirusowych, ale gdy już dostałeś się do środka, system ufał ci bezgranicznie. Problem pojawił się, gdy cyberprzestępcy nauczyli się pokonywać tę początkową linię. Gdy już byli w środku, mieli swobodny dostęp do absolutnie wszystkiego. Po dostaniu się do wnętrza sieci uzyskiwali niemal nieograniczony dostęp do wrażliwych informacji, ponieważ przestrzeń wewnętrzna nie była już w żaden sposób podzielona ani chroniona. To przestarzałe podejście po prostu przestało nadążać za rzeczywistością i przestało działać.
Koncepcja Zero Trust, po polsku zero zaufania, wywraca całą przestarzałą ideę do góry nogami. Wychodzi z założenia, że zagrożenie może już realnie istnieć bezpośrednio wewnątrz środowiska firmowego. Tradycyjne systemy bezpieczeństwa sprawdzały użytkowników tylko przy pierwszym połączeniu, ale Zero Trust wymaga nieustannej weryfikacji. W praktyce oznacza to, że nikt i nic nie otrzymuje automatycznego zaufania tylko na podstawie tego, że jest już podłączony do sieci. Za każdym razem, gdy chcesz otworzyć jakiś plik lub uruchomić firmową aplikację, musisz ponownie potwierdzić swoją tożsamość i wykazać, że masz uprawnienia do danej konkretnej czynności. Uzyskanie dostępu do jednego jedynego dokumentu nie oznacza więc automatycznie, że możesz niezauważenie przeglądać resztę archiwum firmowego.
Dlaczego ta strategia stała się w ostatnich latach tak popularna? Głównym powodem jest to, jak zmienił się nasz styl pracy i korzystania z technologii. Ludzie nie pracują już wyłącznie przy komputerach stacjonarnych w biurach ze stałym łączem. Powszechnie pracujemy z domu, w podróży, łączymy się przez telefony komórkowe, a dane firmowe nie leżą już na jednym centralnym serwerze, lecz są rozmieszczone w różnych usługach chmurowych w całym internecie. Jasno wyznaczona granica sieci, którą można by łatwo chronić, w zasadzie przestała więc istnieć. Jedynym niezawodnym sposobem ochrony danych w tym rozproszonym środowisku jest nieustanne i bezkompromisowe weryfikowanie każdego pojedynczego użytkownika i każdego jego urządzenia przy każdym żądaniu.
Kolejnym powodem ogromnego rozpowszechnienia zera zaufania jest charakter współczesnych ataków cybernetycznych. Nowoczesne zagrożenia często wcale nie wyglądają jak masowe i widoczne ataki. Napastnik bardzo niepozornie zdobywa dane logowania jednego nieuważnego pracownika, a następnie w sieci podaje się za niego, aby nie wzbudzić podejrzeń. W starym modelu taki intruz po cichu skopiowałby wszystkie dostępne informacje. Architektura Zero Trust natychmiast jednak uniemożliwia mu ruch. Gdy bowiem ten rzekomy pracownik spróbuje czegoś nietypowego, na przykład otworzyć folder z księgowością, do którego nigdy wcześniej nie potrzebował dostępu, system staje się czujny. Ocenia to jako ryzyko, żąda dodatkowego potwierdzenia tożsamości z telefonu komórkowego, a jeśli go nie otrzyma, natychmiast blokuje dalszy dostęp. To właśnie dzięki tej logice zero zaufania stało się najskuteczniejszym sposobem ochrony współczesności.