הרשות להגנת הפרטיות מנחה: מעבר לענן בצורה מושכלת ומאובטחת

חן בורשן, מנכ״ל סקייהוק סקיוריטי, באדיבות סקייהוק סקיוריטי

הרשות להגנת הפרטיות מפרסת מסמך שמציג את האתגרים במעבר של מאגרי מידע לענן, בעיקר בכל הנוגע לביצוע המיגרציה באופן מאובטח

קשה להאמין שקיים היום ארגון במדינת ישראל שלא משתמש בטכנולוגיית ענן. עם זאת, ארגונים שונים טרם העבירו את מאגרי המידע שלהם לסביבת הענן, מסיבות שונות- רגולציה, חוסר בידע מתאים, חשש מפני האמינות של טכנולוגיית הענן, עלויות, ועוד.

על מנת לוודא שארגונים שטרם עשו כן, יבצעו את המעבר (“מיגרציה” בשפה המקצועית) בצורה מושכלת, פרסמה לאחרונה הרשות להגנת הפרטיות מסמך שמציג את האתגרים במעבר של מאגרי מידע לענן. במסמך נכתב ש”המעבר לשימוש בטכנולוגיית ענן טומן בחובו יתרונות משמעותיים לצד אתגרים רבים, בעיקר בכל הנוגע לביצוע המיגרציה באופן מאובטח, תוך שמירה על המידע הרגיש שנמצא במאגרי המידע המצויים במערכות המחשוב והיישומים השונים של הארגון”. המסמך ממשיך ומפרט את האתגרים הקיימים במעבר לענן ומתעכב על הנושא החשוב מכל- חוסר אסטרטגיה במעבר לענן. מסתמן שארגונים רבים מקבלים את ההחלטה לעבור לענן ממניעים שונים ומבצעים את המעבר בלי בחינה מעמיקה של כלל המשמעויות- בדגש על אבטחה ופרטיות. מכיוון שמדובר בתהליך מורכב בו לוקחות חלק מרבית מחלקות הארגון, החל מהנהלת הארגון וכלה בצוותי המחשוב, חשוב לבצע אותו בצורה מסודרת, מדורגת ומתועדת (רצוי כמובן להיעזר ולהתייעץ עם אנשי מקצוע שמתמחים בתחום). לאחר שהארגון קיבל החלטה אסטרטגית לעבור לענן עליו לפרוט את התהליך לשלבים אופרטיביים- טכנולוגיים. יש לקבל החלטות כגון אילו מערכות ובסיסי נתונים יועברו לענן, באיזה ענן להשתמש, ואילו אמצעי הגנה ופיקוח יש לפרוש בענן. יש לציין כי על אף שצוותי IT בארגונים הם לרוב מנוסים, הרי שהידע והניסיון שלהם לעיתים אינו רלוונטי לסביבות ענן ולכן עלולים להיווצר פערים שיובילו לסיכוני אבטחה מיותרים.

בין סיכונים אלו מונה המסמך את הסיכונים הבאים:

בהקשר זה, ראוי לציין כי חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות חלות על הארגון  ומחייבות אותו (בהתאם לרמת האבטחה החלה על מאגרי המידע של הארגון) גם בעת ביצוע מיגרציה לענן. אסור לטעות ולהניח שברגע שמידע “עלה לענן” הוא באחריות ספק הענן. על פי מודל האחריות המשותפת, ספק הענן אחראי לאבטחת התשתית, ואילו ההגנה על המידע בתוך הענן חלה על הלקוח. לכן, כחלק מהמעבר, יש לבחון אילו אמצעי בקרה ואבטחה יש ליישם בסביבת הענן. רצוי ליישם אמצעים כאלו שיאפשרו לארגון לתפעל את האבטחה בענן על אף שאנשי האבטחה אינם מומחי ענן בעצמם- כגון כלים שמשלבים אוטומציות ובינה מלאכותית לבדיקה שהגדרות הענן נכונות, לסימולציה של התקפות ולתכנון של תגובות אבטחתיות.

סוגיה נוספת שארגונים צריכים לקחת בכובד ראש היא איזו מידע יאוכסן בענן. בהינתן שהשיקולים האחרים (רגולציה, עלות) מאפשרים זאת, הרי שניתן לאכסן בענן כמות בלתי מוגבלת של מידע בצורה מאובטחת יחסית. אבל- יש לזכור כי טעויות בקונפיגורציה של ענן עלול להפוך את המידע הזה לנגיש לתוקפים, מה שהוביל כבר לדליפות מידע בקנה מידע ענקי. לכן- יש לבחון איזה מידע עולה לענן וכיצד הוא מאובטח (מוצפן, שהגישה אליו מוגבלת, ועוד). הרשות מזכירה כי “ארגונים נדרשים לבחון אחת לשנה, אם אין המידע שהם שומרים במאגר רב מן הנדרש”. היות ששטח האכסון בענן הוא בלתי מוגבל קיימת נטייה לארגונים לשמור מידע רב יותר מהנחוץ, ולשמור אותו לתקופות מידע ארוכות מכפי שצריך. שמירה של מידע עודף מגבירה את הסיכון שתתרחש דליפת מידע וכשתתרחש דליפה כזו- את מימדיה ואימפקט שלה. לכן יש לשקול לשלב במערכות האבטחה נוהל שבו פעם בתקופה מסויימת (נניח- חודש ימים) המערכת מוחקת נתונים ישנים שאין יותר צורך לשמרם.

סיכום:

אכסנת בסיסי נתוני בענן רלוונטית לכמעט כל סוגי הארגונים. כמו כל שינוי במערכת ה-IT של הארגון, גם שינוי זה יש לבצע בצורה מושכלת ולאחר חשיבה אסטרטגית. מכיוון שהסיכונים שטמונים בענן הם כאלו שתקרית אבטחה אחת יכולה לחשוף כמויות מידע עצומות יש לוודא שהמעבר מבוצע בצורה מאובטחת ותוך הטמעת אמצעי אבטחה ובקרה מספקים, וכך להימנע מתסמונת “יהיה בסדר” הישראלית כל כך.

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או שיווק השקעות או ייעוץ השקעות – בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניינים. בלומר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. בלומר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.
Exit mobile version