דיגיטל וטק
מומחה סייבר מסביר: כיצד להעביר מאגר מידע לענן בצורה בטוחה?
ישנם עדיין ארגונים שלא העבירו את מאגרי המידע שלהם לענן בשל חששות שונים, כולל רגולציה, עלויות ואמינות הטכנולוגיה. הרשות להגנת הפרטיות פרסמה לאחרונה מסמך הנחיות בו הצביעה על שורת אתגרים הקיימים במעבר למאגרי ענן. מומחה הסייבר חן בורשן מסביר על החשיבות של מעבר מתוכנן, מדורג ומתועד לענן
קשה להאמין שקיים היום ארגון במדינת ישראל שלא משתמש בטכנולוגיית ענן. עם זאת, ארגונים שונים טרם העבירו את מאגרי המידע שלהם לסביבת הענן, מסיבות שונות- רגולציה, חוסר בידע מתאים, חשש מפני האמינות של טכנולוגיית הענן, עלויות ועוד.
על מנת לוודא שארגונים שטרם עשו כן, יבצעו את המעבר ("מיגרציה" בשפה המקצועית) בצורה מושכלת, פרסמה לאחרונה הרשות להגנת הפרטיות מסמך שמציג את האתגרים במעבר של מאגרי מידע לענן. במסמך נכתב ש"המעבר לשימוש בטכנולוגיית ענן טומן בחובו יתרונות משמעותיים לצד אתגרים רבים, בעיקר בכל הנוגע לביצוע המיגרציה באופן מאובטח, תוך שמירה על המידע הרגיש שנמצא במאגרי המידע המצויים במערכות המחשוב והיישומים השונים של הארגון". המסמך ממשיך ומפרט את האתגרים הקיימים במעבר לענן ומתעכב על הנושא החשוב מכל: חוסר אסטרטגיה במעבר לענן.
מסתמן שארגונים רבים מקבלים את ההחלטה לעבור לענן ממניעים שונים ומבצעים את המעבר בלי בחינה מעמיקה של כלל המשמעויות, בדגש על אבטחה ופרטיות. מכיוון שמדובר בתהליך מורכב בו לוקחות חלק מרבית מחלקות הארגון, החל מהנהלת הארגון וכלה בצוותי המחשוב, חשוב לבצע אותו בצורה מסודרת, מדורגת ומתועדת (רצוי כמובן להיעזר ולהתייעץ עם אנשי מקצוע שמתמחים בתחום).
עוד ב-
לאחר שהארגון קיבל החלטה אסטרטגית לעבור לענן עליו לפרוט את התהליך לשלבים אופרטיביים-טכנולוגיים. יש לקבל החלטות כגון אילו מערכות ובסיסי נתונים יועברו לענן, באיזה ענן להשתמש, ואילו אמצעי הגנה ופיקוח יש לפרוש בענן. יש לציין כי על אף שצוותי IT בארגונים הם לרוב מנוסים, הרי שהידע והניסיון שלהם לעיתים אינו רלוונטי לסביבות ענן ולכן עלולים להיווצר פערים שיובילו לסיכוני אבטחה מיותרים.
בין סיכונים אלו מונה המסמך את הסיכונים הבאים:
• הגדרות שגויות
• ממשקי API שלא אובטחו כראוי
• חוסר התאמה בארכיטקטורה הנוכחית (Incompatibility of current architecture )
• אובדן נתונים (Data Loss)
• סיכוני אבטחה הכוללים: איומים פנימיים, שגיאות מקריות, התקפות חיצוניות, תוכנות זדוניות, הגדרת תצורה שגויה ברשת, מתן הרשאות גישה באופן שגוי, בעיות בצד של ספק הענן, הפרות חוזיות, הפרות תאימות ועוד.
בהקשר זה, ראוי לציין כי חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות חלות על הארגון ומחייבות אותו (בהתאם לרמת האבטחה החלה על מאגרי המידע של הארגון) גם בעת ביצוע מיגרציה לענן. אסור לטעות ולהניח שברגע שמידע "עלה לענן" הוא באחריות ספק הענן. על פי מודל האחריות המשותפת, ספק הענן אחראי לאבטחת התשתית, ואילו ההגנה על המידע בתוך הענן חלה על הלקוח. לכן, כחלק מהמעבר, יש לבחון אילו אמצעי בקרה ואבטחה יש ליישם בסביבת הענן. רצוי ליישם אמצעים כאלו שיאפשרו לארגון לתפעל את האבטחה בענן על אף שאנשי האבטחה אינם מומחי ענן בעצמם- כגון כלים שמשלבים אוטומציות ובינה מלאכותית לבדיקה שהגדרות הענן נכונות, לסימולציה של התקפות ולתכנון של תגובות אבטחתיות.
סוגיה נוספת שארגונים צריכים לקחת בכובד ראש היא איזו מידע יאוחסן בענן. בהינתן שהשיקולים האחרים (רגולציה, עלות) מאפשרים זאת, הרי שניתן לאחסן בענן כמות בלתי מוגבלת של מידע בצורה מאובטחת יחסית. אבל יש לזכור כי טעויות בקונפיגורציה של ענן עלול להפוך את המידע הזה לנגיש לתוקפים, מה שהוביל כבר לדליפות מידע בקנה מידע ענקי. לכן- יש לבחון איזה מידע עולה לענן וכיצד הוא מאובטח (מוצפן, שהגישה אליו מוגבלת, ועוד). הרשות מזכירה כי "ארגונים נדרשים לבחון אחת לשנה, אם אין המידע שהם שומרים במאגר רב מן הנדרש". היות ששטח האחסון בענן הוא בלתי מוגבל קיימת נטייה לארגונים לשמור מידע רב יותר מהנחוץ, ולשמור אותו לתקופות מידע ארוכות מכפי שצריך. שמירה של מידע עודף מגבירה את הסיכון שתתרחש דליפת מידע וכשתתרחש דליפה כזו, את מימדיה והאימפקט שלה. לכן יש לשקול לשלב במערכות האבטחה נוהל שבו פעם בתקופה מסויימת (נניח- חודש ימים) המערכת מוחקת נתונים ישנים שאין יותר צורך לשמרם.
אחסנת בסיסי נתוני בענן רלוונטית לכמעט כל סוגי הארגונים. כמו כל שינוי במערכת ה-IT של הארגון, גם שינוי זה יש לבצע בצורה מושכלת ולאחר חשיבה אסטרטגית. מכיוון שהסיכונים שטמונים בענן הם כאלו שתקרית אבטחה אחת יכולה לחשוף כמויות מידע עצומות יש לוודא שהמעבר מבוצע בצורה מאובטחת ותוך הטמעת אמצעי אבטחה ובקרה מספקים, וכך להימנע מתסמונת "יהיה בסדר" הישראלית כל כך.
הכותב הוא מנכ"ל חברת אבטחת הסייבר בענן סקייהוק סקיוריטי
הכתבות החמות
תגובות לכתבה(0):
תגובתך התקבלה ותפורסם בכפוף למדיניות המערכת.
תודה.
לתגובה חדשה
תודה.
לתגובה חדשה
תגובתך לא נשלחה בשל בעיית תקשורת, אנא נסה שנית.
חזור לתגובה
חזור לתגובה
