האם בטוח לאחסן מידע ארגוני ב-Google Drive?
מה צריך לקחת בחשבון כאשר מאחסנים או מגבים מידע ארגוני, ובאילו אמצעים כדאי לנקוט על מנת להבטיח את אבטחת המידע הארגוני?
כשמדובר באחסון מידע סודי של החברה ו/או בגיבוי שלו, שאלות שונות עולות באשר למיקום שבו יתבצע אחסון זה. חברות מסוימות בוחרות לנהל את הכל בעצמן, ומספקות גישה מרחוק, כך שעובדיהן יכולים לגשת למידע בכל רגע נתון שהם זקוקים לו.
חברות אחרות, לעומת זאת, אימצו את הענן ואת כל היתרונות שלו, כמו העלות הנמוכה של בחירת חברות שהוקדשו במיוחד למשימות אלו וזמינות המידע, ללא תלות במקום שבו הוא עשוי להיות (כל עוד יש לנו חיבור לאינטרנט, כמובן).
אבל כאשר אנו מדברים על אלמנט האבטחה של החלטות אלה, הדברים הופכים קצת יותר מסובכים, כך שיותר חברות מסרבות לאחסן מידע סודי מחוץ לחברה. וזאת למרות הצמיחה העצומה בין חברות בכל רחבי העולם שהתחילו להשתמש בשירותים כמו Google Drive ו-Dropbox בשנים האחרונות.
אחסון בענן: כן או לא?
כאשר עומדת בפנינו ההחלטה מה לבחור מבין מהפתרונות השונים, עלינו לשאול את עצמנו שאלות שונות, אשר אחת החשובות שבהן היא כנראה: האם אני יכול להציע רמה גבוהה יותר של אבטחה מזו של חברות חיצוניות אלה בכל הנוגע להגנה על נתונים אלה?
זוהי נקודה חשובה מאוד, בהתחשב בכך שרוב החברות אשר מחויבות להציע שירותים אלו נוטות להחזיק אמצעים טובים כדי למנוע מהנתונים של המשתמשים שלהם להיות בסכנה.
עם זאת, הבעיה העיקרית היא לא מה האבטחה שהם מיישמים על השרתים שלהם. הרוב המכריע של גניבת המידע מתרחש עקב מדיניות ירודה על בקרת גישה וניהול של אישורים על ידי משתמשים.
אמצעי אבטחה נוספים
אין טעם לשכור את שירות האחסון הענן הטוב והמאובטח ביותר, אם משתמשים אשר יקבלו גישה למשאבים אלה ישתמשו בסיסמאות שקל לנחש או שכבר שימשו לשירותים אחרים שנפרצו. חשוב לנקוט באמצעים נוספים, אם השירות שאנחנו הולכים להשתמש בו מאפשר אימות דו-שלבי (2FA), זה יהיה הרבה יותר בטוח.
בנוסף, לא משנה כמה מאובטח השירות שאנו מנויים אליו, זה אף לא יהיה "יותר מידי" אם הנתונים המאוחסנים בתוך ומחוץ לחברה שלנו יהיו מוצפנים. בדרך זו, במקרה של תקרית שבה התוקפים מצליחים לקבל גישה למידע זה, לא יהיה להם קל לגשת למידע, ובכך למזער את ההשפעה של חדירה.
לבסוף, אנחנו חייבים להיות זהירים לגבי מי יכול לגשת למידע, ומה הם יכולים לעשות עם זה. אם נתנו לכל העובדים שלנו גישה למידע סודי, ואותו מידע יוכל לדלוף החוצה באמצעים אחרים, לא היינו משיגים כמעט כלום.
כדי למנוע זאת, אנו צריכים לאמץ כלים למניעת דליפות נתונים, באמצעות יישומים המזהים כאשר משתמשים מסוימים ללא הרשאות מנסים לגשת לסוג מסוים של מידע חסוי או כאשר הוא נשלח מחוץ לחברה באמצעים לא מורשים.
עמידה בתקנים
חשוב לקחת בחשבון כי הרבה חברות לא חושבות על זה עד שיהיה מאוחר מדי והן יתחילו לקבל קנסות על אי עמידה בתקנים. תלוי איפה המשרדים הראשיים של החברה שלנו שבו הלקוחות והספקים ממוקמים, נצטרך לציית לחקיקה בתוקף ולאמץ סדרה שלמה של צעדים.
לדוגמה, אם החברה עושה עסקים עם משתמשים באזור האיחוד האירופי, אנחנו צריכים להתאים את מערכות האחסון וניהול הנתונים שלנו על פי GDPR, אשר יהפוך חובה מה-25 במאי 2018. עובדה זו מעלה נושאים חדשים, שאחד מהם הוא האם שירותי אחסון כמו Google Drive ו-Dropbox עומדים בתקני הרגולציה.
החברות המנהלות שירותי אחסון מודעות לצורך לעמוד בכל הדרישות הנוגעות לניהול המידע המאוחסן על ידי המשתמשים בשרתים. מסיבה זו, הן לא בזבזו זמן לאמץ את כל הצעדים הדרושים כדי להביא את עצמן להיות מעודכנות.
נכון להיום, הן גוגל (Google) והן Dropbox מצייתות לא רק לתקנות שהוטלו על ידי התוצר המקומי הגולמי, אלא גם להסכם Privacy Shield, הסכם שנחתם בין המדינות החברות באיחוד האירופי וארצות הברית.
ניתן לומר כי השימוש בשיתוף קבצים ופתרונות אחסון בענן מאובטח כל עוד הוא עומד בשורה של נורמות ותקנות בינלאומיות, ועלינו גם ליישם מדיניות אבטחה נוספת.
עם זאת, אסור לנו להיות רשלניים לגבי אבטחת המידע המאוחסן בתוך החברה ומחוצה לה, וגם לא לסמוך על כך שמדובר באחריות של מישהו אחר. אנחנו צריכים ליישם את כל אמצעי האבטחה הנוספים העומדים לרשותנו כדי להגן על המידע שלנו באופן הטוב ביותר.
הכותב הינו מנכ"ל ESET ישראל.
תגובות
(0)