שחר גייגר-מאור, STKI: "אין רגולציות לאבטחת מידע במיחשוב ענן – הן תגענה רק אחרי האסון הבא"
"מיחשוב הענן הוא נושא הנדון בשוק מזה יותר משנה וחצי, והוא אינו צפוי להיעלם. הוא טומן בחובו לא מעט היבטי אבטחת מידע, אלא שאלה דורשים שינוי תפיסתי ומחשבתי בקרב מנהלי אבטחת המידע", אמר גייגר-מאור בפורום CISO מקבוצת אנשים ומחשבים ● לדבריו, כיוון שבתחום אבטחת מידע למיחשוב ענן אין רגולציות המסדירות את אופן הפעילות בתחום, "על הלקוח, ולרבות מנהל האבטחה שלו, לוודא הכל לפרטי פרטים ולא להשאיר דבר מעורפל"
"אין רגולציות לאבטחת מידע במיחשוב ענן, והן לא צפויות להגיע בקרוב. מי שמצפה להן, מוטב שיידע כי הן תגענה רק אחרי אסון האבטחה הבא. בשלב זה מנהלי אבטחת מידע נסמכים על תקנים שונים המתאימים להם למיחשוב הענן", כך אמר שחר גייגר-מאור, אנליסט לתחום אבטחת מידע ב-STKI.
גייגר-מאור דיבר בפורום CISO מקבוצת אנשים ומחשבים. הפורום התכנס היום (ג') במלון ליאונרדו ברמת גן. את האירוע הנחה אבי וייסמן, מנהל בית הספר לאבטחת מידע See Security.
לדברי גייגר-מאור, "מיחשוב הענן הוא נושא הנדון בשוק מזה יותר משנה וחצי, והוא אינו צפוי להיעלם. הוא טומן בחובו לא מעט היבטי אבטחת מידע, אלא שאלה דורשים שינוי תפיסתי ומחשבתי בקרב מנהלי אבטחת המידע. עליהם להיות יצירתיים בפתרונות האבטחה אותם הם מספקים, על מנת שלא להגביל עסקית את הארגונים, אלא לאפשר להם להמשיך ולפעול, ובאופן מאובטח, תוך ניהול סיכונים מושכל".
לדברי גייגר-מאור, הצפי הוא ש-80% מהארגונים בעולם וגם בארץ יעברו באופן חלקי לעבודה בתצורת מיחשוב ענן עד שנת 2014. ככל שהארגון מצוי במגזר שוק שמרני, דוגמת המגזר הפיננסי השופע רגולציות – כך קטן הסיכוי שהוא יפנה לענן ציבורי וגדל הסיכוי שהוא יבנה ענן פרטי, או יוציא שירותים החוצה באופן חלקי. מנגד, אמר, ככל שהארגון מצוי במגזר לא שמרני, כך גדל הסיכוי שהוא יפנה לענן הציבורי. ענן בן-כלאיים, הסביר גייגר-מאור, "הוא היותר קל לעיכול בארגונים".
הוא ציין את התועלות הנובעות ממיחשוב ענן, ביניהן "העלאה מהירה יותר של מערכות ויישומים, לצד יכולת יצירת שירותים עצמיים". שימת הלב לאבטחת מידע בסביבת הענן בקרב מנהלי האבטחה בארגונים, אמר, עדיין אינה ברמה גבוהה, שכן כעת הם עסוקים בטיפול בהיבטי האבטחה לטובת העולם הנייד, התגוננות מפני מתקפות קיברנטיות ואבטחת פעילות העובדים ברשתות החברתיות. אולם, ציין גייגר-מאור, "קיימת סקרנות רבה בקרב מנהלי האבטחה לתחום".
הוא ציין את הסיכונים הטמונים במיחשוב ענן: שימוש לרעה בפלטפורמת הענן על ידי גורמים פליליים; סכנות הנובעות מנגישות של נתוני הארגון לעובדי ספק תשתיות מיחשוב הענן; העובדה כי האירוח בענן "משכן" מידע של כמה וכמה ארגונים יחדיו; שימוש של המשתמשים ב-API (ממשק תכנות יישומים) עם מעט תקנים, תעבורה שאינה מוצפנת, בעיות בתהליכי זיהוי ואימות המשתמשים; חשש לגניבת מידע ונתונים בענן דרך התווך של התעבורה בלי שהמתארח חש בכך; העובדה שהלקוח לא תמיד יודע מי נמצא מאחורי השירות שהוא מקבל, ומה רמת ה-SLA המתקבלת.
כיוון שבתחום אבטחת מידע למיחשוב ענן אין רגולציות המסדירות את אופן הפעילות בתחום, אמר גייגר-מאור, "על הלקוח, ולרבות מנהל האבטחה שלו, לוודא הכל לפרטי פרטים ולא להשאיר דבר מעורפל. יש לתעד הכל בחוזה: לוודא מהי הארכיטקטורה של הספק, האם יש לו יכולות הזדהות חזקות והרשאות גישה, מה מידת זמינות השירותים ומהירות ההתאוששות מאסון, מי מנהל את התהליך". לדבריו, "על הלקוח לברר אילו שירותים נותן הספק בהיבט אבטחת מידע, מהן טכניקות ההצפנה והפיירוולים בהם הוא משתמש, האם יש תיעוד וניהול לוגים, פדרציה ועוד".
"אסור למנהלי האבטחה בארגונים לנסות לעכב פרויקטי מיחשוב ענן", סיכם גייגר-מאור, "עליהם להבין את הסיכונים, לתעדף אותם ולהיערך לקראתם. מטרתם היא לאזן בין טיפול בהיבטי אבטחת המידע ובין לתת יכולות לעסק לעבוד. עליהם לראות כיצד הם משתלבים באבטחת מידע בענן ולא נדחקים לסוף הפרויקט. אסור שאבטחת המידע בענן תשמש מכשול. על מנהלי האבטחה לצאת מהקופסה, להיות יצירתיים ולאפשר לארגון לעבוד תוך ניהול הסיכונים".
עו"ד עמית אשכנזי, היועץ משפטי של רמו"ט (הרשות למשפט, טכנולוגיה ומידע) במשרד המשפטים, דיבר על אבטחת מידע במיחשוב ענן. הרשות, אמר, הוקמה ב-2006, וציין כמה פרויקטים בהם היא הייתה מעורבת, ביניהם חוק מאגר ביומטרי, מסלקה פנסיונית, והעברת נתונים המצטברים על המשתמשים בתחבורה הציבורית ברב-קו. " אבטחת מידע בעינינו היא אמצעי, לא מטרה, לממש את עקרונות החוק", אמר.
בהעדר נהלים מוגדרים וברורים לתחום מיחשוב הענן ואבטחתו, אמר עו"ד אשכנזי, "מה שאנו בודקים בקרב ארגונים הוא האם מישהו לקח עליהם אחריות. האם נעשתה עבודת מטה שכללה רישום וסיווג הסיכונים, לקיחת אחריות עליהם, תעדוף וניהול שלהם. זאת, לצד תיעוד כל התהליכים".
לדבריו, ניתן לקחת נהלים מעולם האבטחה בתהליך מיקור חוץ ולהשליכם על מיחשוב ענן. זאת, בשל ההגדרות הברורות לנושאי המידע, השירות המסופק והסיכונים הגלומים בו. "נדרש ניהול תקין, הבנת הארגון את מהות השירות ואת סביבת הסיכונים הקשורה בו והתמודדות עימם", אמר. עו"ד אשכנזי סיכם באומרו כי "אנו רוצים לראות את הארגון לוקח סיכונים בצורה מחושבת, לאחר שקילה ובדיקה, תוך היצמדות לנוהל כלשהו בתחום".
חתמה את המפגש הרצאתו של גיא מזרחי, מומחה תקיפה, בנושא "מיחשוב ענן – אבטחת מיחשוב, או הבטחה בערפל?".
ישנן חברות מקצועיות לא מעטות בתחום בישראל. צריך לדעת לנצל את שירותיהן.
הרצאה מאוד מעניינת - כמו תמיד שחר מפתיע :)