הגנה מחפשת מוחות, או: החורים הנסתרים שמאחורי הענן

המפגש של פורום מנהלי אבטחת המידע CSC מבית אנשים ומחשבים, שהתקיים באחרונה, עסק בהיבטי האבטחה במעבר של ארגונים לענן. הדוברים הציפו זווית מעניינת בעולם הענן, שלא מרבים לדבר עליה – מערכת היחסים בין ספק שירותי הענן לבין הארגון, לרבות ההנהלות, מנהלי האבטחה והמשתמשים.

הנחת היסוד היא שארגונים כבר לא חוששים להעביר יישומים ושירותים לענן, והדוברים הדגישו שהסיבה להסרת החסם שגרם לחששות היא שיש בשוק לא מעט כלים שיודעים לתת מענה לאיומים. אולם, הבעיה היא שמערכת היחסים עם הספקים, במיוחד הספקים הגדולים, מורכבת מרבדים שונים, שמשפיעים על גבולות האחריות שיש בין הספק למשתמש. אין זו שאלה משפטית בלבד, כפי שרבים סבורים וטועים, אלא משהו הרבה יותר רחב: היכולת לזהות את האיומים הנשקפים במעבר לענן, ולהבחין ולהבין מה באחריות הספק ומה לא. זו נקודה שמסתבר שבארגונים רבים לא מודעים לה. בחלק מהמקומות יש תחושה שלפיה ברגע שהם העבירו יישומים לענן, הם העבירו גם אחריות מסוימת לספק, והדבר אינו בשליטת הארגון – לא כי הם רשלנים אלא כי הסברה היא שספקי הענן עושים את כל מה שהם יכולים כדי להגן על התשתיות שלהם, ושאין לספקים רצון להתערב ביישומים עצמם שהארגון מעלה לענן.

אחד האיומים הכי נפוצים הוא רמת האבטחה של גורמי צד שלישי – שותפים עסקיים, לקוחות וספקים של הארגון שמחובר לענן. בארגון גדול זה יכול להגיע למספר רב מאוד של חברות, בגדלים שונים, ואין כל סטנדרט מחייב שהוא לרמת האבטחה שלהם.

כל האקר מתחיל יודע שהדרך הכי קלה לפרוץ לארגון היא דרך החורים הקטנים של ספקי הצד השלישי, הלקוחות, וכל מי שהארגון חפץ ביקרו ומזמין אותו להיכנס אליו. במגזרים מסוימים זה יכול להיות כמעט כל העולם ואשתו. גם לקוח של חברת מזון גדולה שנהנה לערוך קניות דרך הרשת, משרד רואי חשבון או עורכי דין שנותן שירותים לארגון, או גורמי רכש שהארגון קונה מהם מוצרים שונים. האקרים מיומנים ידעו לפרוץ בקלות יחסית לארגונים אלה, להתביית על מקורות המידע שלהם ובמאמץ לא גדול מדי להגיע לנתונים רבים מאוד ומגוונים.

שם המשחק: ניטור ושו"ב

במהלך המפגש הוצגו בפני המשתתפים שלל דוגמאות, ידועות ופחות ידועות, של פריצות לארגונים, שלאחר חקירה התברר שמקורן היה אצל צד שלישי או רביעי. ההתמודדות עם תופעה זו מחייבת הסתייעות בגורמי חוץ, כמו גם יישום כלים ייעודיים. שם המשחק הוא ניטור ושו"ב, שהם בין התחומים החמים ביותר כיום בעולם האבטחה. זהו גם אחד החורים השחורים בסיפור של הענן בארגונים ולכן, יש מקום שהם ישקלו להיעזר בגורמים חיצוניים, בחברות שההתמחות שלהן היא לנטר את הספקים והשותפים של הארגון, ולזהות בזמן אמת איומים שיכולים להשפיע עליו. החברות האלה לא מתערבות במערכות היחסים של הארגון עם ספקיו, ובוודאי שלא במערכת החוזים שלו עם ספקי הענן, אבל הן מתריעות ובמקרה הצורך גם מספקות כלים מתאימים.

התחזית היא שהתופעה הזו תלך ותתרחב. יחד עם זה, באופן טבעי, היא צפויה להיות מדוברת יותר ויותר בשנה הבאה בשוק המחשוב הארגוני. סיבה נוספת לכך היא החלטת הרגולטור לשחרר את המעצורים שהיו בכל מה שקשור לשימוש בענן במגזר הפיננסי, ובפרט בבנקים. ההחלטה של בנק ישראל היא טרייה, וסביר להניח שבחודשים הקרובים תחל במגזר הפיננסי פעילות רבה של התעניינות, היערכות, בדיקות והעלאת שירותים לענן. הבנקים הם דוגמה למגזר שהן מאפשר לגורמים רבים לתקשר אתו והן מעלה יישומים לענן. לכן, אלה גופים חשופים דיים כדי לאפשר לפורצים לחדור דרכם די קרוב לליבה שלהם, והסכנה בכך, כמעט מיותר לציין, גדולה. סביר להניח שהרגולציה תדרוש תשובות גם לצד זה. כך או כך, מדובר בעולם שלם, הטרוגני, של תשתיות מחשוב שונות, שאין דרך אחת לבדוק אותן. נדרשות כאן פעולות שו"ב רחבות ואבטחה היקפית.