"התפישה שהענן מאובטח יותר – אשליה"
כך אמר גיא מזרחי, מנכ''ל סייפרוז, שדיבר ב-Cloud Security - הכנס בנושא האבטחה בענן, בהפקת אנשים ומחשבים, שנערך היום (ב') בראשון לציון ● עם זאת לדבריו "כיום השאלה היא מתי לעבור לענן, ולא 'האם'"
"לפני כעשור שנים החל הדיבור על הענן ולצדו, האבטחה בענן. אחד הדברים שמנהל.ת האבטחה בארגון אומר.ת לעצמו.ה הוא 'כאשר אעביר עומסי עבודה לענן, הם יהיו מאובטחים יותר' – אלא שזו אשליה. הבעיה נותרה כמו שהיא הייתה קודם, בעולם הרישוי המסורתי בדאטה סנטר הפנימי. למרות שהעברנו חלק מהאחריות על האבטחה לספקיות הענן, האחריות נותרה אצלנו", כך אמר גיא מזרחי, מנכ"ל סייפרוז (CyPROS).
מזרחי דיבר ב-Cloud Security. הכנס בנושא האבטחה בענן, בהפקת אנשים ומחשבים, נערך היום (ב') באולם אירועים לאגו בראשון לציון. את הכנס, בהשתתפות מאות מקצועני הגנת סייבר, הנחה יהודה קונפורטס, עורך ראשי ב'אנשים ומחשבים'.
לדברי מזרחי, יו"ר פורום CSC מבית אנשים ומחשבים, "אמנם, נכון שקשה יותר לתחזק ולאבטח מערכת אקסצ'יינג' מקומית על פני זו אשר בענן, אולם העברת האחריות מאיתנו, מנהלי ומנהלות האבטחה בארגונים – אל ספקיות הענן, לא תמיד מתאימה לארגון".
"השאלה האם לעבור לענן, או לא, כבר לא נותרה בעינה", אמר מזרחי, "כיום השאלה היא מתי לעבור, ולא 'האם'. אלא שהמעבר לענן מציף אתגר חדש, כי העברנו חלק מהאחריות על אבטחת המידע לספקיות הענן, האבטחה כבר לא נותרה אצלנו באופן מוחלט. כך, לעתים לא ניתן לאבטח באופן בו הייתי רוצה. לכן לאחר שעברתי לענן, עלי להשתמש במשאבי אבטחה ובבקרות של מישהו אחר, שהחליט עבורי מה וכיצד לאבטח. יש עוד פערי אבטחה אחרים".
צילום וידיאו: ליטל רובינשטיין
"הרבה שאלות נותרות פתוחות בעת ההגירה לענן"
"ההאקרים רואים את המעבר של ארגונים למחשוב ענן", ציין מזרחי, "ועוברים אף הם לתקוף שם. המעבר לענן יוצר עוד כאוס: יש לעתים פחות מידע מה קורה ברשת, יש עוד כאוס מי אחראי ל-מה, לא תמיד ברור איך ניתן למנוע שורה של אירועי סייבר שונים. ישנן הרבה שאלות אשר נותרות פתוחות בעת ההגירה לענן. זאת כי הנכסים והנתונים השתנו גם הם. הם כבר לא אצלנו וכך הם בלתי ניתנים לשליטה, ניטור, תצורה ובקרה – כמו שרוצים".
"עלינו להתאים את האנשים לעולם החדש, ובתוכו, את האבטחה הנדרשת לעולם זה", אמר מזרחי. "ההבטחות שהבטיחו לנו בעבר – 'עברו לענן, הוא יהיה אמין וזול יותר' – לא תמיד תקפות. אנחנו עדיין לא שם".
בהתייחסו למתקפת הכופרה אותה חווה הטכניון בסוף השבוע האחרון אמר מזרחי: "אין לי פרטים אודות המתקפה. מה שברור הוא שאין לזלזל ולומר 'אז הצפינו פרטי ציונים ותעודות זהות של סטודנטים, אז מה?'. ברור כי יש פה דרישה לדמי כופר גבוהים. הטכניון, כמו עוד מוסדות מהאקדמיה, עובד עם ולצד גופים ביטחוניים. יש לו קניין רוחני משלו וגם של אחרים". לדבריו, "הסחיטה עלולה להיות דו-שלבית, או תלת-שלבית. איש לא יודע מה נגנב ומה עשו עם הנתונים שהוצפנו – האם הם יימכרו, או חמור מזה – כבר נמכרו".
מזרחי סיכם באומרו כי "למרות שיש לנו ניסיון רב שנים בעולמות אבטחת המידע והגנת הסייבר, עדיין קורים דברים, עדיין מתרחשים אירועי אבטחה. המשמעות של מצב זה היא שגם גופים אשר מודעים לאיומים, לסוגי האיום ולהיקפם – עדיין מותקפים, ולא תמיד הם יודעים כיצד להיערך ולהתכונן לאירוע הסייבר הבא. עולם מחשוב הענן הפך את החיים למסובכים יותר ורוב הארגונים לא נותנים את הדעת על כך".
מדוע באתרכם המכובד, משתמשים בצורת הכתיבה ה"רב מגדרית" שאינה צורת כתיב תקינה?
אחים שלי אומרים תפיסה