הרשות להגנת הפרטיות פרסמה הנחיות למיגרציה בטוחה

מקור: dreamstime

מאת חן בורשן

תאמינו או לא, בישראל כיום ישנם ארגונים שלא משתמשים בטכנולוגיית ענן. סיבות כמו רגולציה, חוסר בידע מתאים, חשש מפני האמינות של הטכנולוגיה, עלויות ועוד, מנעו מחברות בארץ להעביר את מאגרי המידע שלהן לסביבת הענן.

כדי להקל על ארגונים אלה פרסמה לאחרונה הרשות להגנת הפרטיות מסמך שמציג את האתגרים המרכזיים של מעבר מאגרי המידע לענן, ובשפה מקצועית: מיגרציה.

“המעבר לשימוש בטכנולוגיית ענן טומן בחובו יתרונות משמעותיים לצד אתגרים רבים”, נכתב במסמך, “בעיקר בכל הנוגע לביצוע המיגרציה באופן מאובטח, תוך שמירה על הדאטה הרגיש שנמצא במאגרי המידע המצויים במערכות המחשוב והיישומים השונים של הארגון”.

מה האסטרטגיה?

המסמך מפרט את האתגרים הקיימים בתהליך מיגרציה, אך מתעכב על הנושא החשוב מכל – חוסר אסטרטגיה במעבר לענן. מתברר שארגונים רבים דווקא מחליטים לעבור לענן, אך מבצעים זאת בלי בחינה מעמיקה של כלל המשמעויות של המהלך, בדגש על אבטחה ופרטיות. תהליך מיגרציה הוא תהליך מורכב שבו משתתפות מרבית מחלקות הארגון – מההנהלה ועד צוותי המחשוב – ועל כן חשוב לבצע אותו בצורה מסודרת, מדורגת ומתועדת.

אז מה עושים? במסמך נכתב כי אחרי שהתקבלה ההחלטה, צריך לפרוט את התהליך לשלבים אופרטיביים-טכנולוגיים: למשל אילו מערכות ובסיסי נתונים יועברו לענן, באיזה ענן להשתמש ואילו אמצעי הגנה ופיקוח יש לפרוס. יש לציין כי על אף שצוותי IT בארגונים הם לרוב מנוסים במגוון טכנולוגיות, הרי שהידע והניסיון שלהם לא תמיד רלוונטי לסביבות ענן, ולכן עלולים להיווצר פערים שיובילו לסיכוני אבטחה מיותרים. בהקשר זה המסמך מונה את הסיכונים הבאים:

• הגדרות שגויות
• ממשקי API שלא אובטחו כראוי
• חוסר התאמה של הארכיטקטורה הנוכחית – (Incompatibility of current architecture)
• אובדן נתונים (Data Loss)
• סיכוני אבטחה: איומים פנימיים, שגיאות מקריות, התקפות חיצוניות, תוכנות זדוניות, הגדרת תצורה שגויה ברשת, מתן הרשאות גישה באופן שגוי, בעיות בצד של ספק הענן, הפרות חוזיות, הפרות תאימות ועוד.

המון מידע, המון זמן

סוגיה נוספת שצריך להתייחס אליה בכובד ראש היא איזה מידע יאוחסן בענן. אם השיקולים האחרים (רגולציה, עלות) מאפשרים זאת, הרי שניתן לאחסן בענן כמות בלתי מוגבלת של מידע בצורה מאובטחת יחסית, אבל חשוב לשים לב לאבטחה שלו (מוצפן, שהגישה אליו מוגבלת, ועוד), שכן כבר קרו מקרים של דליפות ענק.

חשוב להדגיש ולדעת כי חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות חלות על הארגון ומחייבות אותו גם בעת ביצוע מיגרציה לענן; אסור לטעות ולהניח שברגע שמידע נמצא ענן הוא באחריות ספק הענן. כלומר, ספק הענן אחראי לאבטחת התשתית, ואילו ההגנה על המידע בתוך הענן חלה על הלקוח. לכן, כחלק מהמעבר, יש לבחון יישום של אמצעי בקרה ואבטחה, ומומלץ לבחון כלים שמשלבים אוטומציות ובינה מלאכותית, שיעזרו לאנשי האבטחה שאינם מומחי ענן בעצמם לוודא שהגדרות הענן נכונות, לבצע סימולציה של התקפות ולתכנן של תגובות אבטחתיות.

סוגיה נוספת שמעלה המסמך של הרשות הוא זמן אחסון המידע. “ארגונים נדרשים לבחון אחת לשנה, אם אין המידע שהם שומרים במאגר רב מן הנדרש”, נכתב. היות ששטח האחסון בענן הוא בלתי מוגבל קיימת נטייה לשמור מידע רב יותר מהנחוץ ולתקופות מידע ארוכות משצריך.

שמירה של מידע עודף מגבירה את הסיכון שתתרחש דליפת מידע, בממדים גדולים ובאימפקט גבוה. כשאי לדעת כי קיימות מערכות אבטחה שבהן יש נוהל לפיו אחת לתקופה מסויימת (נניח חודש ימים) המערכת מוחקת נתונים ישנים שאין יותר צורך לשמרם.

תהליך המעבר לענן יכול להיטיב עם הארגון, עובדיו ולקחותיו, אך יש לעשותו בצורה מושכלת ומתוכננת היטב, ובעיקר מאובטחת.

הכותב הוא מנכ”ל סקייהוק סקיוריטי