אתם חושבים ש-Shadow IT הוא כאב ראש עכשיו? זה עומד להתפשט בעידן הקוונטי

טכנולוגיות, תוכנות ומערכות מידע שפועלות בארגון ללא אישור או פיקוח הן כבר היום סיכון משמעותי לארגון. מה יקרה עם כניסת המחשוב הקוונטי, כשמפתחות הצפנה סטנדרטיים יהפכו לחסרי ערך?

{ IT ותשתיות }
ניב גילינסקי
3.3.25

תמונה: dreamstime

אחד ממיני כאבי הראש של צוותי ה-IT הוא השימוש בארגון בטכנולוגיות, תוכנות ומערכות מידע ללא אישור או פיקוח. ובמילים אחרות: Shadow IT. אך הכאב הזה עומד להתפשט בעידן הקוונטי, שמוסיף רובד חדש של סיכון.

מחשוב קוונטי, המבוסס על עקרונות הפיזיקה הקוונטית, מציע יכולות חישוב עוצמתיות ועל פי הערכות יפרוץ את שיטות ההצפנה המקובלות כיום. החיבור בין השניים יוצר תרחיש מסוכן במיוחד: כאשר עובדים משתמשים במערכות לא מאושרות, הם עלולים לייצר נקודות תורפה שיהיו חשופות במיוחד להתקפות בעידן המחשוב הקוונטי, ומערכות Shadow IT – שכבר היום מהוות סיכון – עלולות להפוך לחלוטין לבלתי ניתנות לאבטחה, משום שמפתחות הצפנה סטנדרטיים עלולים להפוך לחסרי ערך.

"תארו לעצמכם שאתם מגלים שהכספת הדיגיטלית של הארגון שלכם, זו שחשבתם שהיא בטוחה לחלוטין, עלולה להיפרץ בעתיד הקרוב", אומר אביב הוקר, מייסד שותף בחברת פאדום (Faddom), המתמקדת בניהול פלטפורמה למיפוי ותיעוד תשתיות מחשוב. הוקר מסביר כי השילוב של מחשוב קוונטי ובינה מלאכותית הולך לפתוח מציאות חדשה ומורכבת: "אנחנו נמצאים בנקודת מפנה היסטורית. הטכנולוגיות האלה לא רק מציעות הזדמנויות חדשות, אלא מייצרות סיכונים שטרם התמודדנו איתם. מערכות ההצפנה המסורתיות שלנו עלולות להפוך לחסרות הגנה מול עוצמת החישוב הקוונטי".

האתגר היומיומי: מחלקות IT בחזית המאבק

רק מהסתכלות על שגרת העבודה של צוותי IT אפשר להתחיל להבין את עומק הבעיה החדשה. מחלקות IT מתמודדות באופן שוטף עם סוגיות רבות הקשורות לניהול זהויות, תשתיות וגישה מרחוק, שיתוף נתונים, כלי פיתוח ואוטומציה, בינה מלאכותית ואבטחת מידע. הצוותים נדרשים לפקח על שימוש בכלים לא מאושרים כגון שירותי SSO, פתרונות ענן ו-VPNים, למנוע התקנת תוכנות שליטה מרחוק ולנטר שיתוף מידע בפלטפורמות שאינן בפיקוח.

בנוסף, נדרש לעקוב אחר שימוש במודלי AI ציבוריים, כלי פיתוח לא מאובטחים ותוכנות אנליטיקה בלתי מבוקרות. היבטי אבטחת מידע נוספים כוללים מניעת שימוש בכלי הצפנה לא סטנדרטיים וזיהוי התקנות לא מורשות של מערכות ניטור ובדיקת חדירות.

מרסל ויידה, מייסדת ומנכ"לית Good Quality. תמונה: תומר שלום

"מניסיוננו, ארגונים רבים עדיין לא מבינים את העומק הטכנולוגי של האתגר", אומרת מרסל ויידה, מנכ"לית ומייסדת חברת Good Quality המתמחה בבדיקות תוכנה ובפיתוח אוטומציה, "כשאנחנו מדברים על Shadow IT בעידן הקוונטי, אנחנו מתמודדים עם שכבות חדשות של מורכבות. למשל, מערכת AI שמותקנת ללא אישור יכולה לא רק לחשוף מידע רגיש, אלא גם ליצור חולשות אבטחה שיהיו קשות במיוחד לזיהוי ותיקון".

ויידה מתארת את המציאות המורכבת ומוסיפה: "הקושי בזיהוי ותיקון חולשות אבטחה אלו נובע ממספר גורמים מרכזיים. ראשית, מערכות AI לא מאושרות עשויות ליצור תבניות תקשורת מורכבות ומשתנות, המקשות על זיהוי דפוסי התנהגות חשודים. שנית, היכולת של מערכות אלה ללמוד ולהסתגל באופן אוטונומי עלולה ליצור פרצות אבטחה דינמיות המשתנות באופן תדיר. בנוסף, השילוב עם טכנולוגיות קוונטיות עלול ליצור ערוצי תקשורת סמויים שקשה לנטר".

אז איך אפשר להתמודד עם האיומים החדשים שעתידים להגיע?

"חייבים להתחיל במיפוי וניטור חכם," מסביר הוקר, "זה אומר להטמיע מערכות AI לזיהוי אוטומטי של שימושים לא מורשים, לצד ניטור רציף של תעבורת הרשת. אבל חשוב להדגיש כי הכלים הטכנולוגיים הם רק חלק מהפתרון, חשוב לא פחות הוא המיפוי התקופתי והמעמיק של כל הנכסים הדיגיטליים".

"האינטגרציה בין הכלים הטכנולוגיים והמיפוי האנושי מתבססת על גישה רב-שכבתית", אומרת ויידה, "בשכבה הראשונה, מערכות AI מתקדמות מנטרות באופן רציף את תעבורת הרשת, מזהות אנומליות ומתריעות על התקנות לא מורשות. במקביל, צוותי אבטחה מבצעים סקירות תקופתיות של תשתיות המחשוב, תוך שימוש בכלי מיפוי מתקדמים המאפשרים זיהוי של נכסים דיגיטליים לא מתועדים. החיבור בין השניים מתבטא בממשק משותף שמאפשר לאנליסטים לקבל התראות בזמן אמת על אירועים חשודים, לצלול לעומק הנתונים ולזהות מגמות ודפוסים שרק עין אנושית מיומנת יכולה לזהות. השילוב של ממצאים אוטומטיים עם תובנות הצוות מאפשר לבנות תמונת מצב מקיפה של מערך אבטחת המידע הארגוני".

ההיבט המשפטי והרגולטורי

עו"ד (רו"ח) גלעד פינקלשטיין, המתמחה בייצוג תאגידים בסוגיות מסחריות ופיננסיות, מדגיש את ההשלכות המשפטיות של תופעת ה-Shadow IT בעידן הקוונטי. "ארגונים צריכים להבין שהסיכון אינו רק טכנולוגי, אלא גם משפטי ופיננסי – ובמקרים מסוימים אישי. חשיפת מידע רגיש דרך מערכות לא מאושרות עלולה להוביל לא רק לנזק תדמיתי, אלא גם לתביעות אחריות מקצועית מצד לקוחות ובעלי מניות, במיוחד כשמדובר בחברות ציבוריות. ביותר ויותר מקרים דירקטוריון נדרש לתת את הדין על כשלי אבטחת מידע – וטכנולוגיות לא מאושרות הן נקודת פתיחה גרועה במיוחד".

כתבות מקושרות

הטמעת Conditional Access: מה צריך לדעת לפני שעוברים למודל גישה מבוקרתמיקרוסופט: הפסקת התמיכה היא לא הסוף!בקרוב רשתות הסלולר שלנו יהיו פתוחות ותחרותיות יותרמחומש לחודש: המהפכה השקטה בתכנון אסטרטגיית ה-ITגוגל מציגה: מעכשיו תוכלו לשלוט בתוספי הכרום של העובדיםשיאניות הקנסות על הפרות פרטיות באירופה: לינקדאין, מטא ואוברווינדוס מציגה: להזדהות עם פנים ואצבעות כדי לשנות הגדרותחיסכון בענן: כך תשתמשו נכון בתוכנית Compute SP ב-AWSה-FTC תובעת את ג'ון דיר: התוכנה שלכם מפרה את הזכות לתקןההוצאות על ציוד לדאטה סנטרים יגיעו ב-2024 ל-282 מיליארד דולרמשתמשים ב-Exchange, Teams או OneNote בארגון? כדאי להתחיל לשדרגאיך תשפיע ההצהרה של מנכ"ל אנבידיה על עתיד ה-IT?אופס: מתחרה של Starlink הושבתה ל-48 שעותרוצים להרוויח יותר ב-2025? ההכשרות האלה יקפיצו לכם את השכראיבדתם מחשב של העבודה? מתברר שזה נזק של 8.6 מיליארד דולר בשנה החלטנו לתת לכולם מחשבי Mac ואז הגיעה קריאה שהצליחה להפתיע אותיKMS Lighthouse הישראלית דורגה בין המובילות בעולם בניהול ידע בדו"ח Wave
תגיות: , , , , ,

Geektime Insider

הבא
הקודם

אירועים קרובים

לכל האירועים

משרות

לצפייה בכל המשרות

משרות פתוחות

לכל המשרות

אולי פיספסת

הקודם
הבא

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם

הקודם
הבא