על אבטחת מידע ועננים

סוכנות אבטחת המידע של האיחוד האירופי עשתה צעד ראשון לחקיקה בתחום מחשוב הענן והסדרת היחסים בין הלקוחות לספקים. למרות רשימת האיומים יש גם צד חיובי: תרומה לאבטחת המידע הכוללת.

cloudsecurityסוכנות אבטחת המידע של האיחוד האירופי, ENISA, פרסמה בשבוע דו”ח חדש בנושא “מחשוב ענן: יתרונות, סיכונים והמלצות לאבטחת המידע“. הדו”ח מכסה את טכנולוגיה, מדיניות והשלכות חקותיות, ומספק המלצות מוצקות כיצד לטפל בסיכונים ולמקסם את ההטבות עבור המשתמשים. הדו”ח של ENISA הוא הראשון המציג בחינה עמוקה ועצמאית בנושא אבטחה ופרטיות במעבר אל הענן.

הדו”ח מציין 35 איומי אבטחה עיקריים המסווגים לפי רמת החומרה והסבירות שלהם. אחד מאיומי האבטחה בעלי הסבירות הגבוהה ביותר להתרחש נמצא דווקא בתחום החוקתי ונוגע בעובדה כי המידע של הלקוח יכול להישמר במספר אזורים במקביל,שחלקם יכולים להיות תחת רגולציה פחותה ופרוצה. לדוגמא, במדינה בעלת משטר דיקטטורי שרשאית להחרים או לבחון את המידע. איום נוסף שהוא בעל סבירות נמוכה אך בעל סיכוי לנזק גבוה, נוגע דווקא במנוע התוכנה המפעיל את הענן. המנוע, שלעיתים נבנה על ידי מפתחי קוד פתוח, יכול להיות פתוח להתקפות ולכשלים לא צפויים. תוקף יכול לפגוע במנוע השירות על ידי פריצה למכונה וירטואלית (IaaS), סביבות פעילות (PaaS) או בשכבת היישומים (SaaS).נקודה נוספת שעל לקוח מחשוב הענן לשקול היא כשלון בהפרדה הקיימת במערכות. חלוקת משאבים בין משתמשים נמצאת בלב הארגון, אך יש צורך לוודא מערכת להפרדה מתאימה באחסון, בזכרון, בניתוב ואפילו במוניטין בין שותפים לתשתית.

את האיום הגדול ביותר מגדיר הדו”ח כאיבוד השליטה (Governance) של הלקוח, כאשר הוא מאאתר עליה לטובת ספק הענן במספר נקודות. לדוגמא, ספקים יכולים לאסור סריקה של שערי גישה, הערכות פגיעות ובחינות חדירות. יותר מכך, יכול להיות קונפליקט בין הנהלים המוקשחים של הלקוחות לבין סביבת הענן. גם האפשרות של ספק הענן לבצע אאוטסורסינג או להעסיק ספקי משנה לשירותים יכול להוות בעיה בשליטה של הלקוח. כתוצאה מכך נוצרת גם בעיה של עמידה ברגולציה ונהלים.

צוות המומחים של הסוכנות החלו את עבודתם בסקר אשר בדק את הדאגות העיקריות של אנשי עסקים הקשורות למעבר למחשוב ענן. “התמונה שקיבלנו מהסקר הייתה ברורה”, אמר גיל הוגבן, אחד מהמומחים של הסוכנות ועורך הדו”ח. “הנושא העסקי עבור הענן הוא ברור – מדובר במחשוב זמין, באופן מיידי, ללא מחוייבות ועל פי דרישה. אבל הבעיה הראשונה שמעכבת נשים רבים היא אבטחת המידע – כיצד אדם יכול לדעת אם ניתן לבטוח בספק שירותים בענן עם המידע שלו ובמקרים מסויימים עם כל התשתית העסקית? “.

הדו”ח עונה על השאלה הזאת עם רשימת מצאי של קריטריונים אשר כל אחד יכול להשתמש בהם כדי לזהות האם ספק מחשוב ענן הוא ספק מודע לאבטחה ככל האפשר. “זו התוצאה החשובה ביותר של הדו”ח: הרשימה לא הומצאה מהאוויר”, אמר דניאל קאטאדו, עורך שותף של הדו”ח. “אנו מבססים אותה על ניתוח זהיר של סיכונים של מספר תרחישים בענן, המתמקדים בצרכים של לקוחות עסקיים. הסיכונים החשובים ביותר  ברשימת המצאי כוללים אי אפשרות יציאה משירות, כשלון במנגונים המפרידים בין הנתונים והיישומים של הלקוחות, וסיכוני רגולציה”. קאטאדו יציג את תוצאות הדו”ח של האיחוד האירופי במסגרת פאנל Cloud Government  אשר ייערך לראשונה בישראל בועידה הבינלאומית למחשוב עננים (IGT 2009) שתערך השבוע.

למרות רשימת האיומים שמציג הדו”ח, יש גם צד חיובי לדברים: מחשוב הענן גם מקדם אבטחת מידע. מנהל סוכנות ENSIA, ד”ר אודו הלמברכט מציין: “ההיקף והגמישות של אבטחת המידע מאפשרת לספקים ייתרון באבטחה. לדוגמא, ספקים יכולים להעביר ברגע משאבי הגנה, כגון סינון וניתוב מחדש. הם גם יכולים להוציא טלאי אבטחת מידע חדשים ביעילות גבוהה יותר ולשמור על יותר עדויות לצורך חקירה.

Cloud Camp

במסגרת ועידת IGT 2009 שתערך השבוע במרכז הכנסים בשפיים, יערך לראשונה ה-CloudCamp – פורום נטוורקינג בינלאומי המפגיש בין יזמים טכנולוגיים בתחום ה- Cloud ובין משקיעים. ה-CloudCamp הוא פורום בלתי תלוי, שבו יזמים ומשקיעים מתחום טכנולוגיות Cloud Computing חולקים רעיונות. הפורום החל את פעילותו בארה”ב ובמדינות אירופה. CloudCamp הפך בשנתיים האחרונות למסורת שגרתית בכנסים וועידות והוכיח את עצמו כמקדם את הנושא באמצעות מפגש “משוחרר”, המאפשר למשתתפים בו לחלוק רעיונות, ליזום קשרי שיתופי פעולה פוטנציאליים.

ניתן להירשם למצוא פרטים נוספים על ה-Cloudcamp ועל הועידת הבינלאומית למחשוב ענן (IGT 2009) באתר הכנס.

יניב פלדמן

צ'יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

Be the First to Comment!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
wpDiscuz

תגיות לכתבה: