מאמרים:

מסגרת לניהול סיכוני אבטחת מידע בענן

13 מרץ 2019

גלעד ירון , ראש חטיבת הגנת המידע והפרטיות |

מחשוב ענן מציע לא מעט יתרונות למשתמשים בו, לרבות:

  • ניצול אופטימאלי של המשאבים.     
  • חיסכון כספי - הלקוח אינו נדרש להקים תשתיות פיזיות ומחשוב בחצרו, להקדיש להם משאבים כמו שטח רצפה, חשמל, תחזוקה, אנשים. לספק "יתרון הגודל". לקוחות רבים מאפשרים לו לחסוך עלויות תוך ניצול יעיל של המשאבים.
  • יכולת גידול (וקיטון) כמעט בלתי מוגבלת של משאבי המחשוב במהירות וביעילות.
  • קיצור מחזור החיים של הפיתוח – התרכזות בעיקר ולא בהקמת ותחזוקת התשתית.
  • קיצור הזמן הנדרש ליישום דרישות עסקיות חדשות – הקמת סביבת בדיקות, הוכחת ייתכנות ומעבר לייצור הינן קלות ומהירות.

יחד עם זאת, שירותי הענן מציבים לא מעט סיכונים. להלן מספר סיכונים הנובעים מהמעבר לענן:

  • המעבר מגדיל את חשיפת הארגון לאיומי סייבר מעצם העובדה כי מידע של הארגון נמצא על גבי תשתית ציבורית.
  • המודל הישן של הפרדה בין המידע שנמצא "בתוך הארגון" למידע הנמצא "מחוץ לארגון" אינו תקף יותר.
  • בעצם העובדה כי ספקי הענן מחזיקים מידע של לקוחות רבים הם הופכים למטרה מועדפת על תוקפים פוטנציאליים.
  • לארגון אין שליטה ישירה על העובדים המטפלים בתשתיות החומרה והתוכנה שהינם הבסיס לשירותים אותם הוא מספק.
  • גורמי ממשל עשויים לדרוש ולאלץ ספקי ענן לחשוף בפניהם מידע של לקוחותיהם השמור אצלם.
  • ספקים שאינם עושים שימוש בסביבה סטנדרטית עלולים לגרום לכך שיהיה קשה עד בלתי אפשרי ללקוחות שלהם לעבור לספקים אחרים במידה והשירות או האבטחה אינם עומדים ברמה הנדרשת.

בשל כל אלה, על כל ארגון העובר לענן או מציע שירותים בענן להגדיר וליישם מסגרת לניהול סיכוני מחשוב ענן.

מסגרת זו אינה שונה בעיקרה מכל מסגרת לניהול סיכונים. עליה לכלול תהליכים לזיהוי הסיכון והערכתו, הערכת האיומים והפגיעויות, ניתוח תרחישי סיכון, סבירותם והשפעתם, הצגת הסיכונים להנהלה וקבלת החלטה אלו סיכונים לקבל ובמה לטפל, בניית תכנית טיפול ומעקב אחר ביצועה.

כמו כל תהליך לניהול סיכונים, חשוב להתחיל אותו במבחן התוצאה מנקודת מבט עסקית, שהרי לשם כך הוקמו שירותי המחשוב. עלינו לענות על שאלות כגון:

  • מה השירות מבצע?
  • מה אופי המידע אותו הוא מעבד?
  • מה תהיה ההשפעה העסקית במידה ותפגע הזמינות, השלמות, הסודיות והפרטיות השל המידע?

בהמשך עלינו להגדיר את אותם התהליכים והטכנולוגיות הנדרשים על מנת לצמצם את הסבירות כי אירועים אלה יתממשו.

אז, ורק אז, יש לוודא כי התהליכים והטכנולוגיות המתאימות מיושמים כהלכה.

שירותי ענן מהווים שרשרת אספקה שבה לפחות שתי חוליות - ספק השירות והלקוח שלו. במקרים רבים קימות מספר חוליות בשרשרת - מספר ספקים המספקים שירותים זה לזה.

יש לנהל את הסיכונים תוך הבנת המשמעויות הנובעות מכך: כל גורם בשרשרת האספקה אחראי, בנוסף לניהול הסיכונים הישרים שלו,  גם על הסיכונים הנובעים מן העבודה מול הגורם הבא בשרשרת.

נציג לדוגמא ארגון פיננסי העושה שימוש באפליקציה בענן אשר מתבססת על ספק ענן אחר המספק תשתיות. פריצת אבטחת מידע המתבצעת אצל ספק התשתיות עשויה להשפיע על ספק האפליקציה ובהתאמה על הארגון הפיננסי ולקוחותיו. הארגון הפיננסי לא יכול יהיה להתנער מאחריותו לתוצאות של התקרית ולהפנות את לקוחותיו אל ספק הענן כאחראי למחדל.

יש להגדיר וליישם תהליכי עבודה, דיווח ובקרה יעילים בקרב כל החוליות בשרשרת. חשוב כי ניהול סיכונים שוטף יהיה מובנה היטב ביחסי הגומלין בין כל הצדדים: על הספק לקיים וליישם מסגרת מתועדת לניהול סיכונים, להציג אותה ללקוח ולאפשר ללקוח לבחון בעצמו את הסיכונים באורח תקופתי.

על לקוחות וספקי שירותי הענן לבנות מערך ממשל ובקרה יעילים, ללא קשר למודל היישום של הענן. על ניהול הסיכונים להיות משותף בין הספק ללקוח על מנת להשיג את היעדים שהוסכמו.

במדינות רבות בעולם קיימות רגולציות ותקנות העוסקות בהגנה על פרטיות המידע ודורשות יישום בקרות טכנולוגיות, פיזיות ומנהליות הנדרשות על מנת להגן על המידע בפני אובדן, שימוש לרעה או שינוי המידע. בין היתר ניתן לציין חוק הפרטיות האירופאי, GDPR, תקנות הגנת המידע הישראליות, HIPAA העוסק במידע רפואי, PCI העוסק במידע כרטיסי אשראי, הוראות בנק ישראל ועוד. לכל אלה משמעות מיוחדת בסביבת הענן.

ארגון אבטחת הענן - Cloud Security Alliance  - הוא הארגון המוביל בעולם המוקדש להעלאת המודעות וגיבוש שיטות עבודה מומלצות כדי להבטיח סביבה מאובטחת של מחשוב ענן. אחת התרומות של ארגון זה הינה מסגרת בקרות אשר הותאמה לסביבות הענן. המסגרת מגדירה משפחות בקרות שונות ומפרטת את הבקרות הנדרשות על מנת לצמצם את הסיכון.

המסגרת כוללת התייחסות לאבטחת יישום וממשק, המשכיות עסקית, בקרת שינויים וניהול תצורה,  אבטחת נתונים וניהול מחזור חיי המידע, אבטחת מרכז המחשבים, הצפנה וניהול מפתחות, ניהול סיכונים, אבטחת משאבי אנוש, ניהול זהויות וגישה, הבטחת תשתיות וירטואליזציה, תאימות וניידות, אבטחה וירטואלית, ניהול אירועי אבטחה, ניהול שרשרת האספקה וניהול איומים ופגיעויות.

הפרק הישראלי של הארגון עומל בימים אלה על תרגום מסגרת זו לעברית והתאמתה לסביבה הישראלית.

אין חולק על כך שהמעבר לענן קרה, קורה ויקרה ואיש לא יעצור אותו. אבל חשוב וחיוני לבצע מעבר זה בצורה מבוקרת תוך ניהול קפדני של הסיכון, רך שלא יצא שכרנו בהפסדנו.