"בנקאות זה מוסד – ואם חברות מחשוב היו בנקים, היה צריך רישיון מרשות הענן הישראלית"
כך אמר עו"ד אמיר ונג, שותף במשרד רון גזית, רוטנברג ושות', בפורום ניהול חדשנות עסקית ● ונג הסביר מה עושות חברות ענן: "הן לוקחות את כל המידע ושמות אותו בערימה אחת גדולה; בנקים לא עובדים ככה וכך המקום הרבה יותר מעניין לפורצים"
"חוזים של ספקי פתרונות ענן הם גרועים, ועם זאת עדיין חותמים עליהם. כולם נכנסים פנימה ועושים את זה. למה זה קורה, אפילו שספקים לא מתחייבים כמעט לכלום?" עם תהייה זו פתח עו"ד אמיר ונג, שותף, משרד רון גזית, רוטנברג ושות', את הרצאתו בפורום ניהול חדשנות עסקית, שנערך אתמול (א') במכללת מגמות בפתח תקווה, בהפקת אנשים ומחשבים. את הפורום הנחתה שמעונה נווה, יועצת בכירה, לשעבר מנמ"רית אקסלנס נשואה.
"בעבר אנשים חששו לשים את הכסף בבנק. הם חשבו שיהיה יותר שמור באחזקתם", אמר ונג. "עם הזמן, החברה האנושית למדה שבנק מהווה מוסד שמיועד באופן בלעדי לשמור על הכסף שלנו, וכך גם הענן – וזה מרתיח אותי".
"אם חברות מחשוב היו בנקים, אז המידע של כל הלקוחות לא היה נשמר בערימה אחת גדולה. מה עושות חברות ענן? לוקחות את כל המידע ושמות אותו בערימה אחת גדולה. בנקים לא עובדים ככה, הכסף לא נמצא במרתף גדול עם מטילי זהב – אחרת זה יהיה בדיוק כמו הבדיחה: 'למה גנב שודד בנק? כי כל הכסף שם'. כך המקום הוא הרבה יותר מעניין לפורצים".
לזהות את הדברים הנכונים
מה שחשוב וצריך לזכור, אומר ונג, "זה שבנקאות זה מוסד. יש הרבה מאוד מסביב. ואם חברות מחשוב היו בנקים, היה צריך רישיון מרשות הענן הישראלית (רע"י), ואז רע"י הייתה מאשרת מראש בעלי מניות ודירקטורים ומנהלים. במקרה גניבה הלקוח היה מפוצה במלוא ערך המידע. היתה חובת 'הלימות הון' לכיסוי סיכונים תפעוליים. היו סטנדרטים מחייבים ומפוקחים לאבטחת מידע".
"להיכנס לחוזה של מחשוב ענן שלא מבטיח כמעט כלום, כי זה כמו בנק, זה לא הדבר הכי נכון לעשות. מה כן אפשר לעשות עם חוזה למחשוב ענן? משא ומתן זה חלק חשוב בניהול סיכונים; לא להתלהב מכל שטות ולדעת להילחם עם זה; לזהות את הדברים הנכונים. חשוב לראות מה קורה לנו בתוך ההסכם הזה ומה הסיכונים".
על כן, ונג ציין את הנושאים החשובים כשמכינים הסכם מחשוב ענן:
● אסטרטגיית יציאה
"איך מוציאים מידע? איזה מידע ספק שומר לעצמו בסיום? הוא מוחק? הוא שומר? לכמה זמן זה יישאר? האם אני יכול לקבל את כל המידע שלי, לקחת אותו ולהמשיך איתו הלאה? ישנם ספקים שמאפשרים לך בעזיבה לקחת את המידע. מי שלא – יש כאן סיכון".
● שינויים בשירות
"האם נקבל הודעה מהספק מראש? הספק עושה שינויים כדי להתאים את עצמו לשוק – האם הוא מודיע לנו? האם נקבל מספיק זמן להתארגן בהתאם"?
● אבטחת מידע
"האם הספק מחויב לסטנדרט כלשהו? האם הספק מספק על פי המידע שלכם נתונים לאחרים? האם הוא משתמש בו? עושה בו שימוש? האם יש דיווח על אירועים? האם בהסכם כתוב שהספק בכלל ידווח לנו כשיפרצו אליו, או שהוא ישמור את זה לעצמו ואנחנו לא נדע מכך בכלל"?
● הגנת הפרטיות
"כאן מדובר בחובה חוקית. אנחנו חייבים לדאוג שהספק מחויב לחוק הגנת הפרטיות. יש חוק בישראל שמגן על פרטיות האנשים. אך מה החוק יהיה שווה אם אפשר לקחת את המידע ולהעביר אותו לחו"ל, שם אין חוק הגנה על פרטיות"?
● הגבלת אחריות
"האם ישנו פיצוי על הפרת SLA? פיצוי על נזקים ללקוח? איזה פיצויים הספק מוכן לתת לנו על סיכוי לנזקים; סכום מקסימום של פיצוי; הגבלת אחריות גם לנזק שנגרם בזדון – למשל, עובד מטעם הספק שהוציא מידע החוצה, או בעל הארגון שהחליט לסגור פתאום – צריכה להיות איזשהו סוג של אחריות. לא ייתכן שחברה תהיה חפה מכך. גם אם לא יוכל לשלם את כל סכום הפיצוי, עדיין צריכה להיות מידת אחריות מסוימת".
לסיכום, כדי להבהיר את כל הנושא יותר טוב, ציטט ונג את ג'וני מיטשל אשר כתבה: "אני ראיתי עננים משני הכיוונים, ראיתי למעלה ולמטה והכל אשליות". ולדברי ונג – "אכן זה אשליות".
תגובות
(0)