המעבר לענן חיוני, אבל הוא לא תעודת ביטוח להגנה על המידע

כנס אבטחת המידע והסייבר בענן Cloud Security של אנשים ומחשבים נערך אתמול (ב') בצל אירוע האבטחה החמור שאירע בטכניון, ושהמחיש בצורה ברורה עד כמה אתגרי האבטחה והגנת הסייבר הם קריטיים, ואין לאף ארגון חסינות מפני מתקפות.

המניע לביצוע הפריצה ודרישת הכופר הם לא הסיפור במתקפה על הטכניון. השאלה המרכזית, שבעת כתיבת שורות אלה טרם ניתנה לה תשובה, היא עד כמה מהר הגוף הזה, כמו כל גוף שנפגע מסייבר, יכול להתאושש. זה נכון הן לארגונים שנולדו לענן, הן לכאלה שחלק מהפעילות שלהם נמצא שם והן לאלה מהם שעדיין לא עברו לקלאוד. בכל מקרה, הענן רחוק מלהיות תעודת ביטוח שמגנה על המידע בארגון. זה היה המסר המרכזי, הברור, שעלה מכל ההרצאות שניתנו בכנס, מפי שורה של מומחי אבטחה וסייבר, ומנהלי חברות IT שמספקות שירותים אלה. ברקע הוזכר מדי פעם פרויקט הענן הציבורי של הממשלה, נימבוס, שיהווה ללא ספק מקור להשראה, שארגונים רבים במשק יעקבו וכבר עוקבים אחריו.

ספקיות הענן לא אחראיות לאבטחה

כאשר ארגונים בוחנים את ההיבטים הכלכליים של מעבר לענן, הם נוטים להיתפס יותר לצד החשוב של חיסכון בעלויות תפעול, צמצום משמעותי בתשלום על תוכנות קנייניות ורישיונות, ובעיקר הם מתרגשים מקסם הגמישות שהענן מאפשר לארגון. המפתחים והמשתמשים מתמכרים לזה בקלות. פעולות בסיסיות של הקמת שרת או תשתית לפיתוח מסוים, שהיו אורכות בעבר כמה ימים, ניתנות לביצוע כיום בהקלקה אחת.

אבל אז עולה השאלה של ההגנה על המידע, ויש לא מעט שמתפלאים שהנושא איננו באחריות ספק הענן. הדוברים בכנס ניתצו את האקסיומה הזו לחלוטין. ספקי הענן הם קבוצה די סגורה של ענקיות תוכנה ושירותים, שמאפשרות ליהנות מהשירותים שלהן, אבל הן אחראיות במקרה הטוב על הגנה על שרתי הענן שלהן, ולא אחראיות בכל צורה שהיא על היישומים, השירותים ובעיקר על נכסי המידע של הארגון הלקוח בענן.

על ההנהלות להפנים שהענן הוא אמנם אמצעי נפלא להגשמת חלומות ולהתגברות על אתגרים, אבל הוא גם יכול להיות מסלול ישיר ל-"בית הקברות" של הארגונים

יש חורים רבים במודעות, בידע ובנכונות של ארגונים להשקיע באותם תהליכים שיגנו על הארגון. בחלק לא מבוטל מהמקרים הם נחשפים לזה, למרבה הצער, לאחר שהפריצה כבר נעשתה, הפורצים הצליחו לשים את ידם על המידע והסרט הוא כבר אחר לחלוטין מאשר לפני האירוע.

לבועז דולב, מנכ"ל חברת מודיעין הסייבר קלירסקיי, יש תחזית אפוקליפטית, שלפיה היקף המתקפות על ארגונים יהיה כל כך חמור בחמש השנים הקרובות, עד כדי כך שיהיו חברות שיושמדו כתוצאה מהן.

הנקודה המרכזית אינה הטכנולוגיה, אלא האסטרטגיה

כמו במקרים רבים אחרים, גם כאן הנקודה המרכזית היא לא הטכנולוגיה, אלא האסטרטגיה, קיומן או אי קיומן של תוכניות חירום סדורות לפעולה במקרה של מתקפת סייבר. כאן, המצב בארגונים, לפחות לפי המרצים בכנס, עגום, שלא לומר עגום מאוד. בחלק מהארגונים אין מדיניות אחידה וברבים מאלה שיש, היא נמצאת במגירות, לא מתרגלים אותה, או כמעט שלא, וכמובן שלא מפיקים לקחים.

בכל ארגון שכזה, ההנהלה תמצא 1,000 תירוצים למה לא צריך לתרגל, מדוע לא צריך להשקיע ועוד כל מיני תשובות – שכולן אולי הגיוניות, אבל הן מתייחסות לטווח הקצר ולא רואות את התמונה הכללית. ממש כמו במלחמה, ככל שמתכוננים למתקפות סייבר טוב יותר לפני שהן קורות, ההתמודדות אתן קלה יותר. כמו שכבר נאמר, שם המשחק הוא מהירות ההתאוששות, החזרה לשגרה ונטרול האירוע – ומי שלא מתרגל את זה לא יכול לבצע זאת מהר מספיק.

השורה התחתונה: האתגרים שאיתם מתמודדים מנהלי האבטחה כיום שונים מאשר בעבר, בעיקר בגלל הענן. אל מול זאת, קיימת מגבלה על יכולת השליטה שלהם בנעשה בארגון, בגלל הביזור שהענן מאפשר. ועדיין, האחריות הישירה לביטחון הנכס הכי חשוב של הארגון – המידע – מוטלת על כתפיהם של אותם מנהלים. הנהלות הארגונים צריכות לתת למנהלי האבטחה כתף, לוודא שהם מצליחים לגייס את האנשים הכי טובים שיש ולהפנים שהענן הוא אמנם אמצעי נפלא להגשמת חלומות ולהתגברות על אתגרים, אבל הוא גם יכול להיות מסלול ישיר ל-"בית הקברות" של הארגונים.