היום שאחרי PRISM

הענן העתידי יהיה למטרה מרכזית להתקפה והממשלות ימשיכו לגשת למידע של משתמשים ● מאות מומחים התכנסו באדינבורו, סקוטלנד, כדי לפתור את בעית השקיפות והאמון בין ספקי ענן

02/10/2013 16:55

תחת השמיים התמיד מעוננים של אדינבורו, בירת סקוטלנד, התכנסו בסוף השבוע האחרון כ-400 מומחים לכנס השנתי של ה-Cloud Security Alliance לאזור EMEA. השנה התמקדו בכנס בכמה נושאים מטרידים: גישת ממשלות למידע פרטי (בהשראת  PRISM), הגברת השקיפות והאמון בין ספקי הענן וצרכניו ואתגרים טכנולוגיים המשפיעים על אימוץ הענן.

בנושא גישת הממשלות למידע, המשתתפים הגיעו למסקנה כי כל הממשלות מבצעות זאת בדרכים השונות שלהן. ההבדל העיקרי בין ארה"ב ליתר המדינות היא העובדה כי שם הנושא כבר פורסם בזכות הדלפותיו של אדוארד סנואדן, שעה שבעולם זה לא כך. ניתן לציין בהקשר זה את הרצאתו של ג'ון קאלס, שותף מייסד ב-PGP וב-Slient Circle, שתיאר את הצעדים שהאחרונה נוקטת כדי לאפשר ללקוחותיה שיחות וידיאו וצ'טים מאובטחים ללא חשש שמא הספק יצטרך למסור פרטים אודות השימוש – גם בצו בית משפט. בהמשך תיאר את השתלשלות האירועים שהובילה את החברה להחלטה לסגור את שירותי המייל המאובטח שלה, לאחר שהבינו כי דואר אלקטרוני, על פי הסטנדרט המיושם כיום, לא יכול להיות חסין מפני בקשתן של ממשלות לקבלת מידע.

בהרצאה נוספת של מנהל המחקר הראשי של F Secure תוארה מפת האיומים המתהווים בתחום הסייבר. הוא הסביר כי בעולם שבו כל מכונה יש לה מעבד (Internet of things), כל טוסטר יכול להפוך למטרה להתקפה רק משום שניתן יהיה לעשות שימוש בכוח המיחשוב שלו. בנוסף, התנבא הבכיר הפיני כי בקרוב נראה וירוסים אשר ישתלטו על שירותי הענן שלנו ולא יאפשרו לנו גישה עד שנשלם כופר. בנושא של גישת ממשלות למיחשוב, הוא הזכיר כי כיום, על פי החוק הפיני, רשאית המשטרה לשתול סוס טרויאני במחשבים של חשודים והזכיר את המסמכים שנחשפו לאחרונה לגבי פריצת המודיעין הבריטי לשרתי Belgacom.

נושא מרתק אחר הוא הגברת האמון והשקיפות ביחסי הענן. על הבמה צעדו שורה ארוכה של ספקיות – בהן אמזון, גוגל, אדובי ומיקרוסופט – שפירטו את מגוון הצעדים שהם נוקטים להגברת האמון: החל משינויים חוזיים, מתן עדיפות לאבטחת מידע בתהליכי הפיתוח והתפעול והוספת בקרות לשליטת הלקוח. חברת מיקרוסופט הציגה תוצאות סקר בו עלה כי מרבית הלקוחות אשר התנסו בשירותי ענן טענו כי מצבם בנושא אבטחת מידע ופרטיות השתפר לאחר המעבר. טענה דומה הביע גם ערן פייגנבאום, מנהל אבטחת מידע של Google Apps, אשר הציג את המאמצים הנעשים על ידי גוגל לאבטחת המידע של לקוחותיה, החל מבקרות טכנולוגיות וכלה בצוותי אבטחת מידע של מאות אנשים.

לדבריו, ספקי ענן בונים את התוכנה שלהם בצורה אחרת. העובדה כי חלק גדול מהיתרון העסקי שלנו הוא אחידות והפתרונות שלנו מראש נבנים לשרידות ומהימנות, גורם לכך שאבטחת מידע היא תהליך מובנה ומהווה בסיס חשוב ליתרון עסקי – מה שלא ניתן לומר על ה-IT המסורתי. השאלה היא לא האם המידע מאובטח בענן, אלא האם הוא מאובטח מחוצה לו, סיכם פייגנבאום.

במישור הטכנולוגי, הוצגו ונדונו בוועידה מספר פתרונות בנושאים אשר מהווים את האתגרים העיקריים של עולם הענן – ובמיוחד כלים אשר עוסקים בהצפנות חדשניות, לרוב ברמת הקבצים עצמם (IRM), פתרונות להגנת API אשר הופכים להיות מנוע הכרחי בקישור ארגונים, ונושא של Identity Management, אשר עדיין מהווה אתגר גדול כאשר עוסקים בשילוב זהויות פרטיות וארגוניות בצורה בטוחה.

תחום חדש שהוצג הוא מוצר של SkyHigh Network, חברה העוסקת במיפוי של אילו שירותי ענן הארגון צורך. צריכה של שירותי ענן ישירות על ידי המשתמשים מהווה איום על מעמדו של המנמ"ר ומנהל אבטחת המידע. לפי גרטנר, כ-35% מכלל תקציב ה-IT של ארגונים עד 2015 לא יהיה בשליטת המנמ"ר (Shadow IT). המוצר של SkyHigh מאפשר לתת למנמ"ר שליטה טובה יותר ונראות לשירותים שהארגון צורך ויכולת ניהול של הסיכונים לשירותים אלו.

משה פרבר הוא יזם ומרצה בתחום אבטחת המידע. רשימת קורסים  והרצאות ניתן למצוא כאן.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים