האמת המאכזבת לגבי אבטחת הנתונים בשירותי אחסון ענן

שירותי אחסון בענן מציעים אפשרויות רבות לשיתוף קבצים, בצורה פשוטה ונוחה ובעלות נמוכה. כבכירים בתחום ה-IT,  בוודאי  נתקלתם בדרישה ההולכת והגוברת לאפשר שימוש בשירותים פופולריים אלו גם בתוך הארגון.

לצד היתרונות הבולטים, חשוב לתת את הדעת על שאלת האבטחה. כל ספקיות אחסון הענן מתגאות כמובן בעמידה בסטנדרטים גבוהים של אבטחת מידע, כולל הגנה פיזית טובה עבור מתקני האחסון, מעקב אלקטרוני והסמכות לתקני אבטחה קפדניים. אך האם המידע שלכם באמת מוגן? בעוד הסיסמאות השיווקיות של ספקיות השירות נשמעות מרשימות על הנייר, במציאות מסתבר כי אמצעים אלו אינם מציעים הגנה מספקת עבור מגוון רחב של סיכונים.

המידע שלך חשוף למתקפות זדוניות

אחסון המידע בענן הציבורי, מחוץ לקיר האש של הארגון, עושה אותו יעד מפתה למתקפות סייבר. רק באוקטובר בשנה שעברה, נחשפו הסיסמאות ושמות המשתמש של לא פחות משבעה מיליון משתמשים בדרופבוקס, אשר השתמשו באותה סיסמה גם בשירותים אחרים. באירוע אחר, מביך במיוחד, ניתן היה להיכנס לכל החשבונות בדרופבוקס ללא סיסמה כלל, במשך כארבע שעות. מוקדם יותר החודש, פורסמה בידי חוקרים ישראלים מתקפת "MITC – Man In The Cloud" המאפשרת להאקרים גישה לשירותי אחסון הקבצים הנפוצים ביותר כיום, ולהפוך אותם לכלי התקפה הרסניים, המאפשרים החדרת תוכנות זדוניות בצורה יעילה לרשת הפנימית של הארגון, תוך מעקף של כל מערכות האבטחה.

המידע שלך חשוף לרשויות זרות

אם אתם עדיין מרגישים בטוחים, סוגיה נוספת שצריכה להטריד אתכם, היא חשיפה מוחלטת של המידע שלכם לרשויות. חוק הפטריוט האמריקני, לדוגמה, קובע כי ממשלת ארצות הברית יכולה לאסוף כרצונה נתונים מחברות מחשוב ענן אמריקניות, ללא תלות במיקום הפיזי של הנתונים. מעבר לכך, נחשף כי כחלק מתוכנית PRISM, ה-NSA מצותת לתקשורות של כל חברות האינטרנט האמריקניות המובילות, כולל גוגל (Google) ומיקרוסופט (Microsoft), וזאת בידיעת החברות. למעשה כאשר המידע שלך מאוכסן בחברה אמריקנית, הארגון שלך הוא שבוי מוחלט בידי הרשויות, ללא כל יכולת הגנה. הנזק לארגון כתוצאה מגישה ממשלתית למידע פנימי רגיש, לדוגמה בעת ניהול הליכים משפטיים במדינה זרה, עשוי להיות גבוה מאוד .

ניהול מפתחות הצפנה? חשוב מחדש

הטרנד האחרון בשיווק של חברות האחסון בענן, הוא בטענה ההגיונית כי פחות חשוב היכן המידע נמצא באופן פיזי, וכי חשוב יותר היכן מנוהלים מפתחות ההצפנה.
חברות המספקות שירותי אכסון בענן ציבורי הכריזו על תמיכה בשמירת מפתחות הצפנה בידי הלקוח (EKM). מאחר וחלק גדול מיכולות הסנכרון ושיתוף הקבצים הארגוניים נמצא בענן, ושם מתבצעת ההצפנה והפענוח של הקבצים בפועל, עליכם עדיין החובה לוודא מספר דברים חשובים לגבי כל בעל גישה לשרתי הענן:
• שלא קיבל הוראה מהממשל להתקין מכשיר בקרה האחראי להאזנה והקלטה של כל הנתונים, מידע אודות הקבצים, מפתחות ההצפנה וזהויות המשתמשים שלך.
• שלא מתחזה לחשבונות המשתמשים שלך כדי לגשת לנתונים שלהם.
• שלא ייצר קישורים או שיתופים של מידע בשם המשתמשים.
• שלא ישמור אצלו עותקים של המפתחות אשר משמשים להצפנת קבצים.

אהרן ברנד, סמנכ"ל טכנולוגיות בסיטרה נטוורקס

יש חור בדלי

אין צורך לציין, כי ארגונים מסתמכים על סודיות המידע כדי להגן על קניין רוחני וכדי לעמוד בתקנים ורגולציות של פרטיות. לעומת זאת, שירותי שיתוף קבצים בענן, מטבעם, תוכננו לשיתוף קל ופשוט בשיטת "שגר ושכח". התוצאה היא צמיחה מטאורית בכמות השיתופים, הן פנימית בתוך הארגון, והן בשיתופים עם גופים חיצוניים. קיומם של מנגנוני שיתוף כה קלים לשימוש וחסרי מנגנוני בקרה ואכיפת נהלים, מהווים סיכון עצום לדליפה של מידע רגיש בארגון, אשר עשוי להשפיע בצורה קטלנית על הפעילות העסקית.

יהיה בסדר?

בימים טרופים אלו, ארגונים אינם יכולים להרשות לעצמם לבחור בגישת "יהיה בסדר". מתקפת הסייבר של צפון קוריאה על סוני (SONY) שגרמה נזק בעשרות מיליוני דולרים, הפריצה לבנק ג'יי.פי.מורגן (JP Morgan) שחשפה 76 מיליון אנשים לגניבת זהות, הפריצה לאתר הבגידות אשלי מדיסון (Ashley Madison) אשר הביכה מיליוני אנשים ברחבי העולם והובילה לתביעה ייצוגית בסך 567 מיליון דולר, הן רק קריאת השכמה לעידן מלחמות הסייבר המצוי לפנינו.

הזדמנות וסיכון בצידה

מארק צוקרברג, מייסד פייסבוק (Facebook), אמר שהסיכון הגדול ביותר הוא לא לקחת סיכונים. מנהלי IT אינם יכולים לטמון את ראשם בחול, וצריכים להבין שמערכות אחסון ושיתוף קבצים ארגוניות הופכות להיות אלמנט חיוני לשיפור התקשורת בעסק. אל תחסמו את התופעה – באמצעות בחירה במערכת שיתוף מאובטחת, תוכלו לספק לעובדים את סביבת העבודה המודרנית והגמישה שהם רוצים, ולישון בשקט תוך ידיעה שהמידע הארגוני הרגיש נמצא במקום בטוח.

הכותב הינו סמנכ"ל טכנולוגיות בסיטרה נטוורקס ובעל ניסיון של כ-20 שנים בפיתוח מוצרי אבטחה לשווקים האזרחי והצבאי.