בועז דולב, מנכ"ל איוויז'ן: "אובדן נתונים בענן יסב נזק קשה לאלפי ארגונים בישראל"

"ארגונים רבים, בעולם וגם בישראל, מסתמכים על חברות מיחשוב הענן כחברות 'גיבוי' לנתוניהם. המשמעות היא שאובדן נתונים המצויים מחוץ לארגון, בענן, יסב נזק כבד לאותם ארגונים. מדובר בענני איומים – הן בהיבט המידע, הן בהיבט הכלכלי והן בהיבט המוניטין שייפגע", כך אמר בועז דולב, מנכ"ל איוויז'ן.

דולב דיבר בפתח כנס אבטחת המידע השנתי InfoSec 2010, הנערך זו הפעם העשירית ברציפות. הכנס, בהפקת אנשים ומחשבים, התקיים אתמול (ב') במרכז הכנסים אבניו בקריית שדה התעופה, בהשתתפות מאות מנהלי אבטחת מידע ומקצוענים בתחום. את הכנס הנחו אופיר זילביגר, מנכ"ל SECOZ, ויהודה קונפורטס, העורך הראשי של אנשים ומחשבים.

לדברי דולב, לשעבר מנהל ממשל זמין במשרד האוצר, הענן הוא שלב נוסף בהתפתחות שמירת המידע בהיסטוריה. "לאחר החריטה באבן החל רישום על קלף, ולאחריו – הכתיבה בנייר. במאה הקודמת החל המעבר מהנייר למחשב, עם הופעת סלילי המידע, הדיסקטים, הדיסקים וחדרי המיחשוב. מיחשוב ענן הוא עוד שלב המאפיין את התפתחות מערך תקשורת הנתונים בעולם והתפתחות רשת האינטרנט".

"סיבה נוספת למעבר לענן", הסביר, "היא היכולת לעבוד מול מרכזי מיחשוב מרוחקים באמצעות תקשורת רחבת פס, לצד היכולת לקבל שירות זמין ונוח מספקיות מיחשוב הענן. מניע נוסף למעבר בתצורה זו הוא היכולת לקבל את משאבי המיחשוב באופן בלתי מוגבל, כמו גם היות המידע נגיש מכל מקום ובכל עת". לצד כל הסיבות הללו, ציין דולב את היבט החיסכון הכספי ואת "אפקט העדר", משמע – כך עושות כל החברות.

"אלא שלצד היתרונות", אמר דולב, "השתנה מודל האחריות והאמון, ולכן נדרש לקבוע מי אחראי על המידע ומהם גבולות האחריות במודל החדש, ומי נותן הוראות לטיפול במידע".

דולב אף ציין, כי המשמעות החשובה ביותר בהיבט אבטחת המידע בשל המעבר למיחשוב ענן היא שהמידע אינו מצוי ברשות הארגון ובשליטתו הבלעדית, כמו גם העובדים ונהלי הגיוס והפיתוח בחברות מיחשוב הענן. "כיוון שכל חברות הענן מפעילות מערכות וירטואליזציה, הרי שאבטחת הנתונים בענן נסמכת על חוזקן של מערכות אלו". עוד ציין, כי המידע בענן אינו מוצפן, ואם כן, יש לוודא בידי מי מצויים מפתחות ההצפנה, "המשמעות של פגיעות הנתונים היא רבה, הצפנה היא היבט קריטי לשמירה מיטבית של הנתונים".

"הסיכון גדל עם הזמן, כיוון שככל שהמידע המצטבר בחברות מיחשוב הענן משמעותי יותר, כך גדלות ההשקעה והמוטיבציה לחדור למערכי המיחשוב שלהן מצד מעצמות, מדינות וארגוני פשיעה", הוסיף. "המשמעות וההשפעה של מצב זה רבה ומסוכנת". דולב אף ציין, כי כ-70% מתעבורת המיילים בארץ עוברת דרך הענן, בעיקר דרך ג'י-מייל (Gmail). "המשמעות היא שכלל הפעילויות הארגוניות אינן נעשית בתוך הארגון, אלא מחוצה לו", הסביר. "פתיחת תיבות ג'י-מייל בעבודה היא עקיפה של הנחיות אבטחת מידע. על מנהלי אבטחה להבין שזה המצב ולייצר מדיניות חדשה בתחום".

דולב ציין אירועי אבטחת מידע בולטים הקשורים בענן. הראשי שבהם היה הפריצה לשרתי גוגל (Google) בסוף 2009 וגניבת מידע מעשרות תיבות דואר של פעילי זכויות אדם. "מדובר בתמרור אזהרה לאופן שבו מועברים מסמכים ומידע מהענן ואליו", אמר. "יש לגבש מתודולוגיה והיערכות לקבלת שירותי ענן, לבצע סקר סיכונים לקראת כניסה לפרויקט ארגוני שכזה, לגבות את המידע שיועבר לענן, להעריך את מידת המידע המסווג ולבדוק את האופציה להצפינו".

דולב סיכם באמרו, כי "בשל הגידול במעבר של חברות למיחשוב ענן, היכולת של ארגונים וחברות לשחזר אירועים, החלטות ומסמכים קטנה מיום ליום".