ספקיות שירותי הענן מטילות את האחריות על האבטחה על כתפי המשתמשים
מסקר שערך מכון פונמון עולה, כי ב-69% מספקיות שירותי הענן סבורים שהאחריות העיקרית על האבטחה מוטלת על כתפי המשתמשים, ורק ב-16% רואים בה מטלה משותפת ● לטענת קרוב ל-80% מהן, הלקוחות לא בוחנים את אבטחת המידע לפני שהם בוחרים ספקית
ספקיות שירותי הענן, כך מתברר, לא רואות עין בעין עם המשתמשים בכל הקשור לאבטחת המידע. על פי סקר שערך לא מכבר מכון פונמון (Ponemon), הספקיות והמשתמשים מטילים אלה על אלה את האחריות העיקרית על אבטחת המידע בענן. הסקר נערך בקרב 127 ספקיות שירותי ענן בארצות הברית ובאירופה.
מהממצאים עולה, כי ב-69% מספקיות שירותי הענן סבורים שהאחריות העיקרית על האבטחה מוטלת על כתפי המשתמשים, ורק ב-16% רואים בה מטלה משותפת. לעומת זאת, בסקר שערך מכון פונמון בשנה שעברה ציינו 33% מהמשתמשים, כי האחריות על האבטחה משותפת לשני הצדדים, ו-32% רואים בספקיות את האחראיות העיקריות לכך. רק 35% מבין המשתמשים השיבו, כי הם סבורים שהמשתמשים צריכים להיות האחראים העיקריים לאבטחה של שירותי הענן.
העובדה שהספקיות לא מקבלות על עצמן את האחריות לאבטחת המידע היא בעיה של ממש, על פי ג'ון פי. פירונטי, נשיא IP Architects. "הלקוחות מצפים לאבטחה, ומצפים שהספקית תדאג לכך", אמר.
מבחינה משפטית, ספקיות שירותי הענן אכן אינן אחראיות לאבטחת המידע, כל עוד הן השקיעו מאמץ מסוים – על פי ההסכמים עם משתמשי הקצה. "כשקוראים את הסכמי הרישוי שחותמים עם הספקיות רואים שאין בהם דבר וחצי דבר עם אבטחה – מדובר בהם רק על 'מרב המאמצים'", ציין פירונטי. לדבריו, אם מקרה מסוים יגיע לבית המשפט, "די להוכיח שנעשה מאמץ מסוים ולא הייתה רשלנות כדי שהספקית תצא נקייה".
על פי הסקר של פונמון, ספקיות שירותי הענן משקיעות מאמץ מינימלי בתחום, משום שהן לא סבורות שאבטחת מידע טובה יותר תביא להן יותר לקוחות. רק ב-20% מהספקיות סבורים שהלקוחות בוחנים את אבטחת המידע לפני שהם בוחרים ספקית שירותי ענן. כתוצאה מכך, מתמקדות רוב הספקיות "בהרחבת התפקודים, אספקה של פתרונות בעלות נמוכה והתקנה מהירה לשיפור השירות והגברת היעילות של תפקודי המיחשוב", ולא באבטחה טובה יותר.
עם זאת, לא מעט מבין הלקוחות חוששים עדיין להרחיב את האימוץ של שירותי הענן.
נחמד שהלקוחות מנסים להפיל את האחריות על הספקים, אבל מבחינה משפטית זוהי אחריותם המלאה - ולא של ספק כזה או אחר. מעבר לכך, בעשור הקרוב כנראה שלא יהיו פתרונות "ענן" אמיתים, אשר יוכלו לספק שו"ב ואבטחת מידע בצורה אידיאלית. כך ש"ענן" זה שם מושך, אבל מי שלא מבין מה זה אומר, מפתח ציפיות שאינן קשורות לפרקטריקה.