מאת ליאור לוי, מנכ”ל ומייסד חברת פרולוג’יק (Prologic)
עולם הסייבר חווה מדי יום אין-ספור אירועים של פריצות, מתקפות וגניבות מידע. אלא שאת הפריצה שהתבצעה לשרתי תאגיד הבנקאות האמריקאי Capital One העולם לא ישכח במהרה. זו לא רק הייתה אחת מדליפות המידע הגדולות מעולם, זו בעיקר הייתה דליפת מידע ענקית שמקורה בשרתי האיחסון של ספקית שירותי ענן ציבורי מובילה.
תחילה סיפור המעשה – מהנדסת תוכנה נחשדה בשנה שעברה שגנבה את פרטיהם של 100 מיליון לקוחות, שאוחסנו אצל ספקית הענן הציבורי של הבנק. המידע שגנבה כלל את פרטיהם של לקוחות, שכרטיסי האשראי שלהם ב-Capital One חויבו בין השנים 2005 ל-2019, בנוסף לפרטיהם של 80 אלף חשבונות בנק ומספרי הביטוח הלאומי של 140 אלף אמריקאים ועוד מיליון קנדים. לפני כחודש קבעה הרגולציה האמריקאית קנס בסך 80 מיליון דולרים אותו נדרש לשלם הבנק. הרגולטור קבע כי הקנס נובע מכישלונו של הבנק לבצע הליכים יעילים של הערכת סיכונים לפני העברת המידע שברשותו למיחשוב ענן, ומכישלונו לתקן את הליקויים שהתגלו בתוך פרק זמן סביר.
נשאלת השאלה, האם מדובר בתקלה חד פעמית ויוצאת דופן או שמא מדובר בתמרור אזהרה שמלמד אותנו על הכיוונים אליהם הולך עולם הסייבר ככול שיגבר המעבר לעולם הענן? אין לשאלה הזו תשובה חד משמעית, אבל יש כבר כיוונים. התחלנו בפריצה שהתקיימה בעולם הבנקאות, וניצמד לענף הזה, שמלווה ומוערך בצורה תדירה על ידי חברות המחקר.
התחזית: מעונן וסוער
ראשית, נתונים שמראים את הנפוצות של הענן היום ובשנים הקרובות. חברת המחקר מקינזי, המצוטטת בדו”ח של הבנק המרכזי האנגלי, מעריכה שתוך עשור 40% עד 90% מכלל תכולות המחשוב של ענף הבנקאות יתארחו בענן הציבורי; חברת IDC מעריכה כי שוק הענן עמד על 233 מיליארד דולר בשנת 2019, כפול מהיקף השוק בשנת 2016; ובלומברג מדווחת כי 22% מכלל אפליקציות הפינטק רצות כבר היום בענן וכי שיעור זה יגדל לכ-80% עד שנת 2025.
בצלע השנייה ישנה העלייה המהירה בשיעור הפריצות שנובעות מהמעבר לענן. חברת התקשורת וריזון מעריכה כי 24% מכלל פריצות הסייבר היו קשורות למערכות שנמצאו בענן. צריך לקרוא את הנתון הזה שוב כדי להפנים אותו – כמעט רבע מכלל הפריצות ודליפות המידע מקורן בענן.
בצלע השלישית נמצאים מקבלי ההחלטות עסקיים וטכנולוגיים שנדמה להם לעיתים כי האחריות על תחום הסייבר והגנת המידע עברה לידיה של ספקית הענן. התחושה שמישהו אחר מטפל ואחראי היא קצת מתעתעת, אבל היא קיימת. מחקר שביצעה חברת המחקר Cornerstone Advisors בקרב בכירים בעולם הבנקאות מראה כי 46% שמו את נושא הסייבר בצמרת הנושאים לטיפולם לשנת 2018, השיעור הזה ירד ל-34% בשנת 2019, והמשיך לרדת בשנת 2020 ל-23% בלבד. פרשנים קראו לזה תחושה ביטחון מזויפת. נדמה למקבלי ההחלטות שהמערכות כבר קיימות, שהן עובדות מעצמן. אלא שהמציאות מלמדת אותנו שלא כך פני הדברים, ובהחלט ניתן להניח שמה שנכון לענף הבנקאות, נכון על אחת כמה וכמה במגזר העסקי והממשלתי כולו, שברובו לא מצוי תחת רגולציה קפדנית ודקדקנית כמו עולם הבנקאות.
כללי אצבע לענן בטוח
אז מה ניתן לעשות כדי להגיע למצב בו המעבר לענן נעשה בטוח? אנו ממליצים על שלושה כללי אצבע:
- לקבוע מדיניות ברורה ומעשית – לצד ביצוע ניתוח עומק של הדרישות הטכנולוגיות והעסקיות הנדרשות במעבר לענן, יש צורך לקבוע מתודולוגיה סדורה שתתממשק עם דרישות הרגולציה, במידה ואלו קיימות, ועם הצרכים של הארגון, ותייצר פרופיל אבטחה שמטרתו הגנה על נתונים, תשתיות ולקוחות. אבל ובמקביל – חשוב שהמדיניות הזו לא תהיה מסובכת לביצוע, שתהיה ברורה ומעשית. חשוב שלאנשי הסייבר בארגון יהיה ברור מה הם נדרשים לעשות, ושיוכלו לעשות זאת בצורה יעילה ופשוטה ככול הניתן.
- כוח אדם מקצועי – המעבר לענן מייצר ביקוש אדיר למומחי אבטחת מידע וסייבר, אלא שלא כול אלו שהתמחו בתחום אבטחת המידע ב-On Premise הינם מוכשרים גם בביצוע סייבר בעולמות הענן. חשוב לאתר את אותם מנהלים ומקצוענים שיש להם התמחות יתירה באבטחת מידע לעולמות הענן, שהתנסו בתחום, ומביאים את ניסיונם מהשטח.
- ניטור מסביב לשעון – ניטור On-Premise נעשה על פי רוב ללא שאלות נוספות. אבל משום מה ארגונים רבים נוטים להזניח את מלאכת הניטור של השרתים והתשתיות הנמצאות בענן, אולי מהסיבה שהם מניחים שהאחריות על כך מצויה בידיה של ספקית הענן. טעות חמורה. האחריות היא של מנהל הסייבר הארגוני לבצע ניטור הן On-Premise והן בענן, לעשות זאת מסביב לשעון ולהיות מסוגל לאתר אנומליות בזמן אמת בכול מקום בו נמצאות תשתיות או שירותים של הארגון, ללא תלות במיקום שלהן.
לסיכום, ענן וסייבר יכולים להיות זוג משמיים. הם באותה מידה גם יכולים להיות זוג מהגיהנום, כפי שנוכחו קברניטי בנק Capital One. הצלחה כאן דומה להצלחה בזוגיות – נדרשת השקעה, מחשבה ותשומת לב. אלו יהפכו את החיבור בין ענן וסייבר לסיפור הצלחה הן עבור אלו שמנהלים את העולמות הללו, והן עבור הארגון כולו.