הסיכונים העיקריים במחשוב ענן

יום ב', 2 בינואר 2012

 

מאת: רו"ח טל דולב, דירקטור ב – IT Consulting Group, BDO  זיו האפט


שירותי אחסון, שירותי עיבוד מרוחקים, שירותי תוכנה לפי דרישה ועוד שירותים נארזו בשנים האחרונות תחת המונח "מחשוב ענן", אשר תפס מקום מרכזי בשיקולי הארכיטקטורה של ארגונים רבים בארץ ובעולם. מחשוב ענן מאפשר לרכוש את שירותי המחשוב בהדרגה לפי צרכי המידע המשתנים של הארגון כאשר בעקיפין הארגון רוכש שירותי מיקור חוץ של ניהול תשתיות, רכש תשתיות ויישומים, פיתוח יישומים, אבטחת מידע ועוד.
השימוש בשירותי מחשוב ענן מעביר כביכול סיכונים מהארגון לספק השירותים, אולם בפועל הארגון נדרש לתת מענה לאותם סיכונים ואף לסיכונים נוספים, רק שהפעם האחריות התפעולית אינה בידיו.
 

ישנם כמה סיכונים עיקריים בשימוש במחשוב ענן, ויש גם דרכים להתמודד איתם:

טכנולוגיה
שירותי ענן, אשר החלו עוד בשנות ה- 90, כמו אחסון מרוחק (Hosting), הגיעו לרמת בשלות אשר מאפשרת להם לספק שירות ברמה דומה ואף גבוהה משירותים מקבילים מתוך הארגון. מוצרי מדף של שירותי ענן אומנם קיימים אך מוגבלים בגיוון שלהם ומתמקדים בעיקר בתחום תשתיות המחשוב. לכן, תחומים חדשים יחסית, כמו יישומים תפעוליים, אשר ניתנים על ידי גורם חיצוני בתצורת ענן, הינם בעיקר מפיתוח עצמי או מערכות ותיקות, אשר הוסבו לסביבת ענן, ולכן מהוות טכנולוגיה בהתהוות עם כל הסיכונים שבכך, כפי שיפורט בהמשך.

אבטחה לוגית
ספק שירותי הענן חייב ליישם מנגנונים אשר יזהו את הלקוחות, אשר מבקשים לגשת לשירותים שלו באופן המאובטח ביותר. הארגון אשר מקבל שירותי ענן יכול לבחון האם הגישה לשירות עומדת בסטנדרטים העדכניים של הזדהות חזקה כגון: הגבלת טווח IPלגישה, שימוש בסיסמאות חד פעמיות ועוד. על מנת להבטיח כי לאמצעי הזיהוי החזקים אין דלת אחורית עם הזדהות חלשה יותר ייטב אם יקבל אישור על כך מספק השירות כפי שיפורט בהמשך.

העברת מידע
אבטחת תווך העברת המידע בין הארגון לענן ויצירת תווך מוצפן אינם מספקים על מנת להבטיח כי הנתונים אשר נשלחים לענן לא ייורטו על ידי גורמים אחרים. העברת מידע מהענן ללקוחות הארגון או לבעלי עניין אחרים כמו עורכי דין, רואי החשבון ועוד נדרשים להיות מאובטחים גם הם וזאת ניתן להשיג על ידי שימוש בכספות וירטואליות, שימוש בדואר אלקטרוני מוצפן ועוד.


חיסיון המידע
אחד היתרונות היחסיים של שירותי ענן הוא היכולת להשתמש באותה התשתית (הפיזית והאפליקטיבית) למספר לקוחות, לכן קיים סיכון שמידע יזלוג בין לקוחות של ספק השירות. זליגת המידע עלולה לבוא לידי ביטוי בדרך של הצגת מידע של לקוח אחד במסכים ובדוחות המיועדים ללקוח אחר או בדרך של שליחת הודעות ללקוחות בארגון דרך הענן תחת מיתוג שגוי או עם נתונים אשר אינם שייכים ללקוח. שערו בנפשכם שלקוח אחר של ספק השירות יראה את רשימת הלקוחות שלכם! ואולי יראה את היתרות או היסטוריית השירות שסיפקתם להם.
התמודדות עם סיכון זה יכולה להיות בשתי דרכים – מניעה ואיתור:
ניתן למנוע את הסיכון לחיסיון המידע על ידי דרישה מספק השירות לעמוד בסטנדרטים למחשוב אמין כמו SYS Trust. סטנדרט זה מחייב את הספק לוודא כי המידע ותפעול המערכת עומדים בסטנדרט גבוה של חיסיון ואמינות. ניתן לקשר אישור על עמידת הספק בסטנדרט על ידי דרישה לקבל דוחות מסוג SOC, אשר ניתנים על ידי גורמים חיצוניים לאחר שבחנו את מערכות ספק מחשוב הענן.
על הארגון להטמיע בקרב עובדיו מודעות גבוהה לחיסיון ואבטחת המידע בעיקר כאשר מידע זה מנוהל בענן ולדווח ליחידת מערכות המידע ואבטחת מידע ועל כל אירוע אשר עשוי ללמד כי המידע המנוהל אצל הספק נמצא בסכנת זליגה. דוגמא לאירוע שכזה הוא הודעה מצד הלקוחות על מידע בעייתי - שגוי או שאינו שלהם, שהם קיבלו.

שלמות הנתונים
כאשר הארגון עושה שימוש בשירותי ענן, הנהלת הארגון עדיין אחראית לכך שהמידע התפעולי והפיננסי של החברה מנוהל בשלמותו וכי לא נאבדות רשומות בשל תפעול לקוי של טרנזקציות או איפיון לא מתאים של דוחות. על מנת להתמודד עם סיכון זה על הארגון ליישם מנגנוני בקרה עסקיים אשר מבטיחים כי כל המידע אשר מועבר או מתקבל מהענן היא שלם.
נדבך אחד של הבקרה הינו מנגנונים אוטומטיים אשר מבטיחים את שלמות המידע המועבר בתקשורת בין מערכות פנים ארגוניות לבין הענן. מנגנונים כאלו יכולים להיות בקרת שלמות בקבצים (hash totals), ספרור רציף של רשומות וממסרים ועוד.
נדבך נוסף של הבקרה הינו בדיקות עסקיות על המידע התפעולי והפיננסי אשר מנוהל בענן, במסגרת בדיקות אלו מצליבים בין דוחות שונים ובין נתונים מתוך הארגון לבין הנתונים בענן, זאת על מנת לאתר אי התאמות אשר עשויות להצביע על חוסרים במידע המדווח.

בקרת ספק השירות והשירותים עצמם
כפי שנכתב לעיל, הארגון איננו יכול להסתפק בכך שמידע מנוהל אצל גורם חיצוני ועליו לוודא את תקינותו כפי שהיה אם המידע היה מנוהל בתוך הארגון. על הארגון לייסד תהליכי בקרה על השירות, מחויבויות הספק, המידע והאישורים המתקבלים מהספק. מכיוון שהמידע מנוהל על ידי גורם חיצוני, ייסוד בקרות אלו קשה יותר ואין לארגון שליטה מלאה על מקורות המידע על מנת למסד את הבקרות. בכדי להתגבר על קושי זה, על הארגון להיעזר בגורמים בעלי ניסיון בתחום הבקרה ובבקרה על ענן ולשכות שירות על מנת שאלו יעשו יחד עם הארגון הערכת סיכונים כתוצאה משירותי הענן, יציעו תהליכי בקרה ויספקו לארגון Best Practicesבתחום הבקרה.

התקשרות עם ספק השירות
הערכת הספק והחוזה אשר נחתם איתו צריכים לכלול התייחסות לסיכונים שפורטו, הבטחת התכולה אשר הארגון יקבל, הבטחת סטנדרט השירות, זכאות לבדיקה עיתית של הספק, קבלת אישורים וכיו"ב. לאחר שההסכם נחתם צפוי כי הספק יפעל למנוע מהלקוח לבדוק אותו או לספק תכולה, אישורים ודיווחים נוספים וזאת בין היתר להבטיח כדאיות כלכלית של ההתקשרות. 

לסיכום, יחידת טכנולוגיות המידע בארגון עוברת בעידן הענן להיות יחידה עם מיקוד ניהולי יותר מאשר מיקוד טכנולוגי והכישורים הנדרשים מבעלי התפקידים הינם מעבר לכישורים וניסיון טכנולוגי גרידא. לידי הארגון מספר כלים לבקרת שירותי הענן אשר מתחלקים לשני סוגים עיקריים: דרישת דיווח מספקי שירותי הענן והפעלת בקרה על ארכיטקטורת הענן והמידע המתקבל מספקי השירותים.