אבטחה בעננים 

אחת הדילמות המרכזיות העולות מצד צרכנים השוקלים מעבר לקבלת שירותים ב- SaaS נוגעת לנושא אבטחת המידע. הרי שירות SaaS מציע לנו לקחת את כל המידע הארגוני, החל מתעבורת הדואר, דרך מערך קשרי הלקוחות ועד הניהול השוטף של העסק, ובמקום לשמור אותו אצלנו, בשרת הארגוני, פשוט לשים אותו באינטרנט.

מי יסכים לקחת את כל המידע על הלקוחות שלו, ופשוט לשים באינטרנט? זה נוגד כל הגיון, זה מידע סודי בהחלט!!!

ובכן, אני מסכים עם הרעיון הכללי – עדיף שהמידע הארגוני שלך לא יישב באינטרנט, כך הוא יהיה שמור הכי טוב. אבל, וזוהי נקודה שכל בעל עסק המחזיק מערכות מחשוב (החל ממחשב בודד, דרך שרת אחד ועד חוות שרתים) צריך להכיר בה: המידע הארגוני שלך נמצא כבר היום באינטרנט. המחשב שלך, השרת שלך, נמצאים באינטרנט.  מבחינת התשתית, אם כשאתה יושב במשרד אתה גם גולש באינטרנט, וגם מגיע לנתונים העסקיים שעל השרת שלך, הרי מי שנמצא באינטרנט יכול, בעזרת האמצעים המתאימים, להגיע לנתונים העסקיים שעל השרת שלך. הרי הכבלים קיימים, והתקשורת עוברת...

ובכן, אם השרת שלך במילא מחובר לאינטרנט, ואתה מבין את זה, כשאתה שוקל האם לעבור ל SaaS, הדילמה שלך בעצם היא לא "האם לשים את הנתונים באינטרנט או לא", אלא "אם הנתונים שלי כבר באינטרנט, איך אדאג שהם יהיו מוגנים בצורה הטובה ביותר?"

מיקרוסופט קוראת למנהלי רשתות שמבצעים תכנון של אבטחת מידע לחשוב במובן של "הגנה לעומק" (Defense In Depth). הכוונה היא לנסות ולמצוא את כל נקודות התורפה, או השכבות שבהן יכולה להיות פרצה. למען הקלות והפשטות של מאמר זה, אני לא עובר על כל התורה.

אז בואו ונעבור על מספר נקודות שקשורות לאבטחת מידע, ונראה את הדרכים שניתן להגן על המידע שלנו:

1.      הגנה פיסית – זוהי ההגנה הפשוטה, ובדרך כלל גם זו שהכי נוטים לזלזל בה: מדובר על ההגנה הפיסית שאתה מעניק לנתונים שלך. האם השרת שלך מקובע לרצפה, האם הוא נעול מאחורי מנעול, האם כל אורח במשרד יכול להציץ או "לאסוף" את השרת, כמה זמן לוקח מהרגע שבו האזעקה מתחילה לפעול ועד לרגע שבו מישהו מגיע למשרד וכו'.

2.      הגנה על המידע – למי מותר לקרוא, למי מותר לכתוב, למי מותר לגבות או לשחזר וכו'... הגנה על המידע מגינה לא רק מפני גורמים עוינים, אלא גם מטעויות משתמשים, כך שלא יהיה מצב למשל שעובד כלשהו מוחק קובץ שאסור לו.

3.      הגנה על המחשב שבו יושב המידע – האם המחשב מוגן מפני וירוסים, מפני תוכנות רוגלה, האם מותקנים בו כל עדכוני האבטחה וכו', האם מותקנת במחשב חומת אש, והאם היא מוגדרת נכון.

4.      הגנה על הרשת שבה יושב המחשב – האם שאר המחשבים ברשת מוגנים, האם הרשת עצמה מוגנת מאחורי חומות אש והגנות אחרות.

5.      הגנה על התווך – האם התקשורת בין המחשב שבו יושב המידע, ובין שאר המחשבים שניגשים אליו לקבל מידע מוצפנת ומאובטחת? אם למשל אני יוצר חשבונית בתוכנית הנהלת חשבונות. השרת יכול להיות מוגן מאוד, וגם המחשב שלי, אבל העברת נתוני החשבונית בין המחשב שלי לשרת אינה מוצפנת, כל מי שמאזין יכול בעצם לשחזר את המידע ואת החשבונית הזו.

6.      נהלים ארגוניים – מעבר לכל הנושא הטכנולוגי, הנהלים הארגוניים באים לקבוע את דרך הפעולה של העובדים בארגון. למשל – אסור לחבר דיסק און קי לשרת, אסור להוציא מחשבים ניידים מהעסק וכו'.

אחרי שעוברים על שש הנקודות האלו, אפשר לנסות ולנתח איפה הנתונים שלנו מוגנים יותר טוב, כשהם יושבים על השרת הארגוני אצלנו במשרד, או אצל ספקית שירותי ה SaaS.

הגנה פיסית במשרדים היא לרוב ירודה לעומת חוות השרתים של ספקית השירות. במרבית המשרדים השרת נמצא בחלל המרכזי או בחדר נפרד, אבל לא מאחורי מנעולים, ולא תמיד יש שומר בשעות הלילה. אצל ספקית השירות השרתים מותקנים בחוות שרתים מסודרות, נעולות בחדרי שרתים המוגנים על ידי קוד ומנעולים ביומטריים, המקום מוגן 24 שעות ביממה על ידי חברת שמירה, כולל מצלמות אבטחה מקליטות.

הגנה על המידע במשרד הממוצע היא ירודה עד סבירה, והיא תלויה בעיקר ברמת המומחיות של איש המחשבים, וברמת ההוצאות שבעל העסק מוכן להוציא על שעות עבודה של איש המחשוב. לעומת זאת אצל ספקית השירות השרתים שמורים על ידי נהלים שנקבעו על ידי היצרנים. למעט מקרים שבהם השליטה היא בצד הלקוח, ההגנות  הן ברמה גבוהה מאוד.

הגנה על המחשב בו יושב המידע במשרד היא סבירה במקרה הטוב, אנטי וירוסים מעודכנים באופן אוטומטי, עדכונים קריטיים אינם מותקנים עד שאיש המחשוב מבצע פעולות יזומות, חומות אש בדרך כלל אינן פעילות או אינן מוגדרות ברמה הגבוהה ביותר. אצל ספקית השירות לעומת זאת, ההגנה היא גבוהה, ספקיות השירות מבינות שכל רגע שבו השרת חשוף לפגיעות, מהווה מבחינתן הפסד כספי פוטנציאלי ומבצעות את המקסימום שהן יכולות על מנת לבצע הגנות על השרתים.

ברוב המקרים, ההגנה על הרשת במשרד היא נמוכה – רשתות ארגוניות בדרך כלל כוללות אנשים שגולשים באינטרנט, ברשתות חברתיות, משתמשים בתוכנות מסנג'ר, מקשיבים לרדיו באינטרנט וכו'. בקיצור, מזמינים מחלות לרשת. המצב אצל ספקית השירות הוא שונה, השרתים מבצעים אך ורק את תפקידם ולכן אינם מזמינים מחלות. חומות האש מוגדרות ברמה הגבוהה ביותר ואינן מאפשרות גישה שלא לצורך. אין גישת VPN לחווה למעט ניהול של  מנהלי החווה.

הגנה על התווך במשרדים היא ברוב המקרים די נמוכה, תקשורת לשרתים אינה מוצפנת, ואם היא מוצפנת, ההצפנה מבוצעת על ידי תעודות אבטחה (SSL) שאינן תקינות. אצל ספקית השירות, כל התקשורת לחווה מוצפנת על ידי תעודות אבטחה תקינות שנרכשו מחברות מוסמכות (trusted CAs).

ובכל הנוגע להגנה על פרטיות - במשרד הממוצע רק המידע של אותו משרד נמצא על השרת, אך ייתכן שעצם ההגנה הירודה של השרת תגרום לזה שהפרטיות שלנו היא לא באמת כזו פרטית. השרתים של ספקית השירות מכילים נתונים של הרבה לקוחות כמונו, אך כל רמות ההגנה שפורטו כאן מביאות לכך שהמידע שלנו סודי, פרטי ומוגן הרבה יותר מאשר אם הוא היה יושב על השרת המשרדי.

שאלה נוספת שהלקוח צריך לשאול את עצמו היא במי הוא בוטח. האם אין סכנה שספקית שירותי ה SaaS תיגש לנתונים של הלקוח ותשתמש בהם לצרכיה? (או גרוע מכך – תמכור את הנתונים למרבה במחיר?). התשובה הטכנית היא שכן, לספקית שירותי ה SaaS יש גישה לנתונים הנשמרים על המערכות שלה. והיא ניגשת לנתונים האלו באופן שוטף. הגישה מתבצעת על מנת לבצע גיבויים, תחזוקה שוטפת ופעולות נוספות כגון תמיכה טכנית באישור ולפי בקשת הלקוח. הפעולה הזו זהה לפעולות התחזוקה שהיה מבצע איש המחשבים באופן שוטף עבור מערכת המחשוב הנמצאת במשרד הלקוח. עכשיו, כשאנו מבינים שגם לאיש המחשבים באתר הלקוח, וגם לספקית ה SaaS יש גישה לנתונים, השאלה שבאמת נשאלת היא – על מי אנחנו סומכים יותר? כשהלקוח בוחר ספק שירות , בין אם ב- SaaS ובין אם באתר הלקוח, עליו לבדוק את מדיניות הפרטיות והסודיות המוצעת על ידי הספק. בדרך כלל, טכנאי מחשב, או חברות מחשוב אינן מחזיקות בנהלי פרטיות וסודיות מסודרים, והאמון הוא אמון אישי הנרכש בין בעל החברה לבין חברת המחשוב. אולם ספקיות SaaS, המרוויחות את לחמן מאספקת שירותים למגוון לקוחות בו זמנית, יגדירו באופן חד, על ידי נהלים פנימיים מגובים במסמכים משפטיים את נהלי הפרטיות וסודיות הלקוח. בשורה התחתונה, השאלה היא האם אנחנו סומכים על טכנאי מחשבים שמגיע אלינו מפעם לפעם, או על ספקית שירות המספקת את השירותים לעוד מאות לקוחות ופרצה בנושא הפרטיות יגרום לה למשבר אמון חמור מול כלל לקוחותיה.

לסיכום, אם אנחנו מבינים שהמידע שלנו בעצם נמצא באינטרנט כבר עכשיו, נראה די ברור שמבחינת אבטחת המידע עדיף שנשים אותו אצל ספקית שירותי SaaS. כך נוכל להבטיח שהמידע שלנו נשאר מוגן.