ישי ורטהיימר, סומך חייקין KMPG: "ספקי הענן יכולים להיות מאובטחים מאוד – אך זה לא משחרר מניהול סיכונים"

"הגישה של התרחקות משירותי ענן השתנתה וכנראה צריכה להשתנות", כך אמר ישי ורטהיימר, שותף וראש מחלקת אבטחת מידע בסומך חייקין KMPG. "לדעת גורמים בתעשייה, המעבר לענן הוא כבר צורך, והעולם הולך לכיוון הזה, גם ארגונים פיננסיים. יש בתעשייה חברות של שירותי ענן בתעשייה, כמו Salesforce, שהשירותים שלהן מאובטחים יותר ממרבית הבנקים בישראל. בהתאם לכך, בזמן יחסית קצר התפתחו תקינה ומעין סטנדרטים חצי רשמיים איך אפשר לסמוך על ספק של שירותי ענן".

ורטהיימר דיבר במסלול המקצועי בכנס InfoSec 2015 של אנשים ומחשבים, בהנחייתו של רם לוי, מנכ"ל ומייסד קונפידס.

בדבריו דן ורטהיימר בנושא העברת נתונים לענן והאם יש בכך שיפור ברמת אבטחת המידע. הוא ציין כי "ארגונים רבים חוששים מהמעבר לשירותי ענן בשל סיכוני אבטחת המידע הכרוכים בכך. מנגד, ארגונים אחרים שמחים להעביר את האחריות לאבטחת המידע שלהם לספקי הענן ומצפים שאלה ייקחו אחריות מלאה על אבטחת המידע". הוא הרחיב על ההיבטים המעשיים של סיכוני אבטחת המידע במעבר לשירותי ענן ועל ההחלטה על מי מוטלת האחריות, עד כמה ניתן לסמוך על הספק והאם במעבר לענן אנחנו בעצם מאבדים שליטה על הנתונים, או שמא מעבירים אותם למקום בטוח יותר.

ורטהיימר הפריך כמה מיתוסים מקובלים, כמו, למשל, האם רמת האבטחה של חברות שירותי אבטחה נמוכה יותר, או החששות מפני הגורם האנושי אצל נותן השירותים בענן, שיכול להגיע לנתונים רגישים של חברות. "בעקרון", אמר, "הסיכונים הם באמת סיכונים, והם פשוט מציבים אתגר כיצד להתמודד מולם. בגדול, זה סיפור של סיכונים, שצריך להעריך אותם בצורה מדויקת ולהתמודד מולם".

לסיכום, ציין, "גם הלקוח צריך להגן על הנתונים שלו – ואין זו אחריותו הבלעדית של ספק שירותי הענן. על הלקוח להבין שהאחריות מתחלקת ולהגדיר את גבולות האחריות. בסיכומו של דבר, ספקי שירותי הענן יכולים להיות פלטפורמות מאובטחות מאוד ולייצר בשורה התחתונה סיכונים שארגונים יכולים לקבל, ומנגד – צריך לפעול כדי לנהל את הסיכונים, כדי להפיק את המקסימום משירותי הענן".

אורן ברט, ראש מינהל הסייבר בתע"ש

אורן ברט, ראש מינהל הסייבר בתע"ש, דיבר על היערכות מחודשת להגנה בעידן הלא נודע. לדבריו, "בעידן המתחדש של קישוריות אינסופית ותלות אבסולוטית בתשתיות מחשוב ומערכי תקשורת, חל שינוי דרמטי באופיים של איומים על מערכות חיוניות אלה. כשאומרים הגנה קיברנטית לא מתכוונים יותר להגנה על מידע, או ידע, אלא להגנה על מערכי תקשורת ומחשוב חיוניים וקריטיים – ממערכות בקרה וניהול מצד אחד ועד אמצעים ממוחשבים אחרים בכל תחומי חיינו מצד שני".

הוא אמר כי  "האיום המתקדם בעת הזאת הינו על עצם תפקודם של אלמנטים מבוססי מחשב שהם בעצם הכול ולכן, מערכי ההגנה צריכים להיפרש ולהיבנות מחדש, תוך נטישת תפיסות ההגנה הישנות. מעתה, יש להיערך להגנה על תפקוד ולא על מערכות מידע. כל מה שיש בו מחשב מציב איום".

"בסייבר", לדבריו, "נמצאים כל הדברים שאנחנו משתמשים בהם – מהמכונית והמטוס שמטיס אותנו ועד השעון והמיקרוגל שלנו, ומאחר שחלק גדול מהדברים האלה מתערבים בהחלטות בהתנהלותנו היומיומית, המשחק השתנה. אני לא בטוח שבעולם הזה לא יקרה משהו חמור ושאף אחד לא ימות מזה".

ברט מציע דרך חדשנית להתגוננות, המבוססת על תקיפה הנובעת מהעולם המבצעי ולא מעולם המודיעין. "מול איומים מבוססי תנאים צריכים להיערך באותה רמה – הווה אומר, בואו נבנה את מערך ההגנה שלנו בהתבססות על כל מה שמהנדס המערכת יודע. בסיכום, הקרב האמיתי של כולנו להפוך את העולם לבטוח יותר הוא מודעות", אמר.

איציק כוכב, ממונה על הגנת המידע בשירותי בריאות כללית

איציק כוכב, הממונה על הגנת המידע בשירותי בריאות כללית, טען כי המידע שלנו כלל לא מוגן. ההוכחה לכךהיא, לדבריו, האירועים שהתרחשו באחרונה, כמו מקרה סוני (Sony), חדירה לשרתים של חברות ביטוח ובנקים ועוד. "אפילו בעולם הרפואה – גם בישראל וגם בחו"ל – אנחנו באמת לא יודעים איפה המידע נמצא, כי הוא משתרשר בכל כך הרבה מערכות".

מכאן, אמר כוכב, "עולה השאלה: מה תפקידה של אבטחת המידע? ובכן תפקידה הוא לשמור על סודיות המידע, זמינותו ואמינותו. כל זה נעשה באמצעות כמה פרוטוקולים, כמו מודל שבע השכבות של מיקרוסופט (Microsoft) או מודלים אחרים, שבהם המידע נמצא בתחתית, ומסתבר שכל התקציבים נוצלו בשכבות העליונות ולא נשאר כסף לטפל במידע עצמו".

כוכב סבור כי יש בעיות נוספות שבגללן המידע אינו מוגן: "במדינה כמו ישראל, שמכונה מדינה בעומס יתר חברתי, היחס למידע הפרטי של האדם הוא נמוך מאוד. בנוסף, אין בישראל רגולציה איך עושים אבטחת מידע. האכיפה קלושה, הענישה לא פרופורציונלית. המשתמש עושה בתחנת הקשה כבשלו, אין תקציב מסומן ברמת הנהלה להגנה על המידע ואין חינוך לאבטחת מידע – גם באקדמיה. בנוסף, מקומו של מנהל אבטחת המידע הוא לא המקום הנכון. הוא לא צריך להיות ב-IT".

"השיטה שבה נהגנו עד כה – נכשלה", ציין. "כשלנו, כי נגררנו אחרי משהו שאירע לכולם".

הפתרון, הציע כוכב, הוא שינוי תפיסה באבטחת המידע: שינוי בתחומי האחריות, לקבוע רגולציה כחוק, וצריך לעשות הפרדת רשויות – הראייה של מנהל אבטחת המידע צריכה להיות כלל ארגונית ברמת ההנהלה ולא מזווית ה-IT, וכמובן צריך שיהיה חינוך לאבטחת מידע על כל ציר הזמן של תלמיד, עד היותו סטודנט ואיש אקדמיה.

כוכב הציע,שתפקיד אבטחת המידע יתמקד באמינות המידע, בסודיות המידע ובבקרה על המידע. "יש לטפל קודם כל ב-Data, כי כפי שאתם רואים, המידע הוא גלוי ופרוץ. השינוי הגדול הוא בזמינות, שקשורה בתשתיות תקשורת, ומן הסתם זה קשור בסייבר, וזה שייך לעולם הסייבר. מכאן, לדעתי, יש מקצוע חדש יחסית שנקרא אבטחת סייבר, ולצדו, המקצוע הישן של אבטחת מידע".

המודל אותו הוא מציע, "מודל הכוכב", כולל טיפול במידע מרגע שהוא נולד, כלומר – להצפין אותו, או לפחות את חלקו החשוב; בקרה על המידע מרגע שהוא מתחיל לעבוד במערכות, כשכמעט שלא נגעו בו; ביצוע של אותנטיקציה מלאה; למידת פיתוח מאובטח שמונע פגיעה; ולבסוף, בניית מדיניות מוסדרת לכל אורך נתיב המידע".