עולם העסקים מחובר 24/7 לאינטרנט. בין אם מדובר במיילים, תוכנות CRM או ניהול מסמכים, השימוש הנרחב בשירותים מבוססי מחשוב ענן שהגישה אליהם היא באמצעות האינטרנט והדפדפן מחייב התייחסות להיבטי אבטחת המידע ולסיכוי של גניבה או אובדן של מידע. לכן, מצאתי לנכון לסקור את נושא אבטחת המידע, ובעיקר את הדרכים העיקריות להבטיח שהמידע שלנו יהיה מוגן ובטוח.
מהי אבטחת מידע?
אבטחת מידע היא מכלול האמצעים שאנו נוקטים על מנת להגביל את הגישה למידע המצוי במערכות המחשוב בארגון לגורמים פנימיים או חיצוניים. רמות אבטחת המידע משתנות בהתאם לכמות המשתמשים בארגון והנגישות הנדרשת להם, ובהתאם למידת הרגישות של המידע אותו אנו שומרים. אבטחת המידע באה לידי ביטוי בגישה של מערך המחשוב אל העולם החיצון, כלומר תחנות הקצה - המחשבים, והשרתים הארגוניים, ולא פחות חשוב גם בגורם האנושי – המשתמשים במערכת ואופי השימוש שלהם בה.
אבטחת מידע עובדת בשיטת "המעגלים", משמע מגדירים מעגלים ברדיוס הולך וגדל (מהארגון החוצה) ומטפלים בכל מעגל במאפיינים הייחודיים שלו, כך מושגת תפיסת אבטחה רב שלבית וכוללת.
מחשבי העובדים והשרת הארגוני
הדבר הראשון שנרצה להבטיח הוא שהמחשבים בארגון מוגנים מפני וירוסים ונוזקות. לשם כך נרצה לוודא שבכל המחשבים מותקנים עדכוני מערכת ההפעלה החדשים ביותר (עדכוני ווינדוס ברובם המכריע הינם עדכוני אבטחה). בנוסף, חשוב להקפיד שבכל המחשבים מותקן אנטי-וירוס איכותי, לא חינמי ולא פרוץ, אשר מקבל גם הוא עדכונים באופן קבוע ובתדירות גבוהה. רכיבי אבטחה אלו נדרשים בכל מצב, וזה לא משנה אם אתה עובדים מול הענן או השרת המשרד.
הדבר השני שנרצה להבטיח הוא שהשרת הארגוני שלנו מוגן מהתקפות חיצוניות. השרת הפיזי, בדיוק כמו המחשבים במשרד, מחובר לאינטרנט וחשוף לסיכוני הרשת – ומכאן שהתפיסה לפיה הוא מוגן יותר משרת בענן אינה נכונה. בהקשר זה דווקא שרת ענן של חברת תשתית טובה ומבוססת יספק לנו הגנה גבוהה בכמה רמות מזו שנוכל ליישם על שרת פיזי אצלנו במשרד. הסיבה לכך היא שתוכנות אבטחת מידע איכותיות, המיועדות לארגונים גדולים ותאגידים (Enterprise) הן יקרות מאוד, ולכן רוב העסקים הקטנים לא יכולים לעמוד בעלות התקנתם בשרת מקומי קטן. שרתי ספק תשתית הענן, היות ומספקים את השירות לאלפי חברות, עומדים בסטנדרטים הגבוהים ביותר לאבטחת מידע ברמת השרת, ולפיכך שמירת מידע רגיש מסוים על שרת וירטואלי מאובטח יכולה לספק לו בפועל הגנה טובה יותר משמעותית ביחס לשרת פיזי.
ניהול הידע
עסקים אשר מחזיקים מידע רגיש על לקוחותיהם – מידע רפואי, מידע פיננסי או פסיכולוגי, או אפילו תיעוד של מספרי כרטיס אשראי או חשבונות בנק לצרכי גבייה – צריכים להגן על המידע הזה ברמה גבוהה מאוד. שתי דרכים עיקריות מאפשרות לנו להגביל את הגישה למידע הרגיש שברשותנו, גם כאשר אנו מחוברים באופן רציף לאינטרנט או פועלים מול שרת בענן:
1. אפשרות ראשונה – הצפנה – שימוש באמצעים שונים להצפנה של המידע, כך שפענוח שלו יתאפשר רק באפשרות קוד או סיסמא מיוחדים. נתוני אשראי למשל, אשר נשמרים בשרתים של חברות דוגמא PayPal, מוחזקים בשרתים המצייתים לתקן PCI DSS – התקן המחמיר ביותר לאבטחת מידע, הפועל בהצפנה של 256 סיביות (הצפנה חזקה ביותר).
2. אפשרות שנייה – "הפרד ומשול" – הפרדת מאגרי המידע הרגיש ממאגרי הפרטים המזהים מבחינת נקודת השמירה, מיקום פיזי וכד'. כך פורץ פוטנציאלי שישים את ידו על צד אחד של הנתונים לא יוכל להפיק מהם כל ערך ללא הצד השני. כך למשל ניתן לפרק כל מאגר מידע לשני חלקים לפחות ולשמור כל אחד מהם בשרת נפרד. באותו עניין ניתן למנות גם הנחיות מקובלות נוספות כגון הימנעות משמירה סיסמת השימוש במחשב מודבקת עם PostIt על המסך וכד'.
השיקול לבחירה בין האפשרויות וטיפול נכון בנתונים נובע ממיפוי המידע החיוני והרגיש ביותר. זהו המידע שאת הגישה שלו נרצה להצפין ולהגביל ברמה הגבוהה ביותר, ומידע פחות חיוני, עם פוטנציאל נזק נמוך יותר יטריד אותנו פחות בחשיפה הנובעת מהגישה הישירה לאינטרנט.
לא כולם שווים
עוד פרמטר חשוב כאשר עוסקים באבטחת המידע העסקי הוא ניהול של הרשאות המשתמשים במערכת. לא כל העובדים בארגון צריכים גישה לכל המידע הקיים על לקוחות, ולכן כדאי ונכון להשתמש במערכות המאפשרות לבצע ניהול של הרשאות משתמשים, ולהגביל את הגישה, כמו גם את הפעולות שניתן לבצע במידע, בהתאם לנדרש לעובד לביצוע תפקידו.
ניקח לדוגמא שירות ניהול מסמכים בענן פופולארי – Dropbox. מצד אחד העבודה נוחה מאוד ומאפשרת לכלל העובדים בארגון לעבוד מול תיקיות זהות המסונכרנות באופן אוטומטי. מצד שני, לכל העובדים בארגון ללא יוצא מן הכלל יש גישה מלאה לתכנים בתיקיות הארגוניות, ובכלל זה גם הרשאות לצפות, להעתיק, לשנות ואף למחוק את החומרים. להבדיל, בשירות מסמכים מסוג SharePoint בענן ניתן ליהנות מאותה רמת נגישות וזמינות של המידע, אולם להגביל את הגישה לחלק מהמידע, כך שמידע אישי רגיש לא יהיה פתוח לעיני כל, ועובד זוטר לא יוכל להעתיק חומר או למחוק אותו, לא בטעות ולא בזדון.
המשמעות של החיבור הרציף של כולנו לאינטרנט היא שלמעשה אין הבדל מהותי בגישה לאבטחה בין שרתים פיזיים לשרתים ווירטואליים. אבטחת המידע אינה מסתכמת רק בתוכנות אבטחה במחשב ובשרת, מה גם ששרתים בענן מאפשרים כיו גם לעסקים קטנים ובינוניים ליהנות מרמות האבטחה הגבוהות ביותר, ובסופו של דבר האבטחה תלויה גם בניהול של הידע והרשאות המשתמשים בגישה אליו.
סיכום:
בניגוד לדעה הרווחת,אחסנת מידע בענן לא דורשת שנתפשר על אבטחת מידע. נהפוך הוא, ברוב הפרמטרים אחסון של מידע ושירותים בענן מספק אבטחה גבוהה יותר.
בין אם אתם מאחסנים מידע בשרת / מחשב לוקאלי או בענן, יש להקפיד תמיד על אבטחת מידע לפי "מעגלים" – המעגל הפיזי (המחשב הפיזי + התנהגות והמשתמש) מעגל "הצפנה / הפרדה" (הצפנת של נתונים רגישים ו/או הפרדתם) מעגל המשתמשים "ניהול הרשאות ורמות גישה למידע". רק שילוב בין מעגלים אלו יבטיח עבודה בטוחה ומוגנת.
אז גלשו ותהנו!