מחשוב ענן הוא מרכיב חיוני במרחב הדיגיטלי של ימינו. כיום, יותר סביר שתשתיות IT, פלטפורמות ותוכנות יסופקו כשירות (ולכן אנו נתקלים בראשי תיבות כמו SaaS - Software as a Service) מאשר בצורה המסורתית, על גבי המחשבים עצמם. המודל הזה מושך עסקים קטנים-בינוניים יותר מכל מגזר לקוחות אחר.
מחשוב ענן מאפשר לארגונים אלו להיות ברמה דומה לזו של יריביהם הגדולים יותר, תומך בגמישות העסק ובגדילה מהירה, ומבלי לשבור חסכונות. זו כנראה הסיבה לכך ש-53% מהעסקים הקטנים-בינוניים ברחבי העולם שענו לסקר מהזמן האחרון אמרו שהם מוציאים מעל 1.2 מיליון דולר בשנה על שירותי ענן - עלייה של 38% לעומת השנה הקודמת.
עם זאת, השינוי הדיגיטלי הזה כרוך בסיכון. בכל הקשור למחשוב מבוסס-ענן, אבטחה (72%) ועמידה בדרישות החוק (71%) מוזכרים כאתגרים השני והשלישי בחשיבותם בקרב העונים לסקר הזה. הצעד הראשון לקראת התמודדות עם האתגרים האלה הוא הבנת הטעויות העיקריות שעסקים קטנים מבצעים עם שירותי הענן שלהם.
חשוב לנו להיות ברורים - לא רק עסקים קטנים-בינוניים עושים את הטעויות האלה. גם הארגונים הגדולים ביותר, שלהם כמות המשאבים הגדולה ביותר, טועים לעיתים ושוכחים את כללי הבסיס. אך צמצום הנקודות המתות האלה יסייע לארגון שלכם לצעוד מרחק אדיר לקראת מיצוי מיטבי של השימוש במשאבי הענן, מבלי לחשוף את עצמו לסיכון פוטנציאלי אדיר לכספו או למוניטין שלו.
שבע הטעויות העיקריות של עסקים קטנים-בינוניים באבטחת שירותי ענן לפי חברת אבטחת המידע ESET
- 1. הזנחת שימוש באימות רב שלבי. סיסמאות סטטיות הן לא בטוחות מיסודן, ולא כל עסק מקפיד על מדיניות טובה מספיק להגדרת סיסמאות. ניתן לגנוב סיסמאות בדרכים שונות, כמו מתקפת פישינג, שיטות לפריצה בכוח (Brute-force) או באמצעות ניחוש פשוט. לכן, עליכם להוסיף שכבת אימות נוספת בדמות אימות רב-שלבי, שתקשה על התוקפים לגשת לחשבונות של שירותי הענן שלכם, וכך תצמצם את הסיכון הנובע מכופרות, גניבת נתונים והשלכות אחרות. אפשרות אחרת כוללת מעבר לשיטות אימות אחרות, במידת האפשר, כמו אימות ללא סיסמה.
- 2. הסתמכות על ספק שירותי הענן. רבים ממנהלי ה-IT מאמינים שהמשמעות של השקעה בענן היא העברת האחריות לגורם חיצוני אמין. זה נכון רק באופן חלקי. בפועל, ישנו מודל אחריות משותפת לאבטחת הענן, המחולק בין ספק שירותי הענן ובין הלקוח. החלק לו אתם אמורים לדאוג תלוי בסוג שירות הענן (תוכנה, תשתית או פלטפורמה) ובספק השירות. אך גם כאשר מרבית האחריות מוטלת על ספק השירות (למשל, בתוכנות SaaS), כדאי להשקיע בכלי בקרה חיצוניים נוספים.
- 3. הזנחת גיבויים. כמו בעיקרון הקודם, אל תניחו שספק שירותי הענן (במקרה הזה, שירותי שיתוף קבצים ואחסון, למשל) שומר עליכם. תמיד כדאי להתכונן למקרה הגרוע מכל, שככל הנראה יהיה קריסת מערכות או מתקפת סייבר. לא רק הנתונים האבודים יזיקו לעסק שלכם, אלא גם זמן השבתה ופגיעה בפרודוקטיביות שיכולים לנבוע מתקרית סייבר.
- 4. הזנחת עדכוני אבטחה. אם לא תתקינו עדכוני אבטחה בזמן, אתם תחשפו את מערכות הענן שלכם לניצול פרצות אבטחה. זה יכול לגרום בתורו להדבקה בנוזקות, להדלפת נתונים ועוד. ניהול עדכוני אבטחה זו פרקטיקה אבטחתית בסיסית, שרלוונטית גם לשירותי ענן ממש כפי שהיא רלוונטית לאפליקציות המותקנות ישירות על המחשב.
- 5. הגדרה שגויה של הענן. ספקי שירותי ענן דוגלים בחדשנות. אך הכמות האדירה של אפשרויות ויכולות שהם משיקים בעקבות משובי לקוחות עשויה ליצור סביבת ענן מורכבת מאוד לעסקים קטנים-בינוניים רבים. כך הרבה יותר קשה לדעת אילו הגדרות הן הבטוחות ביותר. בין הטעויות הנפוצות - הגדרת אחסון הענן כך שכל גורם חיצוני יכול לגשת אליו, והשארת פורטים פתוחים.
- 6. הימנעות מניטור תעבורת הענן. כיום, נהוג להגיד שפריצה לסביבת הענן היא לא שאלה של "אם" אלא שאלה של "מתי". לכן, חשוב מאוד לזהות ולהגיב במהירות אם אתם מזהים את הסימנים המקדימים, כך שתוכלו להכיל מתקפה לפני שהיא מסוגלת להשפיע על הארגון. לכן, ניטור מתמשך הוא בגדר חובה.
- 7. הזנחת הצפנה של הנכסים החשובים של החברה. אף סביבה אינה חסינה ב-100% מפני פריצות. אם כך, מה יקרה אם גורם זדוני יצליח להגיע לנתונים הפנימיים הרגישים ביותר שלכם, או למידע אישי של עובדים או לקוחות? הצפנה של הנתונים האלה בזמן אחסון והעברה מבטיח שלא יהיה ניתן להשתמש בנתונים האלה, גם אם מישהו מצליח לשים את ידיו עליו.
אבטחת הענן בצורה נכונה
הצעד הראשון להתמודדות עם הסיכונים הקשורים לאבטחת ענן היא הבנת תחום האחריות שלכם ושל ספק שירותי הענן. לאחר מכן צריך לקבל החלטה - האם אתם סומכים על אמצעי אבטחת הענן הפנימיים של ספק שירותי הענן, או שאתם רוצים להוסיף עליהם מוצרים חיצוניים נוספים.
בחברת אבטחת המידע ESET מציעים את הצעדים הבאים:
- השקיעו בפתרונות אבטחה חיצוניים לשיפור אבטחת הענן וההגנה על שירותי הדוא"ל, האחסון ושיתוף הפעולה, בנוסף לאפשרויות האבטחה המובנות בשירותי הענן שמוצעים ע"י ספקי הענן המובילים.
- הוסיפו כלי זיהוי ותגובה מורחבים או מנוהלים (XDR/MDR) כדי לסייע בתגובה מהירה לתקריות והכלה של פריצות או טיפול בהן.
- פתחו והטמיעו תוכנית מתמשכת ומבוססת-סיכונים להתקנת טלאי אבטחה, המבוססת על ניהול נכסים חזק (כלומר, דעו אילו נכסי ענן נמצאים ברשותכם ודאגו לכך שהם מעודכנים תמיד)
- הצפינו נתונים בזמן האחסון (ברמת בסיס הנתונים) ובזמן ההעברה כדאי להבטיח שהוא מוגן גם אם החבר'ה הרעים מצליחים לשים עליו את ידיהם. זה ידרוש גילוי וסיווג נתונים אפקטיבי ומתמשך.
- הגדירו מדיניות ברורה לבקרה על גישה; הפכו סיסמאות חזקות ואימות רב-שלבי לחובה; הגדירו עקרונות למתן הרשאות מינימליות למשתמשים שונים; והוסיפו הגבלות והרשאות על בסיס כתובות IP לכתובות ספציפיות.
- שקלו אימוץ של גישת "אפס אמון" (Zero Trust), שתכלול רבים מהמרכיבים שהוזכרו מעלה (אימות רב-שלבי, XDR, הצפנה) יחד עם הפרדת הרשת וכלי בקרה אחרים.
- רבים מהאמצעים שהוזכרו מעלה הם דומים לפרקטיקות שכל אדם יצפה שייושמו על תוכנות ותשתיות מקומיות. במידה מסוימת הם אכן דומים, למרות שהפרטים הקטנים שונים. אך החשוב מכל - זכרו שאבטחת ענן אינה רק אחריותו של ספק שירותי הענן. קחו שליטה עוד היום כדי לנהל את סיכוני הסייבר בצורה טובה יותר.