ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
טכנולוגיה
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2022

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות שירות למנויים נגישות הגדרות לוח גלובס יצירת קשר פרסמו אצלנו תנאי שימוש מדיניות פרטיות
אבטחה

הצד האפל של הענן: הנתונים שלכם בענן לא מאובטחים

הנתונים שמסרתם לבנק, לקופת החולים ולספקית המייל עלולים להגיע בשנים הקרובות למרכזי מחשוב ענן עצומים שאינם מפוקחים מספיק ■ מי יפצה אתכם במקרה של אובדן פרטיות?

שמוליק שלח 12.12.2011

בתחילת אוגוסט התרחשה הפסקת חשמל בחוות השרתים של אמזון באירלנד. אמזון, ספקית שירותי מחשוב ענן מנוסה, הייתה אמורה להתמודד עם תקלה כזו בתשתיות הבסיסיות.

בפועל, התקלה מנעה מחלק ניכר מהמשתמשים בשירותי אמזון במערב אירופה לגשת לפונקציות מסוימות באמצעות שירותי הענן שמציעה אמזון, וקמעונית האינטרנט שמנהל ג'ף בזוס חטפה מכה קשה לתדמיתה.

זו לא הפעם הראשונה שאמזון מתקשה לספק את הסחורה בכל הקשור לטיפול בתקלות בשירותי מחשוב הענן. הפעם זו הייתה הפסקת חשמל, שנוצרה ככל הנראה מכוח עליון אמיתי - מכת ברק. בפעם הקודמת, באפריל, זו הייתה פגיעה בחלק אחר של השירות בארה"ב.

אמזון לא לבד. בשנה האחרונה שמענו לעיתים קרובות על תקלות בחוות השרתים של גוגל, אמזון, מיקרוסופט, יאהו וספקיות רבות של שירותי ענן נוספים. השורה התחתונה והברורה לכולם היא, ששימוש באפליקציה או משאבי מחשוב שנמצאים במרכז מחשוב מרוחק, אינם חסינים לתקלות. יותר מכך, הן אפילו יכולות להיות הרבה יותר חמורות מכפי שנדמה, אם נביא בחשבון בעיות אבטחה ופרטיות לנתונים רגישים שנמצאים מחוץ לארגון.

כל הדוגמאות האלו נכנסות לקטגוריה של "ניהול סיכונים" בצד התפעולי של ארגונים. העידן החדש של המחשוב כולל בתוכו גם מיתוג מחדש של המונח סיכון. "הסיכון עצמו, במעבר מחוות שרתים שממוקמת בארגון לפעילות באמצעות מרכז נתונים מרוחק, לא השתנה", טוען בוב פאתון (Bob Patton), סגן יו"ר פעילות הייעוץ בארה"ב של פירמת E&Y, שביקר לאחרונה בישראל, "עם זאת, יש גם צד חיובי במעבר הזה שבו הענן מספק במקרים מסוימים מחיר יותר נמוך ויעילות גבוהה".

ב-E&Y מעדיפים להסתכל על התמונה מהפריזמה של אמידת הסיכונים, שכוללים גם את היתרונות במעבר לענן המחשוב. על פי המתודולוגיה הזו, גם אם האיומים נראים יותר מפחידים עדיין שום דבר מהותי לא השתנה.

"הסיכוי שמרכז הנתונים ייפול היא די דומה גם בענן מחשוב מרוחק וגם במרכז ארגוני", טוען פאתון, "אם כבר, רוב הסיכוי שבמקרה של תקלה יידעו בענן, שמתוחזק היטב, להתמודד טוב יותר. ההבדל המשמעותי היחידי הוא שאין לך שליטה על מה שקורה בענן, ומכאן הרתיעה".

"אתה מפר את החוק"

החשש מנפילה של שירותים מרוחקים הוא רק צד אחד של מה שמתרחש במרכזי הנתונים המרוחקים. כאשר עובדים עם ספק שירותי ענן, אחד העקרונות שמאפשרים פעילות יעילה הוא שמשאבי המחשוב זמינים היכן שהם קיימים.

רק לפני מספר ימים דיווחה גוגל - ספקית שירותי הענן הגדולה בעולם באמצעות תשתיות החיפוש וה-Gmail - על כוונתה לבנות מרכז נתונים חדש בהשקעה של 300 מיליון דולר בהונג-קונג, שמיועד לשיפור הפעילות באסיה. הונג-קונג אומנם נהנית מאוטונומיה רבה בכל הקשור למערכת החוקית שלה, אבל חלקים מפעילותה, בעיקר בצד הביטחוני, כפופים לממשלה הסינית.

במישור התיאורטי, נתונים שמועברים לספקית שירותי ענן, יאוחסנו בחוות שרתים שכפופות, גיאוגרפית, לחוק הסיני, או במקומות אחרים בהם הסטנדרטים לגבי הגנה על פרטיות אינם תואמים לאלו של מדינות המערב. "יש חובה על המשתמש בשירותי הענן לדעת לאיזו מדינה עוברים הנתונים", קובע יורם הכהן, ראש רמו"ט, הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, "אם אתה משתמש בשירותי ענן בסין, ולא בנית מנגנונים שמוודאים שלא יהיה בהם שימוש לרעה , אתה מפר את החוק".

נשמע הזוי? לפני מספר ימים הודתה ענקית הביטחון BAE סיסטמס הבריטית, כי החליטה לוותר על שירותי תוכנת האופיס של מיקרוסופט שזמינים בענן, ה-Office 365, משום שמיקרוסופט לא יכלה לוודא שהנתונים של החברה לא ישונעו מאירופה לארה"ב וכך יהיו נתונים לביקורת תמידית תחת "חוק הפטריוט" האמריקני.

BAE אינה היחידה שמוטרדת מנושא הפרטיות. ספקיות ענן אירופאיות משתמשות בחוק הפטריוטיות כטריגר לעידוד חברות שלא לפנות למתחרות האמריקניות בגלל היכולת של הממשל האמריקני להיכנס לנתונים על גבי עננים כמעט ללא הגבלה. "הארגונים כיום מוציאים רק את הנתונים שהם מרגישים מאוד בנוח לגביהם לענן", משוכנעת עו"ד אסנת סרוסי פירסטטר, שותפה וראש מחלקת היי-טק וטכנולוגיה במשרד ליפא מאיר.

מי יפצה את הלקוח?

הנתונים שלא מגיעים, לפחות כיום, לענן, הם נתונים אישיים בעלי אופי אישי שנמצאים בידי ספקיות שירותים קריטיות במערכות הקמעוניות, בריאותיות, פיננסיות ואחרות. הנתונים המאוכלסים על שרתים מרוחקים קשים להגדרה. בהתאם, קשה להגדיר את הכתובת האחראית. מדובר בנתונים של לקוח פרטי, שניתנו תחת התחייבות לשמירת הפרטיות לספקית השירותים, ומטעמה אוחסנו על שרתים מרוחקים של ספקית שירותי ענן. במקרה של פריצה לשרתים אלו, מי האחראי? ומכאן, מי אחראי על תיקון הנזק או לפחות פיצוי הלקוח הסופי?

הפתרון, לדעתה של סרוסי פירסטטר, מורכב מהצד הטכנולוגי וההסכם בין ספק הנתונים לספקית הענן, אך דורש גם התערבות הרגולטור בשוק שעדיין אינו בשל מספיק. "צריך חקיקה מתאימה כדי שהארגונים יוכלו להרגיש בנוח בענן", היא אומרת.

מנגד, הרגולציה לא ממהרת להכיר בבעיה. "אנחנו רואים את החלק הישראלי כאחראי", מדגיש הכהן מרמו"ט, "כלומר אם תקרה תקלה באמזון אנחנו לא נבוא בטענה אליהם אלא אל הצד הישראלי".

רמו"ט מכפיפה את החברות שמעוניינות להעביר מידע לספק שירותי ענן לחוקי הפרטיות שרלוונטיים למיקור חוץ כללי, מבחינת אבטחת מידע, פעילות, נוהלי בקרה והדרכה וכדומה. העברת מידע לחו"ל מחויבת לעמוד בתנאי האיחוד האירופי בכל הנוגע לשמירה על ביטחון המידע, והן קשוחות יותר מההוראות האמריקניות בנושא.