שבר ענן

הפירצה שהתגלתה בשירותי הענן של מיקרוסופט
תמונה של יונתן
יונתן קורפל

בעצם הימים האלה עלה פרסום של סוכנויות ידיעות עולמיות על אזהרה שהוציאה חברת מיקרוסופט לאלפי חברות מלקוחותיה, על פירצה בשירותי מאגרי המידע בענן המחשוב שלה. נראה שהפירצה נוצרה בעת עדכון תוכנה לפני כשנתיים. בין לקוחות שירותי הענן של מיקרוסופט שנחשפו לתקלה היו כמה מהחברות הגדולות בעולם. את התקלה חשפו אנשי חברת WIZ הישראלית, המתמחה באבטחת מערכות מידע. מדובר בפירצה שאפשרה לכאורה להאקרים לקרוא, להעתיק או אף לשנות נתונים במאגרי החברות ששוכנים בענן זה, ובינתיים לא ידוע אם הפירצה אכן נוצלה בפועל למעשי זדון ובאיזה היקף. מומחי WIZ שיבחו את מהירות התגובה והתיקון של התקלה על ידי מיקרוסופט. הם גם קבעו שייתכן שעוד חברות היו חשופות לתקלה, מעבר לחברות הרבות שמיקרוסופט כבר הפנתה אליהן את הודעתה. על רקע החדשות הללו אני סבור שראוי להתעכב ולהשקיע כמה דקות בתובנות אפשריות מפרשה זו.

הואיל והעולם כולו נוהה לעבר שירותי הענן, והם הופכים להוצאה מרכזית יותר ויותר של ארגונים מכל הסוגים בכל הקשור לשירותי מחשוב; והואיל ומדובר בספק ששמו מיקרוסופט, כלומר אחת מחמש החברות הגדולות בעולם בכל התחומים (יותר מכל יצרן טכני, מכל בנק, מכל מפיק נפט, מכל סוחר נדל"ן וכן הלאה); והואיל ומדובר באחד מספקי העל של שירותי מחשוב ענן בעולם; והואיל ונתונים של חברות רבות כל כך נחשפו; והואיל וכל משרדי הממשלה בארצנו, כולל כמה גופים ביטחוניים, נמצאים ממש כעת במהלך מעבר לענן – לנוכח כל אלו הייתי מצפה שהפרשה תעורר תהודה אדירה במדיה על שלוחותיה. בפועל נבע קול ענות חלושה, ואף זה נדם כהרף עין. המסקנה היא שכל הגורמים, ובראשם מאיישי משרות הניהול הבכירות, חייבים להתעורר ולהבין שמדובר בבעיה משמעותית שעלולה להכות בכל ארגון ויש לתת עליה את הדעת בהקדם ובמלוא הרצינות הנדרשת.

תופעה מדהימה המלווה את כל תחום הסייבר היא חוסר ההיערכות של ארגונים למקרה של פגיעה במערכות המידע. מקרים רבים מתגלים כל העת ושוב ושוב מתברר שהבעיה איננה רק מלחמה לנטרול פגיעות אפשריות, אלא חוסר התארגנות להתמודדות עם פגיעות שיתרחשו למרות אמצעי הנגד. אין אף ארגון ואף אמצעי התגוננות שיכול למנוע את כל הפגיעות, מכל הסוגים, בכל עת. ואז כאשר פגיעה זדונית, או תאונה, או טעות אנוש גורמת לנזק – השאלה המכרעת היא איך מתמודדים. ויש כאן שני חלקים. מתי מגלים את הבעיה, ואיך מנטרלים את מרב הנזקים הפוטנציאליים שהיא נושאת עמה. במקרה הנדון נדרשו שנתיים לגלות את הפירצה, אך לאחר הגילוי הבעיה נפתרה בזמן קצר יחסית. מניסיוני, לרוב הארגונים אין תכניות משמעותיות לטיפול בסיכונים, בפגיעות ובנזקים.

והנקודה שהיא אולי המשמעותית ביותר: לא חסרים בעולם "מתנגדי ענן מחשוב". הם רותמים לשירותם סל נימוקים להימנעות מהאפשרות הזאת, אף שהיא כבר כבשה את תחום המחשוב. בראש הרשימה הם מציבים את סוגיית האבטחה. לדעת המתנגדים הללו, הבעיה היא קודם כול בתחום האבטחה. לא נראה להם סביר להפקיד פונקציות מרכזיות במערך המחשוב שלהם ב"ענן", כלומר במרכזי מחשוב של בעלים אחרים השוכנים אי שם מחוץ לארגון. והנה נפלה לידם הוכחה לכאורה – המחדל האמור של מיקרוסופט. והאמירה הבאה שלהם תבליט את דעתם שאם זה קורה לספק שירותי ענן כמו מיקרוסופט, מה יגידו אזובי הקיר. ההיגיון שלי אומר בדיוק את ההפך. נכון, הייתה תקלה בענן של חברת הענק, ומי שמתמצא בוודאי יודע שפרצות ונפילות שכאלה מתרחשות שם ובחברות ענק דומות מדי כמה חודשים. אבל אם זה קורה בארגונים גדולים כל כך, עם אנשי המקצוע הטובים ביותר, עם היכולות הכספיות הגדולות ביותר, כשיתרון הגודל עומד לצדם ובהיותם יוצרי תוכנות שכל העולם נשען עליהם וכן הלאה – הרי שבארגון הבודד שיוותר על שירותי הענן ויאחסן ויעבד את כל הנתונים אצלו, הסיכונים לפרצות ולפגיעות למעשה גדולים הרבה יותר. כל משרד ממשלתי וכל בנק הוא אפסי בהיקפיו וביכולותיו בהשוואה לספק כמו מיקרוסופט.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

19 תגובות

  1. אין מה לעשות. העתיד זה הענן. זאת העובדה. מכאן יש להתחיל לחשוב.

  2. עדיף לשקול כל רכישה של טכנולוגיה חדשה אם היתרונות באמת עולים על החסרונות

  3. אצלנו טובים בהמצאות ורעיונות
    בביצוע והניהול אנחנו חלשלושים

  4. ממש מדהים. על בעיות הרבה יותר קטנות ממלאים עיתונים.

  5. ונמנעה לא זזה. וזה אומר שכולם מראש לוקחים בחשבון שבטכנולוגיה יש מידי פעם בעיות שפותחים אותן

  6. ההייטק בישראל ברמה גבוהה
    אבל רמת הניהול בכל הסקטורים נמוכה

  7. לדעתי ברוב הארגונים בארץ ההתייחסות די רצינית ומתמודדים בהצלחה עם מתקפות מכל הסוגים.

כתיבת תגובה

האימייל לא יוצג באתר.

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך