הטכנולוגיות המתפתחות של השנים האחרונות, כגון בינה מלאכותית המאפשרת עיבוד מידע בקנה מידה רחב וטכנולוגיות מחשוב ענן המציעות גישה נוחה ופשוטה לאחסון ולשיתוף מידע בנפחים כמעט בלתי מוגבלים, הובילו ארגונים רבים להעביר את תשתיות המחשוב והיישומים שלהם לענן (הליך המכונה מיגרציה לענן). המעבר לשימוש בטכנולוגיות ענן מציב יתרונות משמעותיים, אך גם אתגרים רבים, בעיקר בכל הנוגע למיגרציה מאובטחת ושמירה על מידע אישי רגיש המאוחסן במערכות הארגון.
ביום 5.9.24, פירסמה הרשות להגנת הפרטיות ("הרשות") מסמך המציג את האתגרים המרכזיים שיש לקחת בחשבון בעת מעבר לטכנולוגיית ענן. להלן סקירה תמציתית של האתגרים שהוצגו על-ידי הרשות במסמך שפורסם על ידה:
-
הגדרות שגויות – סיכון משמעותי בהליך המיגרציה לענן נובע מיצירת הגדרות שגויות אשר עשויות להוביל לכך שמידע ארגוני ייחשף לעיני גורמים שאינם מורשים. לצורך התמודדות עם אתגר זה, הרשות ממליצה להקצות כוח אדם מיומן ובהיקף הנדרש לביצוע המיגרציה וכי צוותי ה-IT בארגון הוכשרו לצורך מתן מענה ברמה הנדרשת, הן לתהליך המיגרציה והן לתחזוקת תשתיות הענן והמערכות השונות בסיום התהליך.
-
ממשקי API שלא אובטחו כראוי – ממשקי API לא מאובטחים עלולים לאפשר לגורמים לא מורשים גישה למידע רגיש. לצורך אבטחת ממשקי ה-API יש לשלב מנגנוני בקרה ותיעוד עדכניים בתהליכי המיגרציה והעבודה השוטפת בתשתיות הענן. כמו כן, מומלץ להצפין את המידע במנוחה ובתנועה, ולוודא כי מפתחות ההצפנה שמורים בסביבה מוגנת, שאינה סביבת הענן שבה הוצפן המידע.
-
חוסר התאמה של הארכיטקטורה הנוכחית (Architecture Current the of Incompatibility) – חוסר תאימות בין הארכיטקטורה בסביבה הישנה לבין החדשה עלול לגרום להעברת נתונים איטית או שגויה. על מנת להתאים את הארכיטקטורה למעבר לענן, הרשות מציעה לארגון לבצע סקירה מעמיקה ותיעוד מקיף של הארכיטקטורה המקומית. כך, במקרים בהם יש צורך לשלב בפתרון ענן פרטי וציבורי, יחד עם נכסים מקומיים ליצירת סביבה היברידית, ניתן יהיה לבחון מחדש את הארכיטקטורה הכללית, ובכלל זה את הארכיטקטורה של הסביבה המקומית, ולבצע את השינויים הנדרשים לצורך הפחתת הסיכונים.
-
חוסר אסטרטגיה במעבר לענן – הרשות מציעה לבחון מראש איזה מידע יישאר בסביבה המקומית ואיזה מידע יעבור לתשתיות הענן. לשם כך, יש לבצע כבר בתחילת ההליך מיפוי של מאגרי המידע, תוך תיעוד והבנה מעמיקה של מבנה תשתיות המחשוב הארגוני, היישומים ואופן זרימת המידע בהם. במידה וקיים במערכות הארגון מידע רגיש, יש לשקול בהתאם לאופי המידע ותהליך בחינת הסיכונים היכן כדאי לאחסן מידע זה. כמו כן, חשוב לשקול מראש האם זה נכון לארגון לעבוד עם ספקי ענן מרובים, שכן זה מצריך התייחסות רחבה יותר מצד הארגון ביחס לאופן בו נדרש להגן על נכסי הארגון ומעלה את רמת הסיכון.
-
אובדן נתונים (Loss Data) – לאור החשש מאובדן נתונים במהלך הליך המיגרציה, על הארגון להקפיד לגבות, לפני המעבר לענן, את כל הנתונים השמורים במערכות הארגון, ובמיוחד את הקבצים המיועדים לעבור לענן.
-
סיכוני אבטחה – המידע המצוי בענן חשוף לסיכוני אבטחה רבים, למשל התקפות חיצוניות, מתן הרשאות גישה באופן שגוי, תוכנות זדוניות ועוד. חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות (אבטחת מידע) התשע"ז, 2017 חלות על הארגון, בהתאם לרמת האבטחה החלה על מאגרי המידע של הארגון, גם בעת ביצוע מיגרציה לענן, לרבות החובה לקבוע מנגנוני אימות, הגבלת הרשאות, שימוש במנגנוני הצפנה, הדרכות עובדים, תיעוד ובקרה ועוד.
בנוסף, הרשות מציינת כי ארגונים נדרשים לבחון אחת לשנה, אם אין המידע שהם שומרים במאגר רב מן הנדרש. חובה זו מקבלת משנה חשיבות בעת המעבר לענן. ועל כן, ארגונים נדרשים לבחון אם יש ברשותם מידע עודף טרם השלמת המעבר לענן.
באופן כללי, הרשות להגנת הפרטיות מבהירה שהליך המיגרציה לענן הינו הליך מורכב, שעל אף יתרונותיו הרבים הוא עלול גם להעמיד בסכנה את אבטחת המידע בארגון. לכן, על ארגון השוקל או המצוי בהליך מיגרציה להיות מודע לאתגרים ולסכנות שמעבר זה טומן בחובו, ולעקוב אחר המלצות הרשות. המלצות אלו יסייעו לארגונים להעביר את מאגרי המידע ומערכות המאגר שלהם לענן באופן בטוח ויעיל.
לעיון במסמך העקרונות שפורסם על-ידי הרשות לחצ/י כאן
הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.
