מחשוב ענן וסודי ...

(של אלסנדרו רוגלו)
30/11/20

במשך שנים, מומחי אבטחת ה- IT של חברות פרטיות וארגונים ציבוריים מתמודדים עם הדחיפה החדשנית של שירותים חדשים, שזוהו באופן כללי במסגרת הסיווג של שירותי ענן. שירותים המבטיחים חיסכון בעלויות ורמת אבטחה גבוהה יותר. 

כפי שאתה יכול להבין היטב, כל פיתרון שמבטיח שמים חייב להיות מוערך בקפידה, הייתי אומר שבמקרים אלה יש צורך להיות ספקן ולחקור. למעשה, הפגיעות של מערכות חדשות לעתים קרובות מפתיעה, ובדרך כלל לא באופן מיידי.

קראתי חדשות מעניינות של AMD שהכריזו על הסכם עם יבמ בתחום ה- מחשוב חסוי ובינה מלאכותית. 

למרות שכולם יודעים מהי בינה מלאכותית (או לפחות שמעו עליה), כנראה שלא רבים יודעים מה הכוונה במחשוב סודי.

Il מחשוב חסוי הינה טכנולוגיית מחשוב ענן המאפשרת לבודד נתונים רגישים במהלך עיבודם בענן. למעשה, יש להגן על נתונים במועדים שונים: כאשר הם מאוחסנים בבסיסי נתונים, כאשר הם נעים לאורך רשתות, ואחרון חביב, כאשר הם מעובדים. 

באשר להגנה במאגרי מידע ולאורך הרשתות, בדרך כלל משתמשים בטכניקות הצפנה, אך כאשר הנתונים מעובדים (באופן עקרוני) עליהם להיות ברורים וזהו סיכון שיש לזכור. הטכנולוגיות של מחשוב חסוי הם עוסקים במדויק באבטחת הנתונים המעובדים בסביבת הענן.

יש מי שתוהה אם ה- מחשוב חסוי חשוב (או במילים אחרות אם ומה הם הסיכונים המנוהלים על ידי שימוש בטכנולוגיות ענן), ובכן התשובה ניתן למצוא בדו"חות החברות העוסקות בניתוח סיכוני סייבר, בין אלה אני מציין רק אחת, מקאפי, הידוע היטב כיצרן אנטי-וירוס. אם אנו קוראים את "אימוץ ענן ודיווח סיכונים" ניתן להבין טוב יותר מהן המגמות הנוגעות לסיכונים הקשורים לאימוץ הענן ולכן נבין אילו סיכונים מתנהלים באמצעות טכנולוגיות ענן. 

לא כולם יקראו את הדו"ח, אבל אני יכול להגיד לך בקצרה שיש סיכונים ויש לקחת אותם בחשבון. לא רק שאני אומר זאת (מי אני שאעשה את זה?) אבל אותן חברות המספקות שירותי ענן מאשרות זאת בהתנהגותן.   

כדי לאשר את האמור לעיל, בואו נסתכל על קונסורציום שנוצר לאחרונה: "קונסורציום המחשוב הסודי" (CCC), של קרן לינוקס. CCC שואפת להעמיק את האבטחה של מערכות וטכנולוגיות ענן ומהווה קונסורציום בו מעורבים עליבאבא, ARM, Baidu, IBM, אינטל, גוגל, מיקרוסופט, רד האט, סוויסקום וטנסנט. כל מי שיש לו מושג מה מייצגות חברות אלה יכול להבין עד כמה "הבעיה" של מחשוב סודי היא חשובה.

אני סוגר מאמר זה בשאלה פשוטה: כאשר הנתונים עובדו על ידי תוכנה קניינית על תשתיות IT שהלקוח החזיק, הלקוח היה צריך להבטיח שמירה על סביבה בטוחה לנתונים שלו והגיב למה שקרה, אפילו מולו. לחוק, אבל עכשיו? כעת הנתונים שייכים ללקוח, אך השירותים הם חיצוניים (בענן) ותשתית ה- IT היא הענן (לפחות במקרה של SaaS), המנוהלת מכל הבחינות על ידי נותן השירות ... שאחראי על שלהם בְּטִיחוּת?

שיהיה ברור, בשנים האחרונות ארגונים וחברות מכל הסוגים הוכיחו לעיתים קרובות וברצון שהם אינם מסוגלים להגן על הנתונים והתשתיות שלהם, בזכות המורכבות, מהירות השינוי בטכנולוגיות וההשקעות הנמוכות בהכשרה ו עדכון טכנולוגי. 

האחריות במקרה של אירוע סייבר בסביבת ענן היא, במובנים מסוימים, שותף, ספק לקוחות ושירותים חייבים אפוא לעבוד יחד, וזה לא קל.

אני מאמין שהתשובה עדיין נמצאת בין שורות ה- CCC. לכן ספקי שירותי הענן המובילים בעולם עובדים יחד להגדרת תקני אבטחה חדשים בענן.

להעמיק:

IBM ו- AMD מכריזות על הסכם פיתוח משותף;

IBM ו- AMD מכריזות על הסכם פיתוח משותף לקידום מחשוב חסוי לענן ולהאיץ בינה מלאכותית - BW CIO (businessworld.in);

מה זה מחשוב חסוי? | יבמ;

הרוב הגדול של התקפות סייבר על שרתי ענן שואף לכרות מטבעות קריפטוגרפיים ZDNet;

נתונים בענן חשופים יותר למתקפות סייבר מאשר בארגונים - Cybersecurity Insiders (cybersecurity-insiders.com)

- SaaS: הגדרת תוכנה כשירות (SaaS) (investopedia.com)