לאחרונה פורסם כי אמזון וגוגל נבחרו לספק שירותי ענן לממשלת ישראל במסגרת "פרויקט נימבוס" והן צפויות להקים אתרי ענן מקומיים בישראל בהשקעה ראשונית של כ-4 מיליארד שקל. המטרה היא אספקת שירותי ענן לממשלה, למערכת הביטחון ולגופים נוספים במשק, אך הקמת אתרי הענן ייקח זמן.
שירותי הענן תופסים תאוצה בשנים האחרונות ומאפשרים לארגונים לצרוך שירותי מחשוב מכל מקום ובכל זמן, תוך חסכון ניכר של חומרה ואף תוכנה על שולחנות העובדים ובארגון בכלל. בין שירותי הענן המוצעים כיום בשוק ניתן למנות תוכנות ועיבוד מידע מרחוק, שירות דואר אלקטרוני (Email), ניהול מסמכים, שירותי אחסון, שירות לקוחות ועוד.
לצד היתרונות הרבים, מביאים שירותי הענן גם סיכוני סייבר אפשריים, אשר נובעים מהתחדשות הטכנולוגיה והשינויים המהירים בתשתית היברידית עם חולשות חדשות ומשטח תקיפה גדול יותר בשל ערוצי התקשורת ומיקום הענן במסגרתה, מידע ארגוני עובר בתקשורת חיצונית, ועוד.
פוטנציאל סיכון גבוה מאוד
על פי הפרסומים, מקיים מכרז הענן שנוהל על ידי משרד האוצר, סיכונים פוטנציאליים ביניהם הצבת המידע הישראלי לתקופת מעבר של כ-3 שנים על גבי פלטפורמות אחסון בחו"ל. החברות הזוכות יוכלו להעניק שירותי ענן מגרמניה, הולנד ואירלנד עד שתושלם הקמת אתרי השרתים בישראל.
במידה ואכן הכוונה להציב את מסד הנתונים באירופה לתקופה ממושכת, הרי שמדובר באירוע בעל פוטנציאל סיכון גבוה מאוד: העברה של דאטה סנטר למדינה זרה ורחוקה מזמין גורמים מכלל קשת היריבים, החל ממעצמות כמו סין ורוסיה, דרך אויבים כמו איראן, גורמי טרור ועד לגורמי פשיעה, לנסות ולהשיג את המידע ואף לנסות לפגוע בו. יש כאן סכנה רצינית לביטחון המדינה.
מדובר על העברת מסד הנתונים הממשלתי במדינה זרה ואפילו במדינה שאינה קרובה אלא באירופה. צריך להסדיר כאן הגנות בסדרי גודל אחרים, תוך חשיבה על הצורך באבטחת קווי תקשורת ארוכים, שיאפשרו זרימה מהירה של מידע. משטח התקיפה הפוטנציאלי שאירוע כזה מייצר הוא עצום.
בנוסף, תיתכן אפשרות כי חלקם של עובדים אלו יהיו בעלי נטיות אנטי ישראליות דוגמת מחאת העובדים של גוגל ואמזון שקראו להנהלת החברה לא לתת שירותים לצה"ל. קיימת "פריחה" בחוסר האהדה למדינת ישראל בקרב ציבורים שונים באירופה. עניין זה מטריד מאוד משום שהצבת מסד המידע המדינתי בחו"ל עלולה לאפשר לעובד זר לסייע לגורמים שרוצים ברעתה של מדינת ישראל לפעול מול התשתית והמידע ואף לפעול בעצמו על רקע אידיאולוגי.
במערכת הביטחון ובתעשיות הביטחוניות בישראל, קיים תהליך של מתן סיווג ביטחוני לעובדים ובמגזרים ותפקידים מסוימים מבוצעות גם בדיקות ביטחון חוזרות. אנחנו לא יודעים לעשות סיווג כזה לעובדים זרים שנמצאים בחו"ל. אפשר לקיים הסכמים למתן הכשר ביטחוני לעובדים זרים מול המדינות המארחות, מתוך הבנה, כי מדובר בהכשר מפני פיגוע טרור בלבד, ולא מפני ריגול ואיסוף מודיעין. במקרה המדובר, כאשר אנו עוסקים בתשתית המידע של המדינה, הסכם מסוג זה לא יספיק. אחת הסכנות הגדולות לתשתית היא פעילות מדינתית לאיסוף מול המידע ולא רק חבלה.
ספק שירותי הענן הוא יעד לתוקפים
גורמי הקבלן המקימים את שירות הענן עלולים לשמש כערוץ לביצוע פעולה זדונית על ידי גורמי יריב. העובדה, כי מדובר בארגונים גדולים ומוכרים, מאפשרת ליריבים להכיר באופן חלקי לפחות, את הטופולוגיות של אותם ארגונים. כך גם קיים איום זליגת מידע כתוצאה מתקיפה חיצונית של ספק שירותי הענן במסגרת "תקיפת שרשרת האספקה" היות וספק שירותי הענן מחזיק במידע ממספר רב של ארגונים, הוא הופך למטרה ויעד לתוקפים מתוחכמים אשר מוכנים להשקיע מאמצים רבים בכדי להשיג נגישות לכלל המידע המוגן על ידי הספק.
בהנחה שאכן בכוונה להציב את ענן המידע המדינתי במדינה זרה, ובהמשך להעביר את התשתית לארץ במתקן מעל פני השטח, מדובר באירוע בעל סיכונים ביטחוניים רבים מאוד, אשר מחייב התייחסות הגנתית הוליסטית, לכלל המערכות והמכלולים של התשתית, בכלל זה התקשורת, העובדים, ההקמה, התחזוקה, ועוד.
במצב כזה, כדאי מאוד לעצור את התהליך, ולחשב מסלול מחדש. אין הגנה הרמטית של "100 אחוז", וכנראה גם לא תהיה לעולם, ועדיף תמיד לפזר את הסיכונים ולשתף גורמי ביטחון מדיסציפלינות שונות בתכנון.
הכותב הוא ממקימי מערך הסייבר בשב"כ וראש תחום הסייבר במכון הטכנולוגי חולון HIT
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.