האם בטוח לאחסן מידע ארגוני ב Google Drive-או בשירותים דומים?
מאת:
מערכת Telecom News, 3.8.17, 12:47
אם החברה עושה עסקים עם משתמשים באזור האיחוד האירופי, צריך להתאים את מערכות האחסון וניהול הנתונים עפ"י ,GDPR שיהפוך חובה מה-25.5.18.
חברת
ESET לאבטחת מידע טוענת, שכשמדובר באחסון מידע סודי של החברה ו/או בגיבוי שלו, עולות שאלות שונות באשר למיקום, שבו יתבצע אחסון זה. חברות מסוימות בוחרות לנהל את הכול בעצמן ומספקות גישה מרחוק. כך, שעובדיהן יכולים לגשת למידע בכל רגע נתון, שהם זקוקים לו
.
חברות אחרות, לעומת זאת, אימצו את הענן ואת כל היתרונות שלו, כמו העלות הנמוכה של משימות וזמינות המידע, ללא תלות במקום, שבו הוא עשוי להיות (כל עוד יש חיבור לאינטרנט, כמובן)
.
אבל כאשר מדברים על אלמנט האבטחה של החלטות אלו, הדברים הופכים קצת יותר מסובכים. כך, שיותר חברות מסרבות לאחסן מידע סודי מחוץ לחברה. וזאת, למרות הצמיחה העצומה של חברות בכל רחבי העולם, שהתחילו להשתמש בשירותים כמו
Google Drive ו-
Dropbox בשנים האחרונות
.
אחסון בענן: כן או לא?
כאשר עומדת בפנינו ההחלטה מה לבחור מבין מהפתרונות השונים, עלינו לשאול את עצמנו שאלות שונות, שאחת החשובות שבהן היא כנראה: האם אני יכול להציע רמה גבוהה יותר של אבטחה מזו של חברות חיצוניות בכל הנוגע להגנה על נתונים
?
זו נקודה חשובה מאוד בהתחשב בכך, שרוב החברות, שמחויבות להציע שירותים אלה, נוטות להחזיק אמצעים טובים כדי למנוע מהנתונים של המשתמשים שלהם להיות בסכנה
.
עם זאת, הבעיה העיקרית היא לא מה האבטחה, שהם מיישמים על השרתים שלהם. הרוב המכריע של גניבת המידע מתרחשת עקב מדיניות ירודה על
בקרת גישה וניהול של אישורים ע"י משתמשים
.
אמצעי אבטחה נוספים
אין טעם לשכור את שירות האחסון הענן הטוב והמאובטח ביותר, אם משתמשים, שיקבלו גישה למשאבים אלה, ישתמשו בסיסמאות, שקל לנחש או שכבר שימשו לשירותים אחרים שנפרצו. חשוב לנקוט באמצעים נוספים. אם השירות, שהולכים להשתמש בו, מאפשר אימות דו-שלבי (2
,(FA זה יהיה הרבה יותר בטוח
.
בנוסף, לא משנה כמה מאובטח השירות, שאנו מנויים אליו, חשוב שהנתונים המאוחסנים בתוך ומחוץ לחברה יהיו
מוצפנים.
בדרך זו, במקרה של תקרית, שבה התוקפים מצליחים לקבל גישה למידע זה, לא יהיה להם קל לגשת למידע, ובכך ממזערים את ההשפעה של החדירה
.
לבסוף, אנו חייבים להיות זהירים לגבי מי יכול לגשת למידע, ומה הוא יכול לעשות עם זה. אם נתנו לכל העובדים גישה למידע סודי, ואותו מידע יוכל לדלוף החוצה באמצעים אחרים, לא משיגים כלום
.
כדי למנוע זאת, אנו צריכים לאמץ כלים למניעת דליפות נתונים, באמצעות יישומים המזהים כאשר משתמשים מסוימים ללא הרשאות מנסים לגשת לסוג מסוים של מידע חסוי או כאשר הוא נשלח מחוץ לחברה באמצעים לא מורשים
.
עמידה בתקנים
חשוב לקחת בחשבון, שהרבה חברות לא חושבות על זה עד שזה מאוחר מדי והן תתחלנה לקבל קנסות על אי עמידה בתקנים. בתלות במיקום של המשרדים הראשיים של החברה, יש לציית לחקיקה ולאמץ סדרה שלמה של צעדים
.
לדוגמה, אם החברה עושה עסקים עם משתמשים באזור האיחוד האירופי, צריך להתאים את מערכות האחסון וניהול הנתונים עפ"י
,GDPR שיהפוך חובה מה-25.5.18. עובדה זו מעלה נושאים חדשים, שאחד מהם הוא: האם שירותי אחסון כמו
Google Drive ו
Dropbox- עומדים בתקני הרגולציה
.
החברות המנהלות שירותי אחסון מודעות לצורך לעמוד בכל הדרישות הנוגעות לניהול המידע המאוחסן ע"י המשתמשים בשרתים. מסיבה זו, הן אמצו את כל הצעדים הדרושים כדי להביא את עצמן להיות מעודכנות
.
נכון להיום, הן
Google והן
Dropbox מצייתות לא רק לתקנות, שהוטלו ע"י התוצר המקומי הגולמי, אלא גם להסכם
,Privacy Shield הסכם, שנחתם בין המדינות החברות באיחוד האירופי וארה"ב
.
ניתן לומר, שהשימוש בשיתוף קבצים ופתרונות אחסון בענן הוא מאובטח, כל עוד הוא עומד בשורה של נורמות ותקנות בינלאומיות, אך יש גם ליישם מדיניות אבטחה נוספת
.
עם זאת, אסור להיות רשלניים לגבי אבטחת המידע המאוחסן בתוך החברה ומחוצה לה, וגם לא לסמוך על כך, שמדובר באחריות של מישהו אחר. יש
Sליישם את כל אמצעי האבטחה הנוספים העומדים לרשותנו כדי להגן על המידע שלנו באופן הטוב ביותר
.