בדרך הבטוחה לרגולציית הסייבר האירופאית

שנה לקראת אימוץ רגולציית הסייבר האירופאית, והשלכותיה על חברות וארגונים ברחבי העולם, כן, כולל בישראל, מתחילים מנהלי ה- IT להפנים את העובדה שעמידה בחוקים החדשים, מחייבת גם פתרונות מסוג חדש…

מאת: ניל בראמלי Neil Bramley) ) מנהל חטיבת פתרונות B2B בחברת TOSHIBA אירופה
השנה הקרובה הולכת להיות שנה לא קלה עבור מנהלי מערכות המידע (מנמ״רים) ומנכ״לים, של לא מעט גופים וחברות מסחריות, עם תחילת אימוץ כללים רגולטוריים חדשים – ה-GDPR General Data Protection Regulation – , שכבר זכה לשם המאוד מרשים: ״רגולציית הסייבר האירופאית״. בקצרה, מדובר על חוק חדש של האיחוד האירופאי, הקובע סייגים וכללים לשמירה על פרטיות המידע ואבטחת המידע. החוק יכנס לתוקף במאי 2018. השפעתו של החוק החדש מתרחבת אל מחוץ לאיחוד האירופי, גם, ובעיקר לחברות ישראליות המציעות מוצרים ושירותים דיגיטליים ואוספות תוך כדי כך מידע התנהגותי ופיננסי, כדוגמת שירותי דיוור, גיוס והשמה וכמובן שיווק דיגיטלי (Facebook וב-Google Ads ) אפליקציות מסחר אלקטרוני,
שירותי SaaS ושירותים המספקים ניתוח על מידע אישי. התוצאה: החל מה-25 במאי 2018, חברות שירצו לעשות עסקים עם אירופה, או יהיו מעוניינות ליצור קשרים עם לקוחות אירופאיים, יצטרכו לעמוד בחוקי ה-GDPR , כסטנדרט בכל מדינות אירופה.

המהלך מחייב את הארגונים השונים לזהות את הדרכים היעילות ביותר לניהול המידע שבידיהן, אבל, די ברור כבר בשלב זה שחברות רבות רחוקות מהמטרה ורמת המוכנות אינה כפי שהייתה יכולה להיות, ככל שמדובר במהלך התחיקתי המשמעותי ביותר ב-20 השנה האחרונות ככל שמדובר בהגנה על מידע.

לפי חברת המחקר גרטנר, 50 אחוז מהחברות שיושפעו מהתחיקה החדשה לא יהיו מוכנות בזמן… 12 חודשים שיש כרגע בידיהן, הם לא הרבה זמן במונחי IT, ובמיוחד כשמדובר בסיכונים הכרוכים בעבודה בדרכים (בשימוש במובייל), והרמה הגוברת של רמת האיומים המופנה לעסקים קריטיים ולתשתיות כמו גם למידע האישי של כל אחד ואחת מאתנו.

על פי התחיקה החדשה, הגופים שלא יעמדו בדרישות המחמירות יעמדו בפני שורה קנסות עונשים ואפילו תביעות, אך זה אינו מונע מאיומים המופנים העוסקים בתחומי ה-IT ובהגנת מידע, להמשיך ולצמוח. מספיק לקרוא כותרות עיתונים… הנה, השבוע הושבתו וקורקעו טיסות של חברת התעופה הבריטית ״בריטיש טלקום״, בגלל ״תקלות במערכת המחשוב, ורק לפני כשבועיים היה העולם כולו נתון למתקפת סייבר כוללת שמפעיליה דרשו כופר מהנפגעים שנמצאו במעל 150 מדינות וכללו גופים דוגמת חברת טלפונקה הספרדית וה-Deutsche Bahn הגרמנית. ההתקפה היתה אולי נדירה בהיקפה, אבל, הפגינה יותר מכל את רמת התחכום של פושעי הסייבר של ימינו במאבקם אחר השגת מידע יקר ערך ומידע הנמצא על כוננים קשיחים של מאות אלפי עובדים, כמו גם אינספור מערכות IT שכל תפקידן הוא הגנה מפני התקפות שכאלה.

כשלוקחים את כל הנתונים בחשבון, די ברור שמנהלי מערכות מידע ומנהיגיIT עומדים בפני משימה בהחלט מאתגרת, בניסיון להבטיח גם עמידה בדרישות החוק אבל גם בניסיון להיות מוכנים היטב להדיפה של איומי סייבר המקיפים כיום מערכות IT מכל כיוון ופינה, כל יום וכל שעה.

למשוואה הזו צריך להוסיף נתון אחד: סביבת העבודה יכולה להיות בכל מקום, בין אם מדובר במשרד, בבית, בבית הקפה, או על הרכבת. עובדים חייבים להיות מצוידים במערכות שיאפשרו להם את הגמישות לעבוד ובתפוקה מלאה בכל סביבה. אבל, וזה אבל גדול, לא פעם העובדים הם הם החוליה החלשה במארג ה- IT והעובדה שכיום רבים מהם מעדיפים לעבוד מהבית, או מהדרך, רק מחזקת את התחושה של חוסר הביטחון והפגיעות.

בעוד שמערכות מחשב ניידות שמראש יועדו לעסקים, מציעות לעתים ״מחסומי קו ראשון״, חזקים, תוך שימוש במנגנונים דוגמת סורקים ביומטריים לזיהוי טביעות אצבע, נראה שהגיע הזמן עבור ארגונים לבחון פתרונות שפועלים בדרך קצת שונה, כאלה ש׳מעבירים׳ ומוציאים את המידע הרגיש והקריטי, מהמכשיר הפיזי, מהמחשב הנייד עצמו, וממערכות ניהול ואימות גישה מרכזיות. בניגוד לפתרונות הסטוריים יותר, דוגמת פתרונות ה׳לקוח הרזה׳ Thin Client) ) הדור החדש של הפתרונות, שכבר זכה לשם Zero Client , מספק למשתמשי הקצה מערכת ניידת (שנראית מבחוץ לחלוטין כלפטופ ׳רגיל׳) אך למעשה אין עליה כל מערכת הפעלה, כונן HDD או SSD, ולמעשה היא אינה מאפשרת אחסון כל מידע שהוא על המכשיר עצמו, אלא משתמשת במכשיר רק כ׳נקודת גישה ניידת׳ ומאוד משוכללת. עם ׳הדלקתו׳ של המחשב הנייד הוא מתחבר לרשת האלחוטית או קווית זמינה דרך רכיב ה-BIOS שלו בלבד, ומאפשר למשתמשים לגשת לכל המידע האישי והארגוני שלהם. כל נתוני המשתמש, כל הפונקציונליות של המערכת נגישה למשתמש הקצה באמצעות פתרון VDI קיים, כשבכך, למעשה, מוסר איום הנוזקות ובקשות הכופר. במקרה של גניבה, או חבלה במכשיר, המידע עצמו לא נפגע או ניזוק. העובד עצמו יכול לגלוש באינטרנט, לשלוח ולקבל מילים, להיכנס למערכות הארגון השונות בהתאם להרשאות שניתנות לו ולראות מידע הקשור לעיסוקו מכל מקום בעולם מבלי להשאיר כל טביעת אצבע שכן אין כל מקום אחסון שהוא.

מבחינת מחלקות ה-IT הארגוניות מדובר ביתרון משמעותי, מעבר לעמידה בדרישות ה-GDPR, שכן יחידת הקצה איננה מנוהלת, ואין צורך לבצע התקנות כלל. הכול מתבצע דרך מערכת הVDI – – חסכון משמעותי במשאבי ניהול ואנוש בארגון. מדובר בהתייעלות משמעותית וחסכון כספי מחד ורמת אבטחת מידע גבוהה ביותר מאידך. היכולת להתקשר ישירות מה- BIOS, יוצר מצב חדש בו עלות המחשב הנייד יורדת משמעותית ורמת האבטחה יחד עם ניידות מלאה של העובד עולה לממדים אחרים.

אין ספק שבעתיד הקרוב המנהיגים העסקיים יהיו חייבים לתת יותר אמון ולהטיל יותר אחריות על מנהלי מערכות המידע שלהם ועל צוותי ה-IT , כשהם מסתגלים לרגולציה החדשה. אין ספק: עם האחריות הגוברת, מופעל יותר ויותר לחץ על המנמ״רים. ואם מסתכלים על החור שבמטבע, הרי שגופים שלא יעמדו בתקנות החדשות יהיו תחת סכנת קנסות כבדים, שיוכלו להגיע עד ל-4 אחוז מההכנסות, או בגובה 20 מיליון אירו… ואם חיפשתם סיבה טובה מדוע אבטחה קיבלה את הקדימות הטיפולית, הרי שהיא שם,
במספרים הללו.

דילוג לתוכן