$
IT בישראל

מחקר: המשתמשים הם הסיכון הגדול ביותר במחשוב ענן

בדיקה שביצעה הסטארט-אפ הישראלית אדאלום מצא כי בעיות האבטחה העיקריות במערכות מחשוב ענן נובעות מהמשתמשים. הפתרון נעוץ בשיפור ממשל הנתונים ושיתוף פעולה בין הלקוחות לספקים

רפאל קאהאן 14:3009.11.14

יתרונות מחשוב הענן כבר ידועים לכל, ואולם ישנה נטייה מובנית לחשוב שאבטחת המידע היא באחריות הספק. ממחקר שביצעה הסטארט-אפ הישראלית אדאלום, המתמחה באבטחת מערכות מחשוב ענן נמצא כי פעמים רבות, פרצות האבטחה העיקריות הן דווקא באחריות המשתמשים. המחקר בוצע במהלך השנה האחרונה וכלל ניתוח של כמיליון חשבונות משתמשים בארבע ספקיות הענן העיקריות: Salesforce, Box, Google Apps ו-Microsoft Office 365 בין אוקטובר 2013 ואוקטובר 2014.

הממצאים שכלולים בדוח מפריכים הרבה הנחות לגבי האבטחה של תוכנה כשירות ולטענת החברה ממחישים את הצורך בהידוק ממשל הנתונים ושיפור בניהול סיכונים חדשים בהקשר של אימוץ הענן בקרב מחלקות ה-IT. על פי הממצאים נמצא למשל כי כ-11% מהחשבונות של יישומי תוכנה כשירות הם "זומבים", זאת אומרת שהמשתמשים לא התחברו לחשבונות שלהם או לא השתמשו בשירות כלל.

 

המעבר לענן אינו פותר את הלקוחות מניהול מדיניות אבטחת מידע המעבר לענן אינו פותר את הלקוחות מניהול מדיניות אבטחת מידע צילום: shutterstock

 

עוד נמצא כי יותר מ-5% מהקבצים בשירותי אחסון בענן הם יתומים (קבצים ללא בעלים). 2% מהקבצים היתומים נוצרו על ידי משתמשים שכבר לא בחברה (סיכון של שמירת נתונים במקרה של גילוי אלקטרוני), ושחברה ממוצעת משתפת את הקבצים שלה עם 393 מתחמים חיצוניים, וש-5% מהקבצים של חברה ממוצעת נגישים לכל אחד ברשת.

 

בנוסף לחלק גדול מהמשתמשים המורשים בתוכנה כשירות יש גישת מנהל מערכת מלאה: 7% בסיילספורס (2,000 משתמשים בממוצע), 4% בגוגל (19,000 בממוצע), 2% בבוקס (1,400 בממוצע). לקרוב מ-40% מהחברות יש יותר נתונים שמאוחסנים בענן של סיילספורס מאשר בכל מאגר קבצים בענן ארגוני מאושר אחר (כולל Dropbox, Box, Google Drive ו-Office 365). ב-80% מהחברות יש לפחות עובד לשעבר אחד שאישורי החשבון שלו לא בוטלו.

 

אסף רפפורט, מייסד שותף ומנכ"ל של אדאלום, הסביר כי "כשחברות ממשיכות לממש את הרווחים העצומים בעלויות ותפוקה שמגיעים עם האימוץ של שירות כתוכנה, עליהן  להבין את הסיכונים הטבועים ולהתייחס אליהם". עוד הוסיף רפפורט כי "יש חשיבות עליונה לנשיאה באחריות לממשל נתונים בענן ולאחריות משותפת לאבטחה. אמצעי בקרה מסורתיים כמו חומות אש וניהול מכשירים ניידים אינם יעילים בהגנה על משתמשים כאשר הם ניגשים ליישומי תוכנה כשירות ממכשירים לא מנוהלים מחוץ לרשת של הארגון".

בטל שלח
    לכל התגובות
    x