מערך הסייבר הלאומי פרסם מסמך ייעוץ לתעשייה בתחום מחשוב הענן

מאת אבישג אשר       פורסם: 6.4.2019
מפעלים וחברות רבות במשק הישראלי מנהלים התקשרות עם ספקים לצורך אחסון וניהול מידע בענן. נוכח הסיכונים, מערך הסייבר הלאומי יצר מסמך, שנועד להוות תשתית למסמך דרישות מלא עבור דרישות הגנת סייבר במכרזים ובהתקשרויות עם ספקי ענן ולרכז כלים ישימים לספקים מטעם מערך הסייבר בנושא.

בהתקשרות עם ספקים לאחסון, עיבוד וניהול מידע בענן, גלומים יתרונות רבים לארגון אך לצדם טמונים סיכונים במרחב הסייבר אשר אופייניים לעבודה אל מול ספקים מסוג זה. 
נוכח הסיכונים, מערך הסייבר הלאומי יצר מסמך שנועד להוות תשתית למסמך דרישות מלא עבור דרישות הגנת סייבר במכרזים ובהתקשרויות עם ספקי ענן ולרכז כלים ישימים לספקים מטעם מערך הסייבר בנושא. מטרת המסמך היא להוות תשתית למסמך דרישות מלא עבור דרישות הגנת סייבר במכרזים ובהתקשרויות עם ספקי ענן ולרכז כלים ישימים לספקים מטעם מערך הסייבר בנושא. קהל היעד של המסמך הוא מנהלי הגנת הסייבר (CISO) או מקביליהם במפעל.

את הסיכונים בהתקשרות עם ספק מערכת מחשוב ענן ניתן לחלק למספר גורמים:
  • סיכונים שמקורם ברמת הגנה נמוכה אצל הספק  כגון הגדרות אבטחה לא טובות של שרתים וציוד תקשורת, שימוש במנגנון הזדהות חלש, אי מימוש הצפנה ועוד. לרוב, סיכונים אלו נובעים מחוסר מודעות או משאבים, ולרוב הם מתרחשים ללא כוונת זדון של הספק.
  • סיכונים שמקורם באיום הפנימי (כגון עובדים אצל הספק אשר מחליטים לבצע שימוש לא מורשה במידע של הלקוח)
  • סיכונים שמקורם בהתנהלות אצל הלקוח או רוכש השירות – כגון ניהול הרשאות לקוי, אי ביצוע ביקרת ובקרה ועוד.
  • סיכונים שמקורם בתיאום ציפיות לא מלא מול הספק.
  • סיכונים משפטיים הנובעים מאי עמידה בדרישות ההגנה למידע מוגן (דוגמת PHI/PII).
פעמים רבות, הפער נובע מחוסר בהגדרה ברורה של חלוקת הסמכות והאחריות שבין הספק ללקוח בהיבט ההגנה על המערכת או השירות. שימוש במטריצת RACI מהווה כלי עזר יעיל ואפקטיבי להגדרת חלוקת האחריות בין הצדדים.

לפי המסמך, לקראת התקשרות עם ספק חיצוני יש לוודא כי הוא מיישם רמת הגנה נאותה. ניתן לבחון יישום זה אל מול הספק באמצעות מדרג עדיפויות:
  1. הספק מחזיק בתעודת הסמכה מאושרת ותקפה על ידי מערך הסייבר בהתאם למתודת שרשרת אספקה עם תיחום שכולל אספקת שירותי ענן
  2. הספק מחזיק בתעודת הסמכה מאושרת ותקפה לתקן רלוונטי (כגון SOC2 ,27001 ISO וכו')
  3. הספק מיישם את דרישות ההגנה בהתאם למתודולוגיות מקובלות ללא תעודת הסמכה, כך קיבל תימוכין ע"י גורם צד-שלישי (דוגמת חברת אבטחת מידע)
  4. הספק מיישם את דרישות ההגנה בהתאם למתודולוגיות מקובלות ללא תעודת הסמכה.
 
את המסמך המלא ניתן לראות כאן.