הרשות להגנת הפרטיות (להלן – הרשות) פרסמה ביום 5.9.2024 מסמך שמטרתו לתאר את האתגרים הקריטיים הניצבים לפתחם של ארגונים בתהליך המעבר של מאגרי מידע ומערכות המאגר לטכנולוגיית ענן. כפי שמציינת הרשות, ככל שמתפתחות טכנולוגיות שונות של העברת נתונים מהירה, בינה מלאכותית (AI) ומחשוב ענן (Computing Cloud), ארגונים רבים נמצאים בשלבי מעבר של תשתיות המחשוב ומאגרי המידע שלהם לענן, תהליך הנקרא גם "מיגרציה לענן".
בהתאם למסמך הרשות (להלן – המסמך), תהליך מורכב זה מערב מחלקות ארגוניות מרובות ודורש תכנון ותיעוד קפדניים, בכל הנוגע לביצוע המיגרציה באופן מאובטח, תוך שמירה על המידע הרגיש שנמצא במאגרי המידע המצויים במערכות המחשוב והיישומים השונים של הארגון.
המסמך מתאר אתגרים תפעוליים ואבטחתיים שונים במעבר לטכנולוגיית ענן, בהם: הגדרות שגויות, ממשקי API שלא אובטחו כראוי, חוסר התאמה של הארכיטקטורה הנוכחית, חוסר אסטרטגיה במעבר לענן ואובדן נתונים.
כחלק מאתגרים אלה, הרשות מרחיבה במיוחד לגבי סיכוני אבטחה. בין היתר, כחלק מקביעת האסטרטגיה במעבר לענן, יש לשקול בהתאם לאופי המידע ותהליך בחינת הסיכונים, את מקום האחסון.
לפי המסמך, העברת נתונים לענן כרוכה במגוון סיכוני אבטחה, כגון: איומים פנימיים, התקפות חיצוניות, תוכנות זדוניות, תקלות טכניות או הגדרות שגויות, וכן בעיות בצד ספק הענן עצמו. לפי המסמך, על מנת להתמודד עם סיכונים אלו, יש לפעול במסגרת מודל חלוקת אחריות לפיו "ההגנה על המידע בתוך הענן חלה על הלקוח".
בהקשר זה, הרשות מדגישה כי חובות אבטחת המידע הקבועות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, חלות על הארגון גם בעת ביצוע מיגרציה לענן, בהתאם לרמת האבטחה החלה על מאגרי המידע של הארגון. חובות אלו כוללות בין היתר קביעת מנגנוני אימות, הגבלת הרשאות, שימוש במנגנוני הצפנה, הדרכת עובדים תיעוד ובקרה ועוד. בנוסף, כחלק מיישום תקנות אבטחת מידע, הארגון נדרש לבחון אחת לשנה האם המידע שהוא שומר במאגריו רב מן הנדרש, והרשות מציינת כי יש לבצע בחינה זו טרם השלמת המעבר לענן.
הרשות מציינת עוד, כי על ידי יישום ההנחיות המופיעות במסמך, ארגונים יכולים לנהל טוב יותר את התהליך המורכב של המעבר לענן, תוך הפחתת סיכוני האבטחה הנלווים, והבטחת ההגנה על המידע הרגיש שלהם.
נשמח לסייע כתמיד בכל עניין הנוגע להתקשרויות ענן או ליישום הרגולציה בנוגע לשירותי ענן.
העדכון נכתב ע"י עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו AI, בסיועה של אריאלה מאי, מתמחה במחלקת טכנולוגיה, מיזוגים ורכישות.