תחום מחשוב הענן הפך להיות הנושא החם שעל פרק היום, ובכל זאת, עדיין קיימים ארגונים שאינם ממהרים להיכנס לתחום. בחלק מהמקרים, הסיבה לכך היא שארגון נחשב לגוף “כבד” הרבה יותר ממשתמש פרטי ולכן, תהליכי קבלת החלטות בו הינם מסובכים יותר. בארגונים, החלטות מסוג זה דורשות אישורים של מספר אנשי מפתח רלוונטיים (או שאינם רלוונטיים) להחלטה, וכל אחד מהם נושא איתו מטען של ספקות, אי וודאות ושאלות פתוחות.
אחד מהחסמים הידועים והמוכרים באימוץ טכנולוגיה זו ברמה הארגונית, הוא נושא האחריות והרגולציה (או, בלשון פשוטה: “כשהמידע שלנו נמצא בשרת הארגוני, אנחנו אחראים לאבטחה שלו. כשהוא בענן – מי האחראי לכך? ואיך אנחנו יודעים שהוא אכן יעשה זאת?”).
מחשוב ענן – רבדי התקינה
נושא ההתקשרות בין לקוח לספקית שירותי מחשוב ענןמתחלק לשני רבדים: הרובד הראשון הוא עצם ההתקשרות בין הספקית ללקוח והרובד השני מתייחס למידע המאוחסן בענן. בעוד בנוגע לרובד הראשון כמעט ואין רגולציה המתייחסת ישירות להתקשרות (ניתן “לכופף” ולהתאים אליו חוקים העוסקים בהסכמי התקשרות למתן שירותים שונים), הרובד השני מעסיק משפטנים ופורומים שונים ברחבי העולם, מאחר והוא עוסק בלב ליבו של מחשוב הענן – המידע, הדאגה לאבטחתו ופרטיותו.
תקינה של מחשוב ענן
כאשר לקוח ישראלי רוכש שירותי מחשוב ענן מספקית שאיננה ישראלית, הוא יהיה כפוף לא רק לתקנים הישראליים, אלא אף לרגולציה המקומית החלה על הספקית השירות ועל המקום בו מוצב השרת עליו מאוחסן המידע. לדוגמה, לקוח ישראלי, המוגן על ידי חוקי הגנת הפרטיות הישראליים, עלול למצוא את עצמו במצב בו המידע שלו מועבר על ידי ספקית השירות האמריקאית לשלטונות ארה”ב, תחת חוק US Patriot Act, מבלי ליידע אותו. ארה”ב, אגב, איננה המדינה היחידה שלה חוק כזה. בקנדה ישנו Pipeda Case Summary #2008-394, לבריטניה – Regulation of Investigatory Powers Act 2000 ועם ההתרחשויות האחרונות בעולם, סביר להניח שמדינות נוספות תחוקקנה חוקים מסוג זה, אשר מטרתם להגן על המדינה, אבל הן מעמידות את הלקוחות הזרים במצב חשוף ופגיע.
מבולבלים?
הבה נבלבל אתכם מעט יותר: כאשר מדובר במחשוב ענן בחו”ל, עפ”י תקנות הגנת הפרטיות – (כן, אלה שמגינות על המידע שלכם כאשר הוא מאוחסן בישראל), סעיף “העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה תשס”א- 2001” מגדיר במדויק אל איזה מדינות תוכלו להעביר את המידע שלכם (למשל, מדינה שבה רמת הגנה על המידע אינה פחותה מזו שבישראל, וכן הלאה). שנת החקיקה (2001) יכולה לרמז לנו כי מדובר בעידן שלפני עלייתו המטאורית של מחשוב הענן, ולכן, התקינה עדיין איננה לוקחת בחשבון את כל הנתונים הרלוונטיים (ככניסתו של מחשוב הענן לתמונה כטכנולוגיה עסקית לגיטימית וכן הלאה).
אם כך, מה כן מגן על המידע שלכם?
הנה מספר תקנים שעוסקים בהגנה על המידע הארגוני ברמות השונות:
- תקן ISO 31000 – המגדיר עקרונות והנחיות לניהול סיכונים ומחייב את ספקית מחשוב הענן לנהל סיכונים ולעמוד בתקן, על מנת להגן על המידע שלכם.
- משפחת תקני ISO 27000 – ובמיוחד ISO 27001 – תקן למערכת ניהול אבטחת המידע, אשר מגדיר עקרונות להקמה, ניהול ותחזוקה.
- תקן 27032 ISO – שכולל סט המלצות והנחיות לשמירה על נכסים ארגוניים ופרטיים להתגוננות מפני איומי סייבר.
לסיכום: תקינה ורגולציה הנוגעות לנושא מחשוב הענן מתפתחות כל הזמן. ישנם גופים ופורומים ייעודים שעוסקים בכך ומעלים את הנושא לסדר היום, מתוך התובנה שמחשוב ענן הוא טכנולוגיה לגיטימית ויעילה ולא שיגעון חולף.