האם המידע בשירותי ה – SaaS מגובה בענן?
“הארגונים חושבים שהמידע בשירותי ה – SaaS מגובה בענן ולכן אין צורך בגיבוי – מדובר בטעות קריטית”
כנס סייברטק 2022 העולמי שנערך השנה בגני התערוכה, הסתיים. על רקע שלל המוצרים והשירותים בתחום הסייבר אשר נחשפו בכנס, חיוני להבין את ההיבטים החשובים ביותר בכל הנוגע לפתרונות הגיבוי, המהווים שכבה חשובה במעגלי ההגנה של הארגון ממתקפות ואובדן מידע. הסתבר ולא בצדק, שארגונים רבים סבורים שכל מה שנמצא בענן מגובה באופן מושלם וללא הגבלת זמן. אולם המצב בפועל שונה לחלוטין וחשוב לוודא שפתרון הגיבוי ישרת את הארגון במקרה הצורך.
גורמים בכירים מכל העולם ו-18,000 משתתפים נחשפו בכנס ‘סייברטק 2022’ למגוון עצום של פתרונות לעולם הסייבר. הגנת סייבר הפכה בשנים האחרונות לנושא מדובר בקרב ארגונים אשר שמים דגש הולך וגובר על יצירת שכבות הגנה סביב הפעילות שלהם. אחד הרכיבים החשובים ביותר של מעגלי האבטחה שעסקים חייבים להציב סביבם הוא ‘שכבת הגיבוי’.
במרבית המקרים בהם האקרים מצליחים לפרוץ את מערך האבטחה של הארגון ולהצפין מידע עסקי יקר, מה שיכול להציל את העסק הוא גיבוי עדכני ומהימן. מדובר ב-‘Last Resort’ רשת הביטחון ‘האחרונה’ של הארגון בכל הנוגע לאיומי סייבר.
מיקי כהן, שותף ומנהל הטכנולוגיות ב- ‘אינפורמט’, משתף בהיבטים שכל ארגון ועסק חייבים להביא בחשבון בכל הנוגע למודעות בנושא, הרגולציה והדרך לוודא שהגיבוי מתבצע באופן תקין לאורך זמן.
שאלה: התפיסה הרווחת היא שכאשר השירות יושב בענן הוא גם מגובה. האם זה נכון?
“תחום הגיבויים הוא ותיק מאוד – מאז ומעולם ארגונים מגבים את המידע שלהם, בתחילה באמצעות קלטות ודיסקים, בהמשך בעזרת אמצעי אחסון רשת באתר והיום גיבויים מרוחקים ובענן.
“עד היום, ההתמקדות הייתה בגיבוי החומר המקומי, אך העידן החדש הוא עידן של אפליקציות SaaS אומר כהן. “Office 365, Google Workspace, Dropbox, Salesforce הם כולם פתרונות שלא נמצאים בסביבת המחשוב הפיזי של העסק, אלא יושבים בענן והארגון משתמש בהן בהתאם לצרכים המשתנים שלו – ומשלם בהתאם”.
שירותים אלה בענן אמנם מספקים פתרון מאובטח, אך גם הם אינם מסוגלים להגן על העסק מאובדן מידע בעקבות טעות אנוש או פגיעה זדונית, מתקפות סייבר מתוחכמות וממוקדות, שגיאת סנכרון ותקלות בשירותי הענן. הפתרון לשיבושים פוטנציאליים אלו הוא גיבוי אמין, מקיף ומותאם לצרכי העסק.
“התפיסה הנפוצה של רוב העסקים בעידן הנוכחי הוא שאם חשבון הדוא”ל יושב בענן, הוא גם מגובה על ידי ספקית השירות, אבל זה לא נכון”, אומר כהן. “החל בסטארטאפים מצליחים ועד עורכי דין ובעלי מקצועות חופשיים – מרבית הלקוחות בטוחים שבענן הכל מגובה. וזו טעות”.
נושאים אלו צפים, למשל, כאשר עובד עוזב את החברה, מוחק את ההתכתבות שלו וכאשר רוצים לשלוף משם מידע כלשהו מתגלה שספקית תיבות הדואר מגבה חומרים באופן מוגבל מאוד אם בכלל”, מספר כהן.
גם שירותים דוגמת Dropbox, הנתפסים בתור שירות עם היסטוריה ללא הגבלה של הקבצים והגיבוי, “מצאנו שהעותקים והמידע שאליהם ניתן לחזור מוגבלים לתקופה מסוימת”, אומר כהן. וגם, “אם האקרים מצפינים חלק מהחומר שנמצא באופן פיזי על המחשב, ההצפנה עוברת (בסנכרון) לענן – ואם עוברת תקופת השמירה, אין מאיפה לשחזר את החומר. חלק מההאקרים פועלים במכוון ומתחכום רב – ומצפינים רק חלק מהקבצים, מתוך הנחה שכך הארגון יגלה את ההצפנה ‘מאוחר מידי’ מכדי לשחזר את המידע”.
חלק מההאקרים עולים שלב ברמת התחכום ומנסים לתקוף את מערכת הגיבוי של החברות. “הם מנסים לחדור אל הגיבויים ולהצפין גם אותם”, אומר כהן, “מה שאומר שגם על גיבוי צריך הגנה. פתרונות גיבוי מסופקים בכמה שלבים – גיבוי מקומי, גיבוי מרוחק ועד גיבוי אופליין שאי אפשר לגשת אליו דרך הרשת, פתרון חדשני היום הוא מנגנון כספת שלא ניתן למחוק את הגיבוי שנכתב אליו”.
עובדים מול לקוחת אירופאיים? הרגולציה מחייבת גיבוי
סיבה מהותית המחייבת גיבוי היא דרישות הרגולציה. “מי שיש לו לקוחות אירופאיים חייב לפעול על פי תקנות ה-GDPR, המתייחסות לשמירה על פרטיות המידע והיבטים רבים נוספים של אחזקת מידע על ידי העסק. מי שלא עומד בדרישות, עלול לספוג קנסות כואבים במיוחד”. כהן ממליץ לכל ארגון לערוך פגישת ייעוץ עם מומחים לאבטחה ולגיבוי, “כדי להבין איך לשמור את המידע, כיצד אפשר לשלוף מידע בכל רגע נתון ומה חלון זמן השחזור המצופה”.
החטא הגדול של ארגונים: כמעט שאין בדיקה יזומה של שחזור
יישום של פתרון גיבוי הוא חשוב, אך על מנת לוודא שהארגון אכן יפיק תועלת מרבית ממנו – “חשוב מאוד לבצע באופן תקופתי ניסיון יזום לשחזור מידע”, אומר כהן. “גיבוי הוא פתרון שדורש תחזוקה – אחרי הכול, אין גיבוי בלי שחזור תקין”.
לכן, לכל מנכ”ל של חברה או איש מערכות מידע, “חשוב שתהיה מודעות ואחריות ליזום צעד כזה בתדירות קבועה. הפעולה אמנם כוללת עלויות וזמן השבתת מערכת במקרים מסוימים, אבל מדובר במרכיב חשוב מאין כמותו. גם בדיקה של מעלית או כיבוי דורשים השבתה ועלויות – אבל ברור לכולם שמדובר על צעדים השומרים על הבטיחות של כולנו לאורך זמן. כך גם בדיקה יזומה של גיבוי בעסק”.
המפתח לגיבוי מוצלח – התאמת הפתרונות לצרכי הארגון
מגוון פתרונות הגיבוי המוצעים רחב ומגוון, כך שהגורמים הרלוונטיים בארגון עומדים לעתים בפני דילמה וקושי לקבל החלטות בכל הנוגע להחלטה הנכונה עבורם.
“אחרי ההכרה בחשיבות הגיבוי, כדאי לערוך פגישת ייעוץ עם מומחים בתחום”, אומר כהן. “תפקידו של נציג הארגון הוא לפרט על אופי הפעילות, מידת החשיבות של סוגי המידע והמדינות שבהן הארגון פעיל, על מנת לקבל הצעה מסודרת למערך פתרונות גיבוי – במשרד, בדאטה סנטר, או בענן”.
מומחי הסייבר והגיבוי של אינפורמט מערכות קשובים לצרכים של הלקוח ומתאימים לו את הפתרונות הנכונים ביותר עבורו, באופן המקצועי והאובייקטיבי ביותר. “אנחנו גאים לספק ייעוץ אישי ומקצועי בשלב בחירת המוצר, לצד שירות מתמשך לאורך זמן”, אומר כהן.