على الرغم من أن الحوسبة السحابية عمرها 30 عامًا تقريبًا ، فإنها لا تزال تقنية “جديدة” لمعظم المؤسسات. تعد السحابة بتقليل التكاليف وزيادة الكفاءات من خلال تخزين وإدارة مستودعات كبيرة من البيانات والأنظمة التي تعتبر نظريًا أرخص في الصيانة وأسهل في الحماية.
نظرًا للاندفاع المتزايد من قبل المنظمات للانتقال إلى السحابة ، فليس من المستغرب أن بعض صانعي السياسة في واشنطن يطالبون بتنظيم هذه التكنولوجيا التخريبية. في العام الماضي ، حثت الممثلة كاتي بورتر (D-CA) ونيديا فيلاسكيز (D-NY) مجلس مراقبة الاستقرار المالي (FSOC) على اعتبار الخدمات السحابية عناصر أساسية للنظام المصرفي الحديث وإخضاعها لنظام تنظيمي مطبق. جاءت دعواتهم لهذا النوع من الرقابة في أعقاب خرق كبير للبيانات في Capital One حيث تمكن موظف في المؤسسة المالية من سرقة أكثر من 100 مليون تطبيق ائتمان للعملاء من خلال استغلال جدار حماية غير صحيح في العمليات المستضافة على Amazon Web Services (AWS).
تهدف دراسة أصدرتها اليوم مؤسسة كارنيجي للسلام الدولي إلى إعطاء المشرعين والمنظمين فهمًا أساسيًا لما يحدث في الساحة السحابية ، مع التركيز بشكل خاص على أمن هذه الخزانات الضخمة من المعلومات. “أمان السحابة: كتاب تمهيدي لواضعي السياسات” ، بقلم تيم مورير ، المدير المشارك لمبادرة السياسة الإلكترونية التابعة لمؤسسة كارنيجي وجاريت هينك ، طالب الدكتوراه في جامعة كولومبيا ومساعد أبحاث سابق في مؤسسة كارنيجي ، يجادل بأن “النقاش حول السحابة يظل الأمن غامضًا وتداعيات السياسة العامة [are] غير مفهومة. “
من منظور السياسة العامة ، يذكر التقرير أن “صورة السحابة تحجب بقدر ما تشرحها”. “تظهر صورة أكثر دقة عندما يتم النظر إلى السحابة من حيث طبقاتها – بدءًا من مراكز البيانات المادية وكابلات الشبكة التي تشكل أساسها إلى بيئات البرامج الافتراضية والتطبيقات التي يتفاعل معها المستخدمون يوميًا.”
المحتويات
مخاطر أمن السحابة النظامية
ولكن ، تنص الورقة على أن الخدمة السحابية تتركز في أيدي عدد قليل من المزودين بما في ذلك AWS و Microsoft Azure و Google Cloud ، ما يسمى بمقدمي الخدمات السحابية “الهائلة” ، حيث تلعب شركات مثل Alibaba Cloud و Tencent دورًا مماثلًا في الصين . تعني التكلفة المتزايدة للهجمات الإلكترونية أن معظم الشركات لا تستطيع الدفاع عن نفسها بشكل فعال ، مما يجعل المؤسسات “أفضل حالًا في تكليف فرق الأمن لهذه الشركات الخارجية بأمنها.” ومع ذلك ، فإن هذا الحل يثير مشكلة جديدة وهي “المخاطر النظامية المرتبطة بالنهج المركزي”.
قال ماورر لـ CSO: “هناك القليل جدًا من الفهم لماهية السحابة”. “هناك القليل جدًا من المعلومات التي تصف ماهية السحابة وكيفية التفكير في الأمن السيبراني.”
مخاوف سياسة الأمن السحابية
على الرغم من أن تقرير مؤسسة كارنيجي يبتعد عن توصيات السياسة العامة ، إلا أنه يشير إلى وجود اثنين من اهتمامات السياسة الرئيسية التي يجب أن تكون متوازنة.
يقول ماورير: “المشكلة الأولى هي المشكلة الحالية والمعروفة لانعدام الأمن السيبراني. لا تزال معظم المنظمات تكافح لحماية نفسها بشكل فعال من المتسللين”.
يمكن لعدد قليل من المؤسسات منافسة مستوى “Fort Knox” للأمان الذي توفره Google أو Amazon أو Microsoft ، لذا قد يكون من الأفضل لهم تكليف الأمن بهذه الشركات العملاقة. يقول ماورير: “بالنسبة لهم ، يمكن أن يؤدي الترحيل إلى السحابة إلى تحسين الأمن السيبراني لديهم لأنهم يستطيعون بعد ذلك الاستعانة بمصادر خارجية وتفويض الحماية لفرق الأمان ذات الأجور المرتفعة بالفعل من كبار مزودي خدمات الأمان”. ستظل هذه المؤسسات بحاجة إلى تكوين إعدادات السحابة الخاصة بها بشكل صحيح لتجنب التعرض غير المقصود للبيانات ، والذي يعد التقرير أحد أكثر الأحداث شيوعًا لتعطيل الخدمات السحابية.
الشاغل الثاني هو المخاطر النظامية التي يفرضها مقدمو الخدمات السحابية ، أي أن السماح بتخزين الكثير من البيانات في أيدي العمالقة يمكن أن يؤدي إلى أحداث نادرة ولكنها كارثية. يستشهد التقرير بدراسة Lloyds of London لعام 2018 والتي تقدر أن انقطاع الخدمة لمدة ثلاثة إلى ستة أيام لمزود خدمة سحابي رئيسي قد يتسبب في خسائر اقتصادية تصل إلى 15 مليار دولار. علاوة على ذلك ، مثل Fort Knox ، يمكن أن تصبح الخدمات السحابية أهدافًا مثيرة للمهاجمين بسبب مقدار الثروات التي تحتوي عليها.
“بدأ عدد متزايد من صانعي السياسات في الكونجرس وأيضًا أماكن أخرى حول العالم يصبحون أكثر قلقًا من أنه كلما زاد عدد الشركات والحكومات التي تهاجر إلى السحابة ، كلما زادت المخاطر المركزة ، زادت المخاطر المنهجية المتمثلة في الهجرة إلى يقول ماورر: “إذا كان هناك حادث كبير يؤثر على مقدم خدمة سحابية واحد ، فقد يؤثر على صناعة بأكملها ويكون له تأثير أوسع على مستوى القطاع.”
السحابة أكثر أمانًا من تلك الموجودة في أماكن العمل
ومع ذلك ، لا ينبغي أن تلقي المخاطر النظامية بظلالها على الفوائد الأمنية للانتقال إلى السحابة. يقول ماورر: “نحن في الواقع على وشك أن يقلق الناس كثيرًا بشأن المخاطر النظامية ونغفل حقيقة أن الترحيل إلى السحابة يمكن أن يساعدنا بالفعل في حل مشكلة الأمن السيبراني الحالية”. أخبر مسؤول CISO ماورر مؤخرًا أن “الانتقال إلى السحابة يجعل المؤسسة أكثر أمانًا بعشر مرات مما يمكن لفريق الأمان التابع له تحقيقه بمفرده”.
أثيرت مخاوف أخرى لفترة وجيزة في التقرير حول هيمنة مزودي الخدمات السحابية الأمريكية في الخارج. “الأمن هو فقط أحد الأشياء التي تفكر فيها الحكومات. هناك أيضًا مسألة توطين البيانات ، ومسألة مكافحة الاحتكار ، وهو سؤال يرغب الكثير منهم في بناء صناعات التكنولوجيا المحلية الخاصة بهم ، وبالتالي يفرضون قوانين يحاولون تقييد مزودي الخدمات السحابية الأمريكيين بشكل أساسي “.
نهج تعاوني لأمن السحابة
بالنظر إلى المستقبل ، سيستفيد أمان السحابة من نهج تعاوني بين هؤلاء المزودين العملاقين ، كما يجادل مورير ، نظرًا لأن المنافسة الشديدة بينهم تقف في طريق الحماية من التهديدات التي تؤثر عليهم جميعًا. يقول: “إذا نظرنا إلى المستوى الحالي للنضج والثقافة في صناعة التكنولوجيا ، فإن المنافسة شديدة لدرجة أنهم نادرًا ما يتحدثون مع بعضهم البعض ونادرًا ما يناقشون الأمن الذي يمكن أن يؤثر عليهم جميعًا”.
على الرغم من أن بعض منتقدي مبادرة أمان السحابة التعاونية قد يثيرون مخاوف تتعلق بمكافحة الاحتكار ، إلا أن هناك نماذج لمقاربات مماثلة في صناعات أخرى ، بما في ذلك المالية والطيران ، كما يقول مورير. “إذا نظرت إلى الصناعات الأخرى شديدة التنافسية مثل الصناعة المالية ، مثل صناعة الطيران ، فقد شكلوا جميعًا اتحادات صناعية محددة مصممة للمساعدة في معالجة الأمن لأنها تدرك المخاطر في الصناعة بأكملها وليس الشركات الفردية فقط.”
“سيكون الأمر أكثر أهمية في المستقبل لمقدمي الخدمات السحابية الرئيسيين أن يجتمعوا لمشاركة الملاحظات ومقارنتها … وأيضًا مشاركة البيانات المحتملة حول الجهات الفاعلة في التهديد التي قد تستهدفهم ،” كما يقول. “من المرجح أن يؤتي هذا ثماره في المستقبل أكثر من الإطار التنظيمي ، والذي هو في المستقبل”.
حقوق النشر © 2020 IDG Communications، Inc.
