לאור שיטפון התקנות החדשות, לעסקים דרושה כיום יכולת לשלב מראש עמידה ברגולציה במערכות המידע שלהם באופן אוטומטי 

כותב המאמר: אלי שקד, מנהל פעילות VMware ישראל

אוטומציה היא ככל הנראה לא הדבר הראשון שעולה בדעתנו כשאנו חושבים על עמידה בחוקים ורגולציה אך יש קשר בין הדברים. כדי להצליח, על הארגונים להתייצב בחזית ולהיות מסוגלים לקלוט ולהטמיע באופן רציף כללים וחוקים חדשים – זאת כדי להימנע מקנסות של התעשייה או כאלה המוטלים באזור גאוגרפי מסוים. גישה זו עדיפה על פני התפישה התגובתית המקובלת.

יחד עם זאת, קל יותר לדבר על עמידה בכל חוק או תקנה חדשה מאשר לבצע זאת. בין 2009 ל-2012 פורסמו ונכנסו לתוקף למעלה מ-50,000 תקנות עסקיות במדינות ה-G20. מספרם ממשיך לצמוח ובשנת 2015 לבדה פורסמו עדכונים למעלה מ-50,000 חוקים – והמספרים ממשיכים לצמוח בהתמדה. מחקר שפורסם לאחרונה אף מעיד כי העלויות הכרוכות ברגולציה תוכפלנה במגזר הפיננסי עד שנת 2022.

הבעיה טמונה לא רק בהיקף המספרי של החוקים והתקנות אלא גם באורכם ובמורכבותם שמחייבים השקעה של משאבי זמן יקרים בלימוד ויישום. לדוגמה, תקנות MiFID II למגזר הפיננסי משתרעות על פני 30,000 עמודים ו-1.7 מיליון פסקאות ! הרגולציה צפויה אף להתרחב ככל שהחוקים נדרשים לעמוד בקצב המהפכה הדיגיטלית וככל שבינה מלאכותית ולמידת מכונה ישתפרו בחיקוי ההאקר האנושי.

בחודש מאי האחרון נכנסו לתוקפן תקנות GDPR (General Data Protection Regulation) שנועדו להבטיח את הפרטיות של כלל אזרחי מדינות האיחוד האירופי. התקנות מחייבות כל חברה המחזיקה בנתונים אישיים של אזרחי מדינות האיחוד, בין שהיא חברה הפועלת במדינות האיחוד או חברה במדינה אחרת כלשהי המחזיקה בנתונים מסוג זה. התקנות מגדירות בדיוק באילו מצבים מותר לחברות לעבד מידע של אנשים פרטיים כשאחד מהתנאים הללו הוא הסכמה מפורשת של אנשים לעיבוד נתוניהם האישיים. חברות שיפרו את התקנות צפויות לקנסות כבדים בהיקף של 20 מיליון יורו או 4 אחוזים מהמחזור.

אתגר האבטחה מתעצם שבעתיים בעידן הביג דאטה שבו חברת וארגונים אוספים נתונים פרטיים ורגישים בהיקפים שמגיעים לעתים לפטה בייטים כל חודש, המשולבים עם נתוני מכונות (IoT). כיצד יצליחו עסקים להמשיך לעמוד בדרישות הרגולטוריות להגנת הפרטיות בעת שנתונים אישיים רגישים, שחובה להגן עליהם, זורמים אליהם בהיקפים הולכים וגדלים ? מנהלי ה-IT יודעים כי עליהם לפתח אסטרטגיות טכנולוגיות לעסק שתהיינה חדשניות אך בה בעת תעמודנה בכל החוקים והתקנות – על אף שהרגולציה מטבעה נוגדת חדשנות וחונקת אותה. רגולציה עלולה לשבש קשות את פעולתו של המנוע העסקי שנועד להגביר את קצב פעולתו באמצעות חדשנות. דומה הדבר ללחיצה על דוושת הדלק ועל דוושת הבלם במקביל.

ברור הוא, שנדרשת עתה גישה חדשה שתאפשר עמידה בתקנות ובחוקים ותאפשר בה בעת פיתוח אסטרטגיות עסקיות מבוססות חדשנות טכנולוגית. הדבר יתאפשר באמצעות צמיחתה של גישת היגיינת הסייבר (Cyber Hygiene), שמאגדת חמישה עקרונות הממוקדים במידע הארגוני וערכו כבסיס לאבטחת סייבר. ידוע לכל, כי הטמעת מערכת עדכוני אבטחה והפעלתה לאחר פריצה היא בבחינת סגירת הדלת האורווה לאחר שהסוסים ברחו. בעידן שבו להאקרים יש גישה לאוטומציה, ללמידת מכונה ולבינה מלאכותית, אסטרטגיית אבטחת סייבר תגובתית שאינה מתמקדת בגישת ההיגיינה – הופכת לחסרת ערך.

מסיבה זו מנהלי אבטחת סייבר רבים סבורים שהסתיים העידן התגובתי והחל עידן היגיינת הסייבר, שבו עסקים יטמיעו מראש פתרונות אבטחה ישירות במוצריהם ובמערכותיהם. באופן דומה, לאור מספרן העצום של התקנות החדשות ברור כי גישה של כיבוי שריפות לעמידה ברגולציה לא תתמודד עם האתגר בטווח הארוך ועל החברות לעבור מגישה טקטית לגישה אסטרטגית בתחום זה. ברוח זו, על עסקים לחבור לשותפים שמבינים את מהות המעבר מאבטחה מבוססת חומרה לאבטחת רשתות מוגדרת תוכנה.

תפישת היגיינת הסייבר דוגלת בתכנית רציפה ומתמשכת, לא בסגירת פער או בפתרון סופי כלשהו לבעיה. ארגונים חייבים להיות מסוגלים לבצע אוטומציה של עמידה בחוקים ותקנות ו-‘לאפות’ אותה מראש במערכות ה-IT שלהם. זאת כדי למנוע את הנוהג הרווח לנחש את שצריך לעשות ואת המרוץ לבדוק שכל הנתונים נמצאים ותקינים לפני ביקורת חשבונאית פוטנציאלית. גישה זו תפחית את הקנסות הכבדים המוטלים על חברות שמפרות רגולציה ויחסוך משאבי זמן גדולים המוקדשים לצעדים מתקנים.

ארגונים לא יכולים לנוח על זרי הדפנה ולחשוב שצעדים מינימאליים לעמידה בחוקים וכללים חדשים יספיקו כדי לחלצם מבעיות. עתה נדרש להתמודד עמם מראש. פירוש הדבר שהעניין מתמקד ביושרה ובבעלות על הנושא, תחושה של כבוד הדדי למידע האישי של כל אחד ואחת מאתנו.

קטגוריה: חֲדָשׁוֹת

תגיות: נתונים, רגולציה