“الخدمات السحابية” من منظور الأمن السيبراني

علي مرعي – مختص في السلامة الرقمية | خاص – الواقع

تقوم “الخدمات السحابية” بتوفير موارد تقنية المعلومات حسب الطلب عبر الانترنت، فبدلاً من شراء مراكز البيانات والخوادم المادية وامتلاكها والاحتفاظ بها، يمكنك الوصول والاستفادة من الخدمات التكنولوجية، مثل إمكانات الحوسبة، التخزين وقواعد البيانات بأسلوب يعتمد على احتياجاتك، وذلك من خلال جهة موفرة للخدمات السحابية مثل  Amazon Web Services.

وبكلمات أبسط، بدلاً من استخدام جهازك الشخصي للتواصل عبر الشبكة وتقوم بتخزين البرامج والملفات وغيرها عليه، يمكنك تخزين كل تلك الموارد على السحابة (أي مراكز البيانات) ويصبح الجهاز بمثابة أداة للتواصل مع هذه “السحابة” فقط، وهكذا الحال مع مختلف الأجهزة الموجودة في شركة ما.

ومع الاعتماد الكبير على هذه الخدمات من قبل الشركات والمنظمات والأفراد وازدياد المخاطر والتهديدات الأمنية، أصبح اتخاذ القرار بالسماح أو المنع أكثر تعقيداً.

فهل استخدام الخدمات السحابية للهدف المُراد والبيانات المستضافة قانوني؟ وهل هو مسموح به أم لا؟

لأن هذه المسألة مفصلية وحساسة – وفي حال لم يكن قانونياً – يصبح المنع هو الخيار الوحيد، يجب توضيح التالي:

• احياناً يكون استخدام الخدمات السحابية مسموح به لبيانات معينة ومحددة، ولكن الشركة المستضيفة لا تقوم بتصنيف البيانات بطريقة صحيحة، مما جعلها تستضيف بيانات بطريقة غير قانونية، وهنا نعود للقرار الأول.

أما في الحالات الأخرى فاتخاذ القرار يجب أن يراعي مجموعة نقاط هامة وضرورية وهي على الشكل التالي:

• معرفة المواقع الفعلية للخدمات السحابية التي تستخدمها منظمتك، فقد تكون مسموحة في دول وممنوعة في أخرى.

• يجب التعامل مع الخدمات السحابية كامتداد للبنية التحتية الخاصة بمنظمتك؛ تدير هويات المستخدمين كجزء من منظومة إدارة الهوية الخاصة بك وتراقبها كجزء من المنظومة الرقابية لديك، وتحمي المعلومات بها من التسريب كجزء من نظام حماية بياناتك.
• لا تفترض أن الخدمات السحابية دائماً متوفرة وأنها لن تتعطل أو تصبح غير متوفرة في وقت ما؛ بل يجب تطوير نظام الحماية بشكل دائم لضمان استمرارية الاعمال والاستجابة للمخاطر على اساس انها قد تصبح غير متوفرة في وقت ما.
• يجب أن يكون هناك اتفاق واضح في طريقة الاستجابة للاختراقات وتسريب البيانات وطرق التعامل معها وتحديد فترات الاستجابة ومسؤولية كل جهة في مثل هذه الظروف.

• لا تفترض أن الخدمات السحابية آمنة وخالية من الثغرات، وعلى حسب حساسية وخطورة استخدامك لها؛ حدد طريقة المناسبة للتأكد من أمان الخدمات، اما بنفسك او عن طريق طرف ثالث ترضونه وبفترات محددة.

• في حال توقفك عن استخدام الخدمة يجب ان تكون طريقة اتلاف بياناتك واضحة لك ومتفق عليها.

واخيراً، تذكر أن المنظمات جميعها تستخدم الخدمات السحابية بعلمك او من دونه، واحرص على أن تخلق نظاما يجعل جميع الخدمات السحابية تمر من خلالك وبعلمك، وايضاً نظاما يكتشف أي استخدام للخدمات السحابية دون علمك.