ערן פייגנבאום מ- Google בכנס InfoSec Europe 2015: מיקום ה- Data Centers אינו רלבנטי להאקרים

בכנס האבטחה השנתי של אירופה InfoSec Europe 2015, שנערך בלונדון 2-4 ביוני 2015, הופיעה שורה ארוכה של מומחי אבטחת מידע. זו השנה ה- 20 שהכנס מתקיים.

בין הדוברים היה ערן פייגנבאום מנהל האבטחה של Google Apps . הוא אמר כי מיקום ה- Data Centers אינו רלבנטי להאקרים; “מיקום הנתונים אינו משפר את האבטחה אלא בדיוק להיפך. יריבים אינם מצייתים לגבולות לאומיים. לא ראיתי אי-פעם האקר האומר: ‘אה, זה לונדון. איני רוצה. אני רוצה לבצע האקינג בבלגיה’ “, אמר פייגנבאום.

הוא ציין כי אומנם קיימות רגולציות שונות ומקצת מהנתונים נשמרים במדינה מסויימת – כמו בשל חוקי הבנקאות של שוייץ – אולם רק כיוון שהנתונים מצויים במדינה מסויימת לא הופכים אותם בטוחים יותר.

לגוגל יש מרכזי נתונים במקומות שונים בעולם והם כולם מבוקרים ונתונים לאותן פרקטיקות.

לדבריו בעיות האבטחה הגדולות ביותר של משתמשי ענן הן אימות גרוע של זהות [authentication]. במרבית השירותים המקוונים ממשיכים להסתמך רק על שם המשתמש והסיסמה. אם מישהו מצליח לשים ידו על הנתונים הללו הוא יכול להתחזות לאותו אדם.

80% מכשלי האבטחה בשנת 2014 אירעו בסופו של דבר משום שהצליחו להגיע לסיסמה של המשתמש. היו מקרים שמצאנו כי המשתמשים ממחזרים סיסמאות גישה ארגוניות ומשתמשים בהן שוב לחשבון Netflix או Yahoo.

התחכום הגובר של התקפות סייבר משמעותו שעסקים צריכים להתחיל לפעול תחת ההנחה שהם ייפגעו באירוע אבטחה כלשהו ועליהם לבצע בדיקות מאמץ [stress tests] שנתיות ולתרגל מצבים כאילו בוודאות עברו התקפת האקינג. מאז שנת 2000 נצבר ניסיון טוב בהתאוששות מאסון [disaster recovery] וזהו הצעד הלוגי הבא.