כשענן נופל - מה באמת מבוטח?

ראש התחום הפיננסי ב-Aon  ישראל, עו"ד אבי מיזן מתייחס לתקלה שאירעה אתמול באמזון: 

"חברות נסמכות בפעילותן על תשתיות שאינן שלהן - וכשהענן נופל, ההפסדים יכולים להיות משמעותיים";

"זו אחריות של ההנהלה, לא רק של ה-IT, ניהול סיכוני ענן הוא היום חלק בלתי נפרד מהאסטרטגיה העסקית".

אתמול דיווחה חטיבת הענן של אמזון AWS על עלייה חדה ב-error rates וב-latency - זמני תגובה איטיים - באזור צפון וירג'יניה, אחד מאזורי התשתית המרכזיים של החברה. הגורם לתקלה, כך לפי אמזון, הוא כשל במערכת ה-DNS (Domain Name System), המאפשרת זיהוי וניתוב דומיינים ברשת.
התקלה, שנמשכה כמה שעות, השפיעה על מיליוני לקוחות וגרמה לשיבושים בפעילות של חברות תעופה, אפליקציות, מערכות משחקים ושירותים פיננסיים ברחבי העולם. גם בישראל הורגשה ההשפעה ובבריטניה הופסקה הפעילות של בנקים גדולים כמו לוידס ו-הליפקס. על אף שרוב השירותים חזרו לפעול, באמזון ציינו כי "ההתאוששות המלאה עדיין נמשכת".

לדברי אבי מיזן, ראש התחום הפיננסי בברוקר הביטוח הבינלאומי Aon ישראל: "מה שראינו באירוע הזה הוא תזכורת לכך שהעולם כולו נשען על תשתיות ענן מצומצמות, הנשלטות בידי מספר קטן של שחקנים", "כשאזור אחד של ספק ענן נופל זו לא תקלה מקומית, אלא הפרעה גלובלית שמורגשת בשרשרת הערך של חברות רבות".

מיזן מסביר שהתלות המוחלטת בעננים ציבוריים יוצרת "סיכון מערכתי" חדש - כזה שאינו נובע מפעולות אנוש או מתקפות סייבר, אלא פשוט מכשל טכני בתשתית משותפת.

"חברות השקיעו משאבים רבים באבטחת מידע, אבל לא תמיד בדקו מה יקרה אם ספק הענן פשוט יפסיק לעבוד. זו חוליה חלשה שלא תמיד מנוהלת כמו שצריך".

אז איך אפשר להיערך?

עפ"י מיזן, הדרך הנכונה להתמודד עם סיכון כזה היא קודם כול להכיר בו ולנהל אותו ככל סיכון פיננסי. כך למשל ניתן לבחון פיזור ספקים ואזורים גיאוגרפיים (Multi-Cloud / Multi-Region) - . לבצע תרגול תרחישי קריסה (Disaster Recovery) - לוודא שקיימת תוכנית גיבוי והפעלה מינימלית למקרה של תקלה. לייצר נהלי חירום ותיאום עם ספקים -  סעיפי SLA ברורים, ולבצע סימולציות של מעבר בין מערכות. פעילות אופליין מוגבלת - שמירה על גיבוי עצמאי או מערכות גיבוי "קרקעיות" שיכולות לתפקד ללא גישה לענן.

"זו אחריות של ההנהלה, לא רק של ה-IT", מדגיש מיזן. "ניהול סיכוני ענן הוא היום חלק בלתי נפרד מהאסטרטגיה העסקית".

ביטוח סייבר נכון  - עשוי להיות הפתרון 

שאלה שמעלה האירוע היא האם ביטוח סייבר מכסה מקרים כאלה. לדברי מיזן, התשובה תלויה בפרטי הפוליסה.

"ביטוחי סייבר נבנו כדי להתמודד עם תקיפות זדוניות, לא עם תקלות מערכתיות", הוא מסביר. "אם אין בפוליסה סעיפים של Business Interruption (BI) או Contingent Business Interruption (CBI) - ייתכן שההפסדים כלל לא יכוסו".

במילים אחרות, אם התקלה נגרמה מכשל טכנולוגי ולא ממתקפת האקרים, רק ארגונים שרכשו פוליסות שמגדירות במפורש כיסוי למקרי vendor outage או cloud service failure  יהיו מוגנים באמצעות פוליסת סייבר.

"זה אירוע שממחיש עד כמה חשוב להבין מה באמת כתוב בפוליסה", מוסיף מיזן. "רבים מניחים שהם מכוסים עד שהם מגלים שהתקלה של הספק לא נחשבת ‘אירוע סייבר’ במסגרת הפוליסה".

מיזן רואה באירוע של אמזון תמרור אזהרה לעידן שבו התלות הדיגיטלית הפכה לתלות עסקית מוחלטת.

"האירוע הזה מזכיר לנו שהענן הוא לא קסם, אלא מערכת טכנולוגית עם סיכונים אמיתיים", הוא אומר. "ביטוח סייבר הוא כלי חשוב, אבל הוא לא תחליף לניהול סיכונים חכם ולתכנון גיבוי. בסוף, האחריות על ההמשכיות העסקית נשארת אצל הארגון עצמו."

לדבריו, כל חברה - קטנה כגדולה - צריכה לשאול את עצמה שאלה אחת פשוטה: מה קורה אם הענן שלי נופל?

האמור לעיל מהווה מידע כללי ותמציתי בלבד ואינו מהווה ניתוח מלא או שלם של הסוגיות הנדונות. האמור אינו מהווה חוות דעת או ייעוץ כלכלי או משפטי או ייעוץ אחר ואין להסתמך עליו.