ביג דאטה הייתה מגמה קריטית ב-IT בעשור האחרון, וככל שנוצרים יותר נתונים באופן עקבי, השאלה של עסקים היא היכן הוא מאוחסן, למי יש גישה אליו וכיצד הם ניגשים אליו. דן רייווד בוחן את הנושאים הללו.
בעשור האחרון, הרעיון של ביג דאטה הפך נפוץ יותר ככל שנוצרים יותר נתונים ונדרשות טכנולוגיות לנתח ולעבד אותם.
כדי לקבוע את האתגרים, תחילה חשוב להבין מהיכן מגיע Big Data. על פי ספר לבן משנת 2001 מאת דאג לייני, ביג דאטה נוצר על ידי: נפח, בכך שהוא מורכב מכמויות אדירות של נתונים; מהירות, כפי שהיא נוצרת בזמן אמת; ו-Variety, שכן ישנם סוגים מובנים, חצי מובנים ובלתי מובנים.
בלוג מאת SAS עוד הצביע על הגידול בנפח של ארגונים שאוספים נתונים ממקורות שונים, כולל עסקאות, מכשירים חכמים (IoT), ציוד תעשייתי, סרטונים, תמונות, אודיו, מדיה חברתית ועוד. כמו כן, כמות הנתונים שנוצרו על ידי מקורות אלו הגדילה את המהירות, מכיוון ש"הנתונים זורמים לעסקים במהירות חסרת תקדים ויש לטפל בהם בזמן".
SAS גם הצביעה על שני אלמנטים נוספים: שונות, מכיוון שזרימות הנתונים אינן ניתנות לחיזוי, ועסקים צריכים לנהל עומסי שיא נתונים יומיומיים, עונתיים ואירועים; ו-Veracity, בהתייחס לאיכות הנתונים. "מכיוון שהנתונים מגיעים מכל כך הרבה מקורות שונים, קשה לקשר, להתאים, לנקות ולשנות נתונים בין מערכות."
לכן, ביג דאטה מורכב ממספר רב של מופעים, וזה יצר את 'אגמי הנתונים' הללו שמתגלה כקשים לניהול.
מוקדם יותר השנה, השתתפתי בכנס בלונדון שבו אחד הדוברים, טים אילינג, סמנכ"ל EMEA מומחי אבטחת מידע באימפרווה, דיבר על האתגרים של Big Data, וטען שאנחנו "לא מבזבזים מספיק זמן בהסתכלות על נתונים בגלל עצם העניין. מורכבות" ושאל את הקהל אם הם יכולים לזהות היכן הנתונים שלהם, למי יש גישה אליהם וכיצד הם ניגשים אליהם.
בשיחה עם ISMS לאחר האירוע, שאלנו אותו מדוע לדעתו ניהול ושליטה בגישה הם אתגר גדול לעסקים. לטענתו, כמות הנתונים היא בין הסיבות לבעיה. יש "מתעורר לאנשים שהנתונים נמצאים כעת בכל מקום, ויש כל כך הרבה מהם וחלקם שאנחנו יודעים עליהם, חלקם הם נתוני צל שיכולים להיות בכל מקום והם פשוט נוצרו בלי שום תהליך מאחוריו." זה גרם למגוון הגדול של נתונים שעסקים צריכים להתמודד איתם כעת.
לטענתו, לפני ש-Big Data הפך לנורמה, הנתונים היו לרוב בבסיסי נתונים של Oracle או SQL, אבל כעת הם מובנים ולא מובנים ובמאגרי מידע שחברות אפילו לא יודעות עליהם.
בצד הגישה, האתגר הוא לגבי מספר רב של בעלי עניין שיש להם גישה, ושם השליטה אובדת. איילינג מסכים ואומר שבני אדם רוצים להקל על עצמם ככל האפשר, ולמרות המדיניות הארגונית, העובדים עדיין ישתמשו בכלים צרכניים כדי להעביר קבצים לצורך יעילות.
רוונה פילדינג, מנהלת Miss IG Geek Ltd, אומרת שגישה ל-'Big Data' אינה שונה מבקרות גישה לכל נכס מידע אחר - היא צריכה להיות על פי הצורך לדעת ולפחות פריבילגיה.
"האתגר עם האופנה של 'אגמי נתונים' הוא שלעתים קרובות מטרות הן ספקולטיביות, כלומר 'להפעיל את הכל דרך אלגוריתם ולראות אם משהו מועיל מופיע', מה שמקשה על אימות והגבלת גישה לפי מטרה", היא אומרת. .
"באופן אידיאלי, לארגון 'ביג דאטה' צריך להיות צוות של מנתחי נתונים מודעים לאתיקה ובקיאים בחוק שיכולים לעבוד עם בעלי עניין כדי להפוך פניות לשאילתות נתונים (ויוכלו לייעץ לגבי מגבלות או הטיות בתוך הסט) במקום הענקת גישה ישירה, אך ריבוי פלטפורמות הענן נועדו להפוך את כריית הנתונים לקלה ונגישה, [וזה] להרתיע ארגונים מלהטיל - או אפילו לשקול - לשים בקרות מגבילות".
אפשרות לגישה מנוהלת יכולה להיות מדיניות מבוססת תפקידים. ספקטרלי אומר שזה יכול לעזור לשלוט בגישה על השכבות הרבות של צינורות Big Data. "עקרון ההרשאות הקטנות ביותר הוא נקודת התייחסות טובה לבקרת גישה על ידי הגבלת הגישה רק לכלים ולנתונים הדרושים בהחלט לביצוע משימות של משתמש."
האם הרעיון של הרשאות הפחותות, או אפילו אפס אמון, וגישה שצריך לדעת אפשרי? איילינג אומרת שהתשובה הברורה היא 'כן' כי זה אומר שלכולם יש את ההרשאות הנכונות, "אבל לחלום על זה ולעשות את זה הם דברים שונים מאוד".
למשתמש הממוצע מוענקת גישה לקבצים ויישומים, אך באיזו תדירות הוא מתקשר למוקד הסיוע או למנהל ואומר להם שהם כבר לא צריכים גישה אליו? איילינג אומרת: "כולנו היינו במקומות שבהם אתה צריך רמת גישה למשהו עבור משימה מסוימת, והדבר הכי קל הוא לתת לך גישה גלובלית, ואתה בפנים, וממש קיבלת הכל כי זה דבר קל לעשות. זה לא יוצא דופן בכלל".
בנוגע לשליטה בגישה לביג דאטה, פילדינג אומר שזו "טעות להיות תקיף מדי לגבי שיטות ומנגנוני בקרה, כי אין תשובה אחת שמתאימה לכולם".
לדבריה, אותם עקרונות של סודיות, יושרה וזמינות חלים באותה מידה על נתונים בקנה מידה גדול, בעל מבנה לא פורמלי, כמו על גיליונות אלקטרוניים או מיילים או מחשבים ניידים; עם זאת, התהליך של להבין מי צריך מה, מתי ואיפה מסתבך יותר.
ניהול גישה הוא יותר מסתם לדעת למי יש גישה ולהבטיח שהתוקפים לא ייכנסו לרשת שלך. מדובר בהגבלת הגישה לנתונים והבטחה שעובדים יוכלו לראות רק מידע רלוונטי לעבודתם. זהו גורם קריטי של ISO 27001 נספח A.9, וככל שה-Big Data נעשה ברור יותר באופן שבו העולם עובד, הגבלת הגישה אליו חייבת להילקח בחשבון וצריכה להיות חלק מאסטרטגיית הסיכון שלך.
ביג דאטה הוא טרנד של מילניום של IT הכולל, ואנחנו באבטחת סייבר התמקדנו בניתוח, אחסון וגישה אליו. הנקודה הסופית הזו היא הקריטית ביותר עבור אבטחת מידע ואבטחת מידע: יש לשים בקרות גישה על ביג דאטה בהזדמנות המוקדמת ביותר, מכיוון שהנפח, המהירות והמגוון גדלים כל הזמן, ואתה לא רוצה להיות מאוחר מדי לנקוט בפעולה .
