על הכרזה משמעותית בכנס re:Invent שירות ה- AWS Outposts

 כפי שמקובל בכנסים חשובים גם בכנס שנערך בלאס וגאס בשבוע שעבר הוכרזו מספר דברים חשובים ביניהם שירות חדשני במיוחד AWS Outposts.

מדובר על הרחבה של הענן של AWS לתוך ה- data center של הארגונים. דבר שהנו לא פחות מדרמטי!!

ספציפית, הלקוח יבחר את סוג השרתים הרצוי ומספרים. וכמו כן דברים כמו צורת החיבור וה- security policy ולאחר זמן מה יקבל את השרתים בדואר, מקונפגים, ולאחר חיבורם לחשמל ולאינטרנט, הלקוח יראה שרתים אלו כחלק מהסביבה שהוא מקבל ה- AWS – כאשר פיזית הם נמצאים ב data center שלו.

היעוד העקרי לטכנולוגיה פורצת דרך זו היא הורדת זמן התגובה למצבים שבהם ארגון רוצה לעבד מידע רב שנמצא בתוך הארגון על ידי הענן של AWS. ללא שירות זה יש להעביר את המידע על גבי התקשורת לאתר הקרוב ביותר של AWS. דבר שלוקח זמן רב כאשר מדובר בכמויות גדולות של מידע. באמצעות השירות הזה העיבוד על ידי הענן של AWS מתבצע באתר הלקוח ללא עיכוב של הרשת ובכך ניתן לבצע משימות שדורשות מהירות תגובה כגון ניתוח תמונה שמחייב פעולה מיידית, חישובים מסחר פיננסיים שגם הם מערבים מידע רב ומחייבים פעולה מיידית וכד'.

אולם, לשירות זה קיים גם פוטנציאל נוסף, שלא הובלט באופן ישיר בהכרזה והוא איפשור השימוש בענן של AWS במקומות שהרגולציה לא אפשרה עד כה.  כאשר הרגולציה דורשת שמידע ימצא בשטח המדינה ותחת חוקי המדינה עבודה בענן ציבורי שנמצא בחו"ל אינה אפשרית. כעת, ניתן יהיה להשתמש בענן כי המידע נמצא באתר הלקוח ותחת חוקי המדינה.  לאחרונה הרגולציה הישראלית מאפשרת יותר את השימוש בענן בחו"ל (מועצות המנהלים צריכות לנתח את הסיכונים ולקחת אחריות בעצמן) ונראה שטכנולגיה זו תאפשר ליישם את הענן הציבורי עם פחות "כאב ראש" מבחינה רגולטורית ובירוקרטית.

שירות ה- AWS Outposts עדיין לא זמין. תאריך היעד שלו הוא המחצית השניה של 2019. תמחור השירות עדיין לא התפרסם.

השירות לא מתאים לארגונים אשר אינם יכולים להתחבר לאינטרנט כי ניהול השרתים מתבצע דרך הקונסול הכללי של AWS כלומר דרך האינטרנט. במידה ויש נפילה באינטרנט השרתים ימשיכו לעבוד אך לא ניתן יהיה לנהל אותם או אפילו לראות מה הם עושים (בפועל מדובר הרחבת ה- VPC לתוך הארגון).

כמו כן יש לציין שמדובר על אפישור השירותים שמתבססים על EC2 , שירותי ה- compute של AWS, ולא איפשור של שירותים אחרים כגון S3, Lambda וכד'. כלומר עדיין לא מדובר על כך שכל AWS זמין ב- data center  הארגוני.  אבל בהחלט מדובר בצעד משמעותי מאוד.

יש לציין שאנו רואים כאן המשך המגמה של הרחבת השירותים של AWS לתוך "חצר הארגון". פתרונות ה- Snowball וה- Snowmobile המספקים העברה של מידע פיזית לתוך AWS (במקרה שמדובר על מידע רב ולא רוצים להשתמש בקווי תקשורת) מאפשרים כבר זמן רב הרצה של שירות Lambda ומלפני שנה גם הרצת שרתי EC2 – וכל זאת ללא חיבור לאינטרנט כלל!! כפי שציינו כבר ב- 2016 בבלוג של STKI  ש-"שמבחינה טכנולוגית תוכל AWS במידה ותרצה להרחיב יכולת זו לספק שירותים שלמים באתר הלקוח, כלומר לספק סוג של ענן פנימי!"

 

 

 

מודעות פרסומת
על הכרזה משמעותית בכנס re:Invent שירות ה- AWS Outposts

"האם ניתן לישון בשקט לאחר קבלת ייעוץ משפטי?"

שערוריית הנתונים של פייסבוק, אשר גרמה למחיקת ערך של 50 מיליארד דולר, מלמדת אותנו שגם אם חברה פועלת לפי החוק ולפי המלצות הגורמים המשפטיים , היא עדיין חשופה לפגיעה עסקית חמורה עקב מה שנתפש בציבור כפגיעה בפרטיות ובאמון הלקוחות.

המלצות:
על חברות לפעול באופן הגון בכל הנוגע לשימוש בנתונים האישיים המצויים ברשותם (לקוחות, עובדים, ספקים, וכד') – ולא רק לפי הנחיות החוק\רגולציה.
יש להפסיק ולאגור מידע ללא גבולות אלא לבצע רק איסוף מושכל של מידע
GDPR (General Data Protection Regulation) הנה רגולציה אירופאית שתיכנס לתוקף במאי 2018. ל- GDPR השלכות לא טריוויאליות להתנהלותם של כלל הארגונים בישראל ולא רק לארגונים הפעילים באירופה.
ארגונים ישראלים צריכים לאמץ את עקרונות ה- GDPR, גם אם הם לא מחויבים להם על פי חוק כעת, תוך הבנה שעקרונות אלו יהפכו עם הזמן להיות סטנדרטיים גם בישראל, וכמו כן עקרונות אלו מכוונים את ההתנהלות העסקית באופן יעיל, מדויק ובאופן שיוצר יותר אמון.

בכניסת בלוג זו חלק מנייר עמדה שפורסם בנושא הגנת הפרטיות ורגולציית הפרטיות האירופאית ה-GDPR

ניתן לקבלו על ידי פנייה ל-STKI

 

כלכלת האינטרנט אשר התפתחה בעשורים האחרונים פועלת באופנים שונים מאלה של הכלכלה המסורתית. במקום "לרכוש מוצר ולשלם עליו", באינטרנט ישנם שירותים רבים אשר ניתנים ללא תשלום ישיר. ה"תשלום" במקרים רבים אלו מתבצע על ידי מסירת מידע של המשתמש לספק השירות. המידע מאוחסן אצל הספק ומשמש למטרות שונות, ביניהן פרסום ושיווק ממוקד וכד'. נראה שהמידע שהתקבל על ידי הספק הוא נכס והוא יכול לעשות בו כרצונו – בין היתר למכור אותו לגורמי צד שלישי.
בתור דוגמא, אזרח מקבל פנייה טלפונית מספק אשראי שמציע לו הלוואה לצורך שיפוץ – כאשר האזרח אינו מבין כיצד הספק קיבל את הפרטים שלו וכיצד יודע שאכן הוא מתכנן שיפוץ. לעיתים מתקבלת פנייה גם ממספר ספקי אשראי.

Data Driven Enterprise
בהמשך לשינויים בכלכלה, אשר תוארו קודם, אחת מהיוזמות הרוחביות ש-STKI מיפתה הנה Data driven enterprise. מהות יוזמה זו היא ניצול המידע הקיים לביצוע החלטות ופעולות טובות יותר באופן גורף ושיטתי על ידי כל חלקי הארגון. בארגונים אשר שמו להם כמטרה לקיים את יוזמת ה- Data driven חשוב ביותר למנות Chief Data Office. ה- CDO הנה פונקציה ניהולית בכירה הנושאת באחריות לארגון רחב של נתונים ואסטרטגיית מידע, ממשל (governance), בקרה, פיתוח מדיניות דאטה, ניצול יעיל, מינוף הדאטה לטובת היעדים העסקיים ואף מוניטיזציה של המידע. תפקידם של CDOs ישלב אחריות להגנה על מידע ופרטיותו, ניהול מידע, איכות הנתונים וניהול מחזור חיי נתונים, יחד עם ניצול נכסי הנתונים ליצירת ערך עסקי, ולמינוף המידע לטובת המטרות העסקיות.
חברות מניחות שאם כל עניינן הוא לאסוף מידע באמצעות מערכות אינטרנט המבוססות על מודלים עסקיים של freemium או שהן פעילות רק בישראל, הרי שתפקידן הוא רק להגן על המידע כך שלא ייגנב ולעמוד בדרישות החוק\רגולציה. הנחה זו הנה הנחה מוטעית. מידע אישי שנאסף כחלק מטראנזאקציות עסקיות (שאינן מבוססות freemium), כמו גם מידע שנאסף ממערכות פנימיות או מהאינטרנט (במסגרת freemium), מחויב כאמור בעמידה בנהלים בתחום זה ולא פחות חשוב הטיפול במידע חייב להיתפס כ"הגון" על ידי הציבור הכללי.

על שערוריית הנתונים של פייסבוק
אפליקציה תמימה למראה בשם thisisyourdigitallife שהושקה ב-2014 הציעה למשתמשי פייסבוק שאלון פסיכולוגי מטופש, מהסוג שלא נדיר למצוא בפייסבוק. האפליקציה התיימרה להיות ‘כלי מחקר לפסיכולוגים’ ולכן היא גם קיבלה מפייסבוק אישור לאסוף מידע ולשמור אותו.
אבל בניגוד לשאר החידונים המעיקים שאנחנו מכירים, האפליקציה שאבה את כל ההרשאות שהיא רק יכלה לקבל מפייסבוק – גם מהמשתמשים, וחמור מזה, גם על החברים והמכרים שלהם – והחברים והמכרים של החברים שלהם. כך, למרות ש”רק” 270 אלף איש התקינו אותה, הצליח קוגן לקצור פרטים על 50 מיליון משתמשי פייסבוק אחרים.
המידע הרב והחשוב שהשיגו כותבי האפליקציה הועבר לחברת קיימברידג’ אנליטיקה, תוך כדי הפרת תנאי השימוש של פייסבוק, שאוסרים על איסוף המידע והעברתו לגורם חיצוני. אך נראה שפייסבוק עצמה לא עברה על החוק. קיימברידג’ אנליטיקה הנה חברת מחקר וייעוץ פוליטי בריטית. החברה עלתה לכותרות כאשר היא לקחה חלק פעיל בקמפיין הבחירות של המתמודד דונלד טראמפ במסע הבחירות לנשיאות 2016 ואף בקמפיין ההיפרדות של בריטניה מהאיחוד האירופאי – הברקזיט.
המידע המדובר שנאסף מהפייסבוק אפשר לחברה לייצר פרופילים של משתמשים, לסגמנט ולטרגט אותם, ולפמפם קמפיינים פוליטיים בפייסבוק אשר עושים שימוש בכלים פסיכולוגיים שונים ומנצלים את הפחדים והאמונות של האנשים השונים. לדוגמא, במידה ומגלים על פי נתוני השימוש בפייסבוק שאדם מסוים חובב מרוצי סוסים, ניתן לבנות קמפיין אישי שמדגיש עד כמה המתחרה במסע הבחירות "שונא סוסים ואמר שיחוקק חוקים להגבלת מרוצי הסוסים" (לא משנה אם מידע זה נכון או לא) והדבר ישפיע ככל הנראה על הצבעתו של האדם. דובר על כך שבבחירות בארה"ב עיקר המאמץ הופעל במדינות ה"מתנדנדות" וישנן טענות שפעולות אלו גרמו להטיית תוצאות הבחירות.
כאשר נושא זה התפרסם, הפסידה פייסבוק מעל 50 מיליארד דולר מערכה, ואנשים רבים כולל ידוענים (כולל לדוגמא אלון מאסק, הבעלים של טסלה ושל SpaceX וממייסדי Paypal) הודיעו שסגרו את החשבון שלהם בפייסבוק. קמפיין זה מופיע תחת #leavefacebook. מרק צוקרברג, מייסד ומנכ"ל פייסבוק, נאלץ לתת עדות פומבית למחוקקים האמריקאים ולהתנצל למול כל המשתמשים.
הנקודה המעניינת ביותר היא שעל פי המידע שהתפרסם עד כה נראה שפייסבוק, שפעלה תחת ייעוץ משפטי צמוד, ככל הנראה לא עברה על החוק! נראה ששותפים שלה עברו אולי על החוק ועל הצהרות הפרטיות שקיבלו מהמשתמשים, אך לא פייסבוק עצמה. ועדיין הפגיעה בפייסבוק חמורה. כלומר, קבלת ייעוץ משפטי ועמידה בחוק (כפי שנראה עד לנקודה זו) לא סייע לפייסבוק מבחינה עסקית!
לפיכך, ארגונים צריכים להפעיל "common sense" ולהתנהל באופן הגון בהתייחסות שלהם לנתונים אישיים של לקוחות, עובדים, ספקים וכד', ולא להיות בטוחים שכיסוי ואישור משפטי יספיקו בכל מצב. זהו המסר העיקרי של מסמך זה.

 

"האם ניתן לישון בשקט לאחר קבלת ייעוץ משפטי?"