זה כמה שנים טובות שהממשל האמריקאי מעודד מעבר לענן. ב-2020 הוציאו הסוכנויות הפדרליות 6.6 מיליארד דולר על שירותי ענן, ב-21' ההוצאה זינקה ל-11 מיליארד, וההערכה היא שלכל הפחות הוכפלה ב-22'. חוק חדש נועד להפוך את המעבר לפשוט יותר: במקום שכל סוכנות תידרש לאשר כל ספק שירותי ענן בהליך עצמאי, המסלול המעודכן מקצר את הדרך ויוצר האחדה. הליך ההסמכה למוצרי הענן הוא מעט מורכב (ניתן לפשט אותו, ותיכף נראה כיצד) ומדי שנה יש להאריך את האישור ולתקף אותו מחדש (זה כבר פשוט יחסית). אבל מרגע שהתקבל, כל גופי הממשל, אולי בהתאמות כאלו ואחרות, רשאים ואף מקבלים המלצה להשתמש בשירותים (על פי "חזקת ההלימה" העוברת מסוכנות לסוכנות). יותר מזה: הסמכת FedRAMP, שעד היום זכו בה 295 חברות ועוד למעלה ממאה שנמצאות בתהליך, היא בבחינת תו תקן יוקרתי למגזר הפרטי. כך שיש כאן הזדמנות לכל מי שרוצה למכור מוצר SaaS לשוק הפדרלי, ולא רק לו. מן הסתם, הרשימה הזאת כוללת גם מספר חברות ישראליות.
הרשאת FedRAMP - ראשי התיבות של Federal Risk and Authorization Management Program - נמצאת איתנו כבר מ-2011. מתוך הבנה שמעבר לענן פירושו שמידע סודי ורגיש יוחזק בידי ספקים חיצוניים, עמדו כבר אז בוושינגטון על הצורך להבטיח סביבה נאותה ומאובטחת ועל הצורך בקיומן של בקרות לסיכונים הקשורים למשל בדלף מידע. החידוש כעת הוא בחתימת הנשיא ביידן על ה-FedRAMP Authorization Act, חוק שהקל על שני המסלולים בדרך להטמעה רחבה ומהירה יותר של שירותי ענן: הסמכה ישירות דרך JAB - Joint Authorization Board - הגוף המנהל של FedRAMP הכולל את משרד ההגנה (DoD), המחלקה לביטחון המולדת (DHS) ומינהל השירותים הכלליים (GSA); והסמכה דרך אחת מסוכנויות הממשל
הסמכה דרך סוכנות פדרלית היא המסלול המועדף על רוב ספקי השירותים, אם בשל מיעוט המוצרים שמאשר JAB (כתריסר בלבד מקבלים ממנו מדי שנה P-ATO - Provisional Authority to Operate) ואם עקב גמישות גדולה יותר, מרחב תמרון רב יותר ואולי אף "תיאבון סיכון" מכיל יותר שיש לסוכנות. תוך כדי התהליך ניתן כבר למנף את אישורי הסוכנות לעבודה עם סוכנויות נוספות, ובוודאי להגיע מהר להרשמה ב-Marketplace FedRAMP הנכסף - המקום שבו מופיעים כל בעלי ההסמכה ואלו שבדרך, ושדרכו אף ניתן להוריד את שירותים. התקשרות עם סוכנות מלווה היא אתגר בפני עצמו, וזה כבר תלוי ב-Pitch של הסטארט-אפ. למי שכבר עובד עם הממשל בתצורת On prem, זה בדרך כלל קל יותר, כיוון שסביר להניח והסוכנות תלווה אותו בתהליך. לא פעם, דווקא הסוכנות כלקוח היא זו שדוחפת את המעבר לענן ומוכנה לרתום לטובתו חלק ממשאביה.
כל הדרך להסמכה
אז איך מתבצע התהליך? מור חדד, מנהלת בכירה בחטיבת ניהול סיכוני IT ב-Deloitte ישראל המתמחה בעולמות ה- Compliance, לחברות SaaS בעיקר' מתארת בקצרה: "ההמלצה היא להתחיל ב-Readiness Assessment, אף שזהו שלב חובה רק במסלול ה-JAB. בשלב הזה עובדים עם ארגון מבקר (Third Party Assessor -3PAO) ומקבלים ממנו דוח הערכת מוכנות (- Readiness Assessment Report RAR) המתעד את יכולתו של ספק שירותי הענן (CSP) לעמוד בדרישות האבטחה הפדרלית. השלב הבא הוא Pre-Authorization הכולל את איתור הסוכנות המלווה, ובעיקר את תכנון התהליך לקראת ה-Security Assessment. במקביל מומלץ להתחיל בגיבוש הפערים, Gap Assessment, בין המצוי לנדרש, ולגבש תוכנית פעולה לסגירתם. כאן כבר מומלץ לקחת יועצים שילוו את התהליך, עם ניסיון והבנה הן ברמה המתודולוגית והן ברמה הטכנית. "לא מדובר בעוד הסמכה שבה אפשר הכול לבד", מדגישה חדד. "אני לא חושבת שראיתי גוף שקיבל אישור FedRAMP בלי יועצים חזקים שליוו אותו בתהליך". Deloitte מציעה שירותי ייעוץ מלווים מקצה לקצה בתהליך, ובכפוף לתקנות אי תלות היא יכולה לשמש כצד שלישי מבקר.
שלב ה-Authorization עצמו מורכב משני שלבים: הערכת אבטחה מלאה (SAR), שבה ה-3PAO מבצע ביקורת בלתי תלויה על המערכת, ומתוכה ייצאה ה-CSP עם תוכנית פעולה ואבני דרך לטיפול בממצאי הבדיקה (ולמען הסר ספק, כאלה יש תמיד); וקבלת אישור הסוכנות בכפוף לסגירת הפערים והערכת הסיכונים. כמה זמן זה ייקח? חדד אומדת את שלב ה-Assessment ב-6-4 חודשים במסלול הסוכנות וב-9-7 חודשים במסלול ה-JAB. יחד עם ההכנה המקיפה, כשנה עבודה. אבל זה לא נגמר עם קבלת האישור: ב-Post Authorization או בשלב ה-Monitoring נדרש ה-CSP לספק תוצרי אבטחה תקופתיים לכל לקוחות הסוכנות. למשל: סקירת פגיעויות, דוחות תקריות, הערכות אבטחה שנתיות, בקשות לשינוי משמעותי ועוד.
מניסיונה, חדד נותנת כמה טיפים:
1. לפני שיוצאים לדרך חשוב להבין היטב את התהליך, לדעת מה בדיוק נדרש וכן לקרוא היטב את החוזים המחייבים עמידה ב-FedRAMP. לא פעם, אם לא עובדים ישירות עם סוכנות פדרלית, ייתכן שיספיק מסמך אחר שקל יותר להשיג, כדוגמת SOC2 + FedRAMP.
2. רבים טועים לחשוב שההרשאה היא לחברה, בעוד שמדובר באישור למוצר הספציפי. לכן חשוב מאוד בשלבים הראשונים להגדיר את גבולות המערכת של המוצר הספציפי אותו אתם רוצים לאשר. .
3. עוד טעות נפוצה היא ההנחה ששימוש בסביבה הוסמכה FedRAMP הופך אוטומטית את כלל המוצרים בה למוסמכים. אומנם, מוצר שיושב על סביבה כזאת יירש ממנה בקרות, מה שיקל על ההסבר המתועד ויסייע בצמצום הבקרות שבאחריות הספק. ועדיין, כל שכבה ומוצר SaaS, IaaS, PaaS וכדומה חייב להיבדק ולהפוך ל-FedRAMP ATO בעצמו.
4. חשוב להבין מוקדם ככל שניתן, תוך כדי גיבוש האסטרטגיה, באיזה Impact Level נמצא הארגון. ניתן לבדוק זאת בקלות דרך FIPS 199המציג את הסטנדרטים הנדרשים לסיווג האבטחה של מידע ומערכות מידע במישור הפדרלי. הקטגוריה של המערכת שלכם (Low, Moderate או High) תלויה בהשפעה הפוטנציאלית על נכסי הסוכנות ופעולותיה במקרה של פגיעה. יש לכך השפעה על מספר הבקרות שתידרשו ליישם ולבדוק, וגם על התקציב.
5. צריך לחשוב על FedRAMP כעל הטמעה מתמשכת, לא פרויקט עם התחלה וסוף. כדאי שיוקצו אחראים לדבר מטעם הארגון, אם כתפקיד מרכזי ואם בנוסף על תפקידיהם האחרים.
6. מומלץ להשתמש ב-FedRAMP PMOs, גוף מתוך ה - General Services Administration שמטרתו בין היתר לתמוך בסוכנויות ובספקים. הם זמינים ויכולים לסייע במענה לשאלות טכניות ובתכנון האסטרטגיה.
7. מומלץ להשתמש בשירותי ייעוץ ה"שוחים" בעולם הפדרלי. עשוי לייעל את התהליך ולסייע בחסכון משמעותי בעלויות.
חדד קוראת לכל חברת SaaS, גם כאלו ששללו בעבר כניסה לשוק הפדרלי, להעריך מחדש את ה-Go to market ולעקוב מקרוב אחר ההתפתחויות בשוק הצומח הזה. "הסמכת FedRAMP נשמעת מאיימת, אבל היא לחלוטין ישימה. בפרט לאור החידושים במסלול שהופכים אותו למהיר, ברור ושקוף יותר, בין היתר הודות להטמעת אוטומציות בניטור. המאמץ הגדול יושקע בשנה הראשונה של ההטמעה, ולאחר מכן ילך ויקטן. מאז 2018 אנחנו רואים קפיצה משמעותית במניין החברות שקיבלו את ההסמכה, והשנה, גם בעקבות הנוהל החדש, המספר עוד צפוי לזנק. עוד תופעה בולטת היא השימוש החוזר במוצרי ענן מורשים ברחבי הממשל הפדרלי: יותר מ-4,500 שימושים חוזרים ב-2022, עלייה של 60% ביחס ל-21' ושל 132% ביחס ל-20'. המסלול פתוח לסטארט-אפים ישראליים, ודאי לכאלה המעסיקים אזרחים אמריקאים (על פי החוק הפדרלי, אזרחים זרים אינם רשאים להתחבר לסביבה הפדרלית עצמה), והסמכת FedRAMP יכולה לפתוח עולם של הזדמנויות עסקיות נוספות. שווה לנסות".
מעוניינים לשמוע עוד מהמומחים שלנו? הקליקו כאן