2. תקנה 13 לתקנות קובעת, בין היתר, כי בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה וכי בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן. כמו כן, התקנה קובעת כי לא ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים.

ייחודו של קוד פתוח נובע במידה רבה מעצם העובדה ששימוש בו מותנה בקבלת רישיון שימוש, אך אינו כרוך בהחזקה ברישיון מסחרי ופעמים רבות אין 'יצרן' אשר עומד מאחוריו. לכן, מסמך העקרונות מבהיר כי לשם עמידה בהוראות התקנה, באחריות הארגון לוודא שלא נעשה שימוש בספריות קוד פתוח שאינן נתמכות ומתוחזקות, בין אם על-ידי קהילת הקוד הפתוח, או בידי גוף אחר אשר תומך בהיבטי האבטחה של הספרייה (למשל גוף מסחרי). למען הסר ספק, גם אם נעשה שימוש בתוכנה קניינית או מסחרית הכוללת רכיבי קוד פתוח, חובה על הארגון לוודא שרכיבי הקוד הפתוח מנוהלים ומתוחזקים וכי הם אינם מכילים חולשות ידועות הניתנות לניצול. לשם כך, ניתן לדרוש מהספק רשימת מצאי של רכיבי הקוד הפתוח או להעדיף ספק תוכנה המצהיר כי הוא עומד במסגרת עבודה (framework) מוכרת ומקובלת לניהול רכיבי קוד פתוח. כמו כן, לאחר הטמעת קוד פתוח, יש להיות ערניים לכך שככל ובמהלך השימוש בקוד פתוח, הוא לא יקבל תמיכה מגורם שלישי – יהיה צורך להחליט אם לתחזק את הקוד באופן עצמאי או להחליפו.

3. תקנה 14(א) לתקנות קובעת כי בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב. מסמך העקרונות מבהיר כי אחריותו של בעל מאגר המידע חלה גם כאשר אמצעי ההגנה שהותקנו על מנת להגן על המידע האישי בארגון, כגון חומת-אש ואנטי-וירוס, מכילים רכיבי קוד פתוח. משמעות הדברים היא כי ייתכן שארגון אשר עושה שימוש ישיר בתוכנות או ספריות קוד פתוח, או במוצר מדף שמשתמש בספריית קוד פתוח, אשר עלולות לאפשר חדירה לא מורשית למאגרי המידע של הארגון או לאפשר פעולה זדונית באמצעות קוד זה, יפר את הוראת תקנה זו, ועליו לנקוט באמצעי הגנה מתאימים. 

4. בעל מאגר מידע המעוניין להתקשר עם גורם חיצוני לצורך קבלת שירות נדרש לפי תקנה 15(א)(1) לתקנות לבחון לפני ביצוע ההתקשרות עם הגורם החיצוני את סיכוני אבטחת המידע הכרוכים בהתקשרות. מסמך העקרונות מבהיר כי חובה זו חלה, בין היתר, על התקשרויות לצורך קבלת שירותים או מוצרים הכוללים קוד פתוח. כלומר, על בעל המאגר לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ואת אופן יישום החובות בתחום אבטחת המידע שהגורם החיצוני חייב בהן לפי התקנות, וכן את אופן יישום ההנחיות הנוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע, אם קבע. כמו כן, על מנת שבעל המאגר והגורם החיצוני יעמדו בהוראות הדין, על כל אחד מהם להבטיח שחובות האבטחה ביחס להטמעת קוד פתוח מיושמות, ובכלל זה עליהם להבטיח חוזית שהאחריות על הטמעת קוד פתוח תחלחל במורד שרשרת האספקה עד לספק האחרון בשרשרת (לרבות כל הנושאים המפורטים בתקנה 15).

5. הרשות ממליצה לאמץ את עקרון "עיצוב לפרטיות" (privacy by design) ובמסגרתו להתייחס, בין היתר, לשימוש בקוד פתוח במערכות המידע, וזאת החל מהשלבים המוקדמים של אפיון המערכת, עיצובה ופיתוחה, וכלה בבקרה על הקוד שפותח ועדכונו. לצורך כך דרושה מודעות מכלל העוסקים במלאכה, לרבות הגורמים המאפיינים את המערכת, הגורמים המעצבים את הארכיטקטורה שלה וכן צוות הפיתוח, המיישם את דרישות האפיון, העיצוב והפיתוח ומטמיע את הקוד הפתוח.

באופן כללי, הרשות להגנת הפרטיות מבהירה כי טרם הטמעת קוד פתוח, חובה להיערך בהתאם ולנקוט בפעולות מקדימות, ומסמך העקרונות כולל מגוון המלצות להיערכות כאמור. לדוגמא, הכנת מסמך הגדרות מאגר, אשר יכלול, בין היתר, התייחסות לסיכונים העיקריים הנובעים משימוש בקוד פתוח ואופן ההתמודדות עימם, הפעלת תוכנית הכשרה כשזו נדרשת, חלוקת תפקידים ברורה בין הגורמים האמונים על אבטחת המידע במאגר כך שיובהר מיהו הגורם האחראי לאבטחת מידע בהיבטי השימוש בקוד פתוח וכן על הטמעתו בארגון, בחינת הרישיון החל ביחס לכל רכיב קוד פתוח, הגדרה וניהול של נוהלי קוד פתוח, ביצוע סקירה כללית של תוכנית תאימות לקוד פתוח, הקפדה על ביצוע הכשרה של כלל המעורבים בפיתוח ובניהול הקוד על פי הנדרש וכיו"ב. מסמך העקרונות מדגיש כי אחת הדרכים שבהן ניתן לנהל מעקב הדוק אחר תוכנות קוד פתוח והסיכונים בשימוש בהן כתוצאה מחולשות ידועות היא באמצעות שימוש בכלים כדוגמת SBOM ו-VEX ובכל הנוגע לניהול סיכונים הנובעים משימוש בקוד פתוח, קיימות בשוק מסגרות עבודה כגון ISO/IEC 5230 אשר עשויות לסייע לארגונים לעמוד בחובותיהם בהקשר זה.

לעיון במסמך העקרונות שפורסם על-ידי הרשות לחצ/י כאן

לעיון בנספח ההרחבה שפורסם על-ידי הרשות לחצ/י כאן