הרשות להגנת הפרטיות פרסמה מסמך עקרונות לניהול סיכוני
אבטחת מידע בעת שימוש בקוד פתוח במערכות מאגרי מידע
ביום 9.4.24 פרסמה הרשות להגנת הפרטיות מסמך עקרונות לניהול סיכוני אבטחת מידע בעת שימוש בתוכנות קוד פתוח במערכות מאגרי מידע.
באופן כללי, תוכנות קוד פתוח (Open Source) הן תוכנות המופצות תחת רישיון אשר קוד המקור שלהן נגיש (זמין לצפייה) וחופשי לשימוש, עריכת שינויים והפצה, תחת התנאים הקבועים ברישיון. מערכות רבות המשמשות
לניהול ולתחזוקת מאגרי מידע אישי, לרבות מערכות אבטחה, מבוססות במידה מסוימת על שימוש בקוד פתוח. עם זאת, המאפיינים הייחודיים של תוכנות קוד פתוח, כולל אפשרות הגישה לקוד המקור והעובדה שבמקרים רבים אין גוף אשר אחראי לתחזוקת הקוד, מהווים גורם סיכון כאשר
הקוד אינו מנוהל ומתוחזק כראוי, ולכן הוא עשוי להכיל חולשות אבטחה, אשר עלולות לגרום לחשיפה של מידע אישי רגיש ממאגרי מידע ולאיום ממשי לפגיעה בפרטיות.
רשות הגנת הפרטיות מבהירה במסמך העקרונות כי עיבוד מידע אישי במאגר מידע כפוף לעמידה בהוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), 2017 (להלן – "התקנות"), גם כאשר מערכות המאגר מבוססות במידה רבה או חלקית על שימוש בקוד פתוח
וכי החוק והתקנות מטילים על בעל מאגר המידע, מנהל המאגר ומחזיק המאגר אחריות לאבטחת המידע בו גם ביחס לשימוש בקוד פתוח. אי-מתן מענה הולם בהיבטי אבטחת מידע לסיכוני אבטחת מידע הכרוכים בשימוש בקוד פתוח, עלול לעלות כדי הפרה של הוראות
החוק והתקנות.
במסמך שפורסם על-ידי רשות הגנת הפרטיות ישנן המלצות והנחיות לארגונים לעניין ניהול השימוש בתוכנות קוד פתוח בדרך המיטיבה ביותר לשמירה על הפרטיות, ובהלימה עם הוראות חוק הגנת הפרטיות והתקנות. בכלל זה הרשות התייחסה לחובות המרכזיות
בתקנות אשר יש לתת עליהן את הדעת בעת שימוש בקוד פתוח:
1. תקנה 5(א) לתקנות קובעת, בין היתר, כי בעל מאגר מידע יחזיק רשימת מצאי מעודכנת של מערכות המאגר, ובכלל זה רשימה של מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהול המאגר ולתחזוקתו, לתמיכה בפעילותו, לניטורו ולאבטחתו, ושל תוכנות וממשקים המשמשים לתקשורת
אל מערכות המאגר ומהן. מסמך העקרונות מבהיר כי החובה האמורה חלה גם ביחס לרכיבי מערכות המאגר המבוססים על קוד פתוח, וכי יש לוודא שרשימת המצאי מאפשרת להבין, באופן ברור, אילו חלקים ממערכות התוכנה מבוססים על רכיבי קוד פתוח, כולל אלו הנמצאים בשימוש עקיף.
2. תקנה 13 לתקנות קובעת, בין היתר, כי בעל מאגר מידע יקפיד על ניהול ותפעול תקין של מערכות המאגר, לפי המקובל בהפעלת מערכות כאלה וכי בעל מאגר מידע ידאג לכך שייערכו עדכונים שוטפים של מערכות המאגר, לרבות חומר המחשב הנדרש לפעולתן. כמו כן, התקנה קובעת כי לא
ייעשה שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים.
ייחודו של קוד פתוח נובע במידה רבה מעצם העובדה ששימוש בו מותנה בקבלת רישיון שימוש, אך אינו כרוך בהחזקה ברישיון מסחרי ופעמים רבות אין 'יצרן' אשר עומד מאחוריו. לכן, מסמך העקרונות מבהיר כי לשם עמידה בהוראות התקנה, באחריות הארגון לוודא
שלא נעשה שימוש בספריות קוד פתוח שאינן נתמכות ומתוחזקות, בין אם על-ידי קהילת הקוד הפתוח, או בידי גוף אחר אשר תומך בהיבטי האבטחה של הספרייה (למשל גוף מסחרי). למען הסר ספק, גם אם נעשה שימוש בתוכנה קניינית או מסחרית הכוללת רכיבי קוד פתוח, חובה על הארגון
לוודא שרכיבי הקוד הפתוח מנוהלים ומתוחזקים וכי הם אינם מכילים חולשות ידועות הניתנות לניצול. לשם כך, ניתן לדרוש מהספק רשימת מצאי של רכיבי הקוד הפתוח או להעדיף ספק תוכנה המצהיר כי הוא עומד במסגרת עבודה (framework) מוכרת ומקובלת
לניהול רכיבי קוד פתוח. כמו כן, לאחר הטמעת קוד פתוח, יש להיות ערניים לכך שככל ובמהלך השימוש בקוד פתוח, הוא לא יקבל תמיכה מגורם שלישי – יהיה צורך להחליט אם לתחזק את הקוד באופן עצמאי או להחליפו.
3. תקנה 14(א) לתקנות קובעת כי בעל מאגר מידע לא יחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית אחרת, בלא התקנת אמצעי הגנה מתאימים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב. מסמך העקרונות מבהיר כי אחריותו של
בעל מאגר המידע חלה גם כאשר אמצעי ההגנה שהותקנו על מנת להגן על המידע האישי בארגון, כגון חומת-אש ואנטי-וירוס, מכילים רכיבי קוד פתוח. משמעות הדברים היא כי ייתכן שארגון אשר עושה שימוש ישיר בתוכנות או ספריות קוד פתוח, או במוצר מדף שמשתמש בספריית קוד פתוח,
אשר עלולות לאפשר חדירה לא מורשית למאגרי המידע של הארגון או לאפשר פעולה זדונית באמצעות קוד זה, יפר את הוראת תקנה זו, ועליו לנקוט באמצעי הגנה מתאימים.
4. בעל מאגר מידע המעוניין להתקשר עם גורם חיצוני לצורך קבלת שירות נדרש לפי תקנה 15(א)(1) לתקנות לבחון לפני ביצוע ההתקשרות עם הגורם החיצוני את סיכוני אבטחת המידע הכרוכים בהתקשרות. מסמך העקרונות מבהיר כי חובה זו חלה, בין היתר, על התקשרויות לצורך קבלת שירותים
או מוצרים הכוללים קוד פתוח. כלומר, על בעל המאגר לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ואת אופן יישום החובות בתחום אבטחת המידע שהגורם החיצוני חייב בהן לפי התקנות, וכן את אופן יישום ההנחיות הנוספות לעניין אמצעי אבטחת מידע שקבע בעל מאגר המידע,
אם קבע. כמו כן, על מנת שבעל המאגר והגורם החיצוני יעמדו בהוראות הדין, על כל אחד מהם להבטיח שחובות האבטחה ביחס להטמעת קוד פתוח מיושמות, ובכלל זה עליהם להבטיח חוזית שהאחריות על הטמעת קוד פתוח תחלחל במורד שרשרת האספקה עד לספק האחרון בשרשרת (לרבות כל הנושאים
המפורטים בתקנה 15).
5. הרשות ממליצה לאמץ את עקרון "עיצוב לפרטיות" (privacy by design) ובמסגרתו להתייחס, בין היתר, לשימוש בקוד פתוח במערכות המידע, וזאת החל מהשלבים המוקדמים של אפיון המערכת, עיצובה ופיתוחה, וכלה בבקרה על הקוד שפותח ועדכונו. לצורך כך
דרושה מודעות מכלל העוסקים במלאכה, לרבות הגורמים המאפיינים את המערכת, הגורמים המעצבים את הארכיטקטורה שלה וכן צוות הפיתוח, המיישם את דרישות האפיון, העיצוב והפיתוח ומטמיע את הקוד הפתוח.
באופן כללי, הרשות להגנת הפרטיות מבהירה כי טרם הטמעת קוד פתוח, חובה להיערך בהתאם ולנקוט בפעולות מקדימות, ומסמך העקרונות כולל מגוון המלצות להיערכות כאמור. לדוגמא, הכנת מסמך הגדרות מאגר, אשר יכלול, בין היתר, התייחסות לסיכונים העיקריים הנובעים משימוש בקוד
פתוח ואופן ההתמודדות עימם, הפעלת תוכנית הכשרה כשזו נדרשת, חלוקת תפקידים ברורה בין הגורמים האמונים על אבטחת המידע במאגר כך שיובהר מיהו הגורם האחראי לאבטחת מידע בהיבטי השימוש בקוד פתוח וכן על הטמעתו בארגון, בחינת הרישיון החל ביחס לכל רכיב קוד פתוח,
הגדרה וניהול של נוהלי קוד פתוח, ביצוע סקירה כללית של תוכנית תאימות לקוד פתוח, הקפדה על ביצוע הכשרה של כלל המעורבים בפיתוח ובניהול הקוד על פי הנדרש וכיו"ב. מסמך העקרונות מדגיש כי אחת הדרכים שבהן ניתן לנהל מעקב הדוק אחר תוכנות קוד פתוח והסיכונים בשימוש
בהן כתוצאה מחולשות ידועות היא באמצעות שימוש בכלים כדוגמת SBOM ו-VEX ובכל הנוגע לניהול סיכונים הנובעים משימוש בקוד פתוח, קיימות בשוק מסגרות עבודה כגון ISO/IEC 5230 אשר עשויות
לסייע לארגונים לעמוד בחובותיהם בהקשר זה.
לעיון במסמך העקרונות שפורסם על-ידי הרשות לחצ/י כאן