לקוחות ועמיתים יקרים,
על רקע התעצמות מתקפות ואירועי הסייבר ביעדים ישראליים בעת האחרונה, פרסמה הרשות להגנת הפרטיות מספר פרסומים מנחים שמטרתם טיוב ניהול סיכוני הגנת הפרטיות ואבטחת מידע.
להלן נסקור בקצרה את עיקרי הפרסומים האחרונים.
נקדים ונציין שדיני הגנת הפרטיות במידע (הגנה על הפרטיות ב’מאגרי מידע’) עוסקים במידע אישי. עם זאת חלק מההמלצות שבפרסומים טובות גם להגנה בהיבטים רחבים יותר, על מידע שאינו חוסה תחת דיני הגנת הפרטיות.
מסמך עקרונות לניהול סיכוני אבטחת מידע בשימוש בקוד פתוח [1]
תוכנות קוד פתוח הן בפשטות תוכנות המופצות תחת רישיונות קוד פתוח (ביחד עם קוד המקור של התוכנות), המתירות למשתמשים בהן חופש רחב לבצע בהן פעולות שונות (לשנות אותן, להפיצן הלאה עם או ללא שינויים ועוד). בעשורים האחרונים תוכנות קוד פתוח הפכו לחלק מהותי בעולם טכנולוגיית המידע וגם ספקי תוכנות ‘קניינות’ (כולל ספקי תוכנות ‘מובילות’) עושים בהן שימוש ומשלבים אותן בתוכן.
הלכה למעשה קשה למצוא היום תוכנות מובילות שלא משולבים בהן קטעי קוד פתוח. פעמים כמות רכיבי הקוד הפתוח שמשולבים בתוכנות ‘קנייניות’ מגיעה למאות ואף לאלפים.
תוכנות קוד פתוח לרוב מופצות ללא אחריות וללא גורם ‘תומך’. רבות מהן נוצרות על ידי משתמשים רבים שכל אחד תורם להן חלקים מהקוד.
כתוצאה מכך קוד פתוח חשוף למפתחים זדוניים המחפשים בו חולשות אבטחה, פעמים אף יש כאלו ששותלים בו קטעי קוד זדוניים, כאשר הגורמים המפיצים אותן אינם מחויבים או אחראים לתחזוקת הקוד, או לאיתור חולשות אבטחה בו ולתיקונן.
תיאורטית, לחשיפות הקוד יש גם אפקט ממתן שכן הוא נגיש גם למשתמשים רבים שיכולים לזהות בו קטעי קוד זדוניים או חולשות. עם זאת, פעמים רבות לפחות לפרקי זמן מסוימים, הסיכוי שגורם עוין ינצל קוד פתוח לרעה עולה על הסיכוי שמשתמשים בו יזהו זאת ויתריעו או יפעלו לתיקונו.
הרשות מצביעה על סיכוני אבטחת המידע העלולים לנבוע ממאפייני הקוד הפתוח, ובעיקר: קוד פתוח ללא תחזוקה ותמיכה נאותים, קוד פתוח עם חולשה ידועה העלולה לאפשר גישה לא-מורשית לבסיסי נתונים, קוד פתוח המכיל “דלת אחורית” שנשתלה מראש בידי מפתח זדוני ומאפשרת גישה לא מורשית למידע, וכיו”ב.
בשל כך, שימוש בלתי מבוקר במערכות המכילות קוד פתוח, לרבות במוצרי מדף העושים שימוש בקוד פתוח, עלול לאפשר חדירה לא מורשית למאגרי המידע של הארגון ובכך לגרום לארגון להפר את חובותיו לפי חוק הגנת הפרטיות, התשמ”א-1981 (“החוק”) והתקנות שתוקנות מכוחו ובעיקר תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017 (“התקנות” או “תקנות אבטחת מידע”).
לאור האמור, לשם עמידה בדרישות החוק, ולנוכח היבטי אבטחת המידע הייחודיים הכרוכים בשימוש בקוד פתוח או במערכות המכילות קוד פתוח, מנחה הרשות על נקיטת הצעדים הבאים:
- יש לוודא כי רשימת המצאי המעודכנת של מערכות המאגר מאפשרת להבין באופן ברור אילו חלקים ממערכות המאגר מבוססים על רכיבי קוד פתוח.
- אין להשתמש בספריית קוד פתוח שאינה נתמכת ומתוחזקת בידי קהילת הקוד הפתוח, או בידי גוף ספציפי התומך בהיבטי האבטחה של הספרייה.
- במקרה של מיקור חוץ של שירות או מוצר בקשר לטיפול במידע אישי, על בעל המאגר להבטיח כי הספק מיישם את חובות אבטחת המידע [2], לרבות ביחס להטמעת קוד פתוח. חובה זו חלה גם במקרה בו הספק מספק את השירות באמצעות גורם נוסף (קבלן משנה, צד שלישי וכדומה).
לסיכום, הרשות להגנת הפרטיות ממליצה להתייחס לשימוש בקוד פתוח בכל אחד מהשלבים הנדרשים לשם עמידה בתקנות אבטחת מידע: החל משלב מיפוי מערכות מאגר המידע ויצירת מסמך הגדרות המאגר, דרך אימוץ שיטת “עיצוב לפרטיות” (privacy by design), הגדרת נהלי אבטחת המאגר, לרבות מעקב אחר תוכנות הקוד הפתוח המשמשות בו, ועד בחינה כוללת של אופן יישום חובות אבטחת המידע על ידי גורמים חיצוניים לצורך קבלת שירות באופן הכרוך בגישה למאגר המידע.
המלצות אלו טובות גם למערכות מידע ומערכות משובצות מחשב שאינן מעבדות מידע אישי, שכן מתקפות סייבר מתבצעות גם כנגד מערכות נוספות רבות. משכך יישומן חשוב גם כחלק אינטגרלי מההתגוננות הכוללת מסיכוני סייבר.
גילוי דעת – איסוף מספרי תעודות זהות וצילום תעודות זהות [3]
אירועי סייבר ואבטחת מידע מביאים לא פעם לדלף מידע. ככל שהמידע שדולף רגיש יותר, פוטנציאל הנזק גובר. על מנת למזער נזקי אירועי אבטחת מידע וסייבר חשוב להקפיד שלא להחזיק מידע עודף במאגר המידע. “מידע עודף” הוא מידע שאינו הכרחי לשם השגת המטרה שלשמה הוא נאסף. איסוף ושמירה של מידע עודף מגדילים את הסיכון לפגיעה בפרטיות ולאבטחת המידע, ויש להימנע מהם ככל הניתן.
לאור זאת, ועל רקע ריבוי המקרים בהם לקוחות נתבקשו על ידי בתי עסק לאפשר צילום תעודת הזהות שלהם או למסירת מספר הזהות שלהם כתנאי לקבלת שירות או מוצר, גם כאשר חלק מהמידע המופיע בתעודה אינו נחוץ לשם כך, פרסמה הרשות את עמדתה בעניין.
לפי עמדת הרשות, ככלל, בית עסק רשאי לבקש מלקוח מספר זהות או צילום תעודת זהות בשני מצבים עיקריים: הראשון, כאשר חלה עליו חובה חוקית או רגולטורית לעשות כן לצורך מתן שירותיו; [4] השני, לצורך זיהוי הלקוח.
ככלל, במקרים שבהם גוף נדרש לאמת את זהותו של אדם במסגרת עסקה (ואין חובה חוקית או רגולטוריות לצלם תעודות זהות או לאסוף מספר זהות), עדיף לנקוט בעקרון המידתיות, ולהעדיף אמצעי שפגיעתו בפרטיות פחותה, כגון זיהוי באמצעות קוד שנשלח ללקוח מבעוד מועד, או באמצעות הצגת תעודת הזהות ללא צילומה וללא שמירתה, וככלל, להפחית באיסוף המידע, להשתמש בו אך ורק עבור המטרה הספציפית עבורה נאסף, ולמחקו כשאין בו עוד צורך.
מעשית, גופים רבים מחזיקים מספר זהות הם כלי עבודה חשוב בזיהוי ופעולות נוספות. איסור גורף על שימוש בו עלול להוות תקנה שהציבור אינו יכול לעמוד בה. עם זאת לאור הסיכונים כמפורט בעמדת הרשות, חשוב לבחון את הצורך והיקפי השימוש בנתונים אלו, לחזור ולעשות כן מעת לעת, תוך נקיטה באמצעי הגנה כנדרש, על מידע זה.
[1] https://www.gov.il/he/pages/open_source_code
[2] בהתאם לתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017 (“תקנות אבטחת מידע”).[3] https://www.gov.il/he/departments/publications/reports/id_collecting.
[4] ס’ 3 לצו איסור הלבנת הון (חובות זיהוי, דיווח וניהול רישומים של תאגידים בנקאיים למניעת הלבנת הון ומימון טרור), תשס”א- 2001.
משרדנו ממשיך לעמוד לרשותכם לשאלות או הבהרות נוספות, בעניינים שנסקרו לעיל ובכלל, ואנו מאחלים לכם וליקיריכם ימים רגועים ושקטים. יובהר, כי האמור לעיל הינו מידע כללי, אשר אינו מהווה תחליף לייעוץ משפטי פרטני.