אבטחת מידע בענן זה לא בשמים

ארגון התקינה הבינלאומי (ISO) פרסם לאחרונה תקן חדש - שמטרתו להבטיח את הפרטיות ואבטחת מידע אישי בענן

עומר טנא

מתקפת הסייבר על חברת סוני, שכללה גניבת סרטים שהפקתם עלתה מאות מיליוני דולרים ועדיין לא הופצו, השבתת מערכות מחשוב והדלפת מידע אישי רגיש, מסמנת שלב חדש בהתמודדות של עסקים עם אתגרים בתחום אבטחת מידע והגנה על פרטיות. פרצת האבטחה בסוני היא האחרונה בשורה של מקרים שאירעו ב-2014, שכללה פריצות למחשבים ומאגרי המידע של ג'יי.פי מורגן צ'ייס, הבנק הגדול בארה"ב, ענקית הקמעונות הום־דיפו ורשת חנויות היוקרה ניימן מרקוס.

מומחי אבטחה יודעים שכיום אין די בהקמת חומות הגנה, הרמטיות ככל שיהיו, סביב נכסי העסק. בעידן מחשוב הענן, חברות אינן מחזיקות עוד בנכסי המידע שלהן בדליית אמותיהן, אלא משתמשות בשירותי אחסון, עיבוד נתונים, יישומים ותשתיות בענן.

אתר חדשות מסקר את פרשיית סוני והסרט "ריאיון סוף" בדרום קוריאהצילום: אי־פי

מצד אחד, מחשוב הענן מאפשר לעסקים, ובעיקר לחברות קטנות ובינוניות שאינן יכולות לממן תשתיות מחשוב יקרות, לצרוך שירותים מתקדמים בהתאם לדרישה ובעלויות אטרקטיביות. מצד שני, העברת מידע לידי צדדים שלישיים, ששרתיהם נמצאים במדינות שונות, מעוררת בעיות חדשות הנובעות מהיעדר שליטה על המידע ומחוסר בהירות לגבי מיקומו הגיאוגרפי ונוהלי אחזקתו. הפריצה לשירות אייקלאוד של אפל והפצת תמונות אישיות של ידועניות העלתה זיעה קרה על מצחיהם של מנהלי מערכות מידע בעסקים.

אחת הבעיות במודל הענן היא היעדר מסגרת כללים אחידה להסדרת פרטיות ואבטחת מידע. מעצם הגדרתו, הענן אינו כפוף למסגרת חוקית או רגולטורית של מדינה מסוימת. מידע של חברה ישראלית עשוי להיות מוחזק על גבי שרתים של חברת ענן אמריקאית המוצבים באוסטרליה. כפועל יוצא, שוררת אי-ודאות לגבי הדין החל במקרה של פרצת אבטחה. בארה"ב, למשל, קיימים חוקים שונים ב-47 מדינות המחייבים מסירת הודעה על כשל באבטחת מידע. חובה דומה קיימת באירופה רק בענף התקשורת. בישראל, חובת הדיווח מוגבלת לענף הבנקאות. מה הדין, אם כך, במקרה של דליפת מידע רגיש משירות הענן שבו משתמשת החברה הישראלית?

לכאורה, רצוי היה להיחלץ מהסבך המשפטי-טכנולוגי באמצעות אמנה בינלאומית, שתקבע אמות מידה מקובלות, אחידות והולמות לפרטיות ואבטחת מידע בענן. אלא שדווקא בתחום זה, הפערים התרבותיים והמשפטיים בין מדינות, בעיקר בין האיחוד האירופי לארה"ב, מונעים הגעה להבנות. אדרבא, אם היה סיכוי להסכם בינלאומי בתחום זה, הוא נגוז עם החשיפות של אדווארד סנודן על ההיקף העצום של הניטור והגישה למידע בענן על ידי רשויות ביטחון אמריקאיות. על רקע זה, חשוב לפתח אמות מידה ותקנים, שיאפשרו לעסקים לצרוך שירותי ענן תוך הסתמכות על כללים בסיסיים לפרטיות המידע שהעבירו ולאבטחתו.

מחשבי ענןצילום: בלומברג

ואכן, באחרונה פירסם ארגון התקינה הבינלאומי (ISO) תקן חדש, שמטרתו הבטחת פרטיות ואבטחת מידע אישי בענן. התקן (שמספרו 27018) קובע מסגרת כללים שבאמצעותם עסק יוכל להבטיח עמידה בסטנדרטים הנקבעים על ידי מסגרות דין שונות, לרבות חוק הגנת הפרטיות הישראלי ודירקטיבת הגנת המידע האירופית. התקן קובע פעולות לשיפור נוהלי אחזקת המידע בעסק וגם מאפשר בקרה על יישום הכללים על ידי גורם שלישי מוסמך.

הטמעת התקן על ידי ספקים של שירותי ענן תגביר את הוודאות בדבר רמת האבטחה. הדבר יגביר מאוד את הביטחון של בעלי עסקים בכך שספקי שירותי הענן ממלאים את חובותיהם בלא קשר למיקום שרתיהם.

פרופ' טנא הוא מרצה 
בבית הספר למשפטים, 
המסלול האקדמי - המכללה למינהל

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker