עקרונות לניהול סיכוני אבטחת מידע בקוד פתוח

ביום 10.4.2024 פרסמה הרשות להגנת הפרטיות גילוי דעת ובו עקרונות לניהול סיכוני אבטחת מידע בקוד פתוח. באתר פרסמתי בעבר מאמר על הקוד פתוח  (Open Source)או בשמו "תוכנה חופשית" או "תוכנת קוד חופשי ופתוח"Software (FOSS)  Free and Open Source ודרך התפתחות קהילת הקוד הפתוח וניסיתי להשיב לשאלה האם להשתמש בו או לא. במאמר הצגתי את שינוי העמדה בחברות הגדולות ואצל קרנות הון סיכון בהתייחס לשימוש בקוד פתוח לאור החסכון בזמן וכסף והיתרון הטכנולוגי הטמון בשימוש בו.

אזכיר בקצרה, כי קוד פתוח הוא מודל לפיתוח תוכנה בשיתוף פעולה המוני, כך שהקוד הפתוח זמין לציבור הרחב ומצורף לו רישיון תוכנה, שבכפוף לקיום כל תנאיו והמגבלות שנקבעו בו ניתן להשתמש בו, לערוך בו שינויים ולהפיצו מחדש. חשוב שתקבלו ייעוץ משפטי של עורך דין מסחרי המכיר את עולמות הקוד הפתוח ורישיונות התוכנה הללו כדי שיוכל להסביר לכם כיצד ניתן להשתמש בקוד הפתוח, מה לא ניתן לעשות בו, מה השלכות השימוש בו ומה ניתן לבצע בעזרתו ובאלו מגבלות.

העניין הופך מורכב יותר כאשר מפרסומים של מומחים בתחום עולה, כי מרבית התוכנות המסחריות כוללות רכיבי קוד פתוח וכאשר ידוע שבחלק מרכיבי הקוד הפתוח, שאינם מתוחזקים כראוי, קיימות חולשות בהיבטי אבטחה, שהופכות אותה קלה לחדירה ולפריצה. חולשות אלה כוללות: קוד פתוח שאינו מתוחזק ונתמך כראוי; או קוד פתוח עם חולשה ידועה, שבעטיה ניתן לאפשר גישה לא מבוקרת לבסיס הנתונים של המאגר; או קוד פתוח שמאפשר להפעיל קוד שנשתל בספריה מבעוד מועד.

כאשר אנו בעלי מאגר מידע יתכן, שקוד פתוח יתממשק למערכות המאגר במקרה בו התוכנה שפיתחנו כוללת רכיבי קוד פתוח או במקרה בו רכשנו זכויות שימוש בתוכנה והיא כוללת רכיבי קוד פתוח או כרכיב עצמאי המממש פונקציונליות מסויימת. במקרים כאלה מצאה לנכון הרשות להגנת הפרטיות לקבוע מספר עקרונות החלים מכוח חוק הגנת הפרטיות, התשמ"א-1981 (להלן – "החוק") ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן – "התקנות"):

1. חובת אבטחת המידע שבמאגר – סעיף 17 לחוק מחייב בעל מאגר מידע, מחזיק במאגר מידע ומנהל אבטחת מאגר מידע לאבטחת המידע שבמאגר. חובה זו טומנת בחובה גם התייחסות להיבטי אבטחת המידע במאגר כאשר משתמשים בקוד פתוח המתממשק למאגר. כפי שכתבתי לעיל, בחלק מרכיבי הקוד הפתוח, שאינם מתוחזקים כראוי, קיימות חולשות בהיבטי אבטחה ועלינו לתת את הדעת לכך.
2. חובת קיום רשימת מצאי מעודכנת של מערכות המאגר – התקנות מחייבות בעל מאגר מידע להחזיק רשימת מצאי מעודכנת של מערכות המאגר ובכללן גם מערכות התוכנה המשמשות להפעלת מאגר המידע, לניהולו, לתחזוקתו, לתמיכה בפעילותו, לניטור שלו ולאבטחתו וכן של תוכנות וממשקים לתקשורת למערכות המאגר. הרשות קובעת, שהחובה חלה גם בהתייחס לרכיבי המערכת, שמבוססים על קוד פתוח וכחלק מהחובה יש לוודא שרשימת המצאי מאפשרת להבין באופן ברור אלו חלקים ממערכות התוכנה מבוססים על רכיבי קוד פתוח. הרשות מציינת שהיא רואה בחיוב שימוש בכלים המאפשרים את מיפוי מאגר המידע מקצה לקצה.
3. עדכונים שוטפים ותחזוקה למערכות המאגר – התקנות מחייבות בעל מאגר מידע להקפיד על ניהול ותפעול תקין של מערכות המאגר וכן שידאג לעדכונים שוטפים של מערכות המאגר. עוד נאסר על שימוש במערכות, שהיצרן אינו תומך בהיבטי האבטחה שלהן אלא אם ניתן מענה אבטחתי מתאים. הקוד הפתוח, מעצם טיבו, אינו מחייב ש"יצרן" יעמוד מאחוריו, זה יכול להיות מפתח בודד ולא מוכר, שאינו מתחייב לדבר. כמובן, שרכיבי קוד פתוח אינם מחייבים החזקה ברישיון מסחרי. לכן מבהירה הרשות שנאסר להשתמש בספריית קוד פתוח שאינה נתמכת ומתוחזקת כאמור. חובותיו של בעל המאגר בהתייחס לפיתוח תוכנה, הטמעתה או רכישתה, צריכות להתבצע בהתאם למקובל בתעשיה.
4. אמצעי הגנה על מאגר המידע – בהתייחס לחובה החלה על בעל המאגר לא לחבר את מערכות המאגר לרשת האינטרנט או לרשת ציבורית ללא התקנת אמצעי הגנה מתאימים מפני הגנה לא מורשית, מבהירה הרשות, כי אחריות בעל מאגר המידע חלה גם כאשר אמצעי ההגנה (אנטי וירוס או חומת-אש) מכילים קוד פתוח ועל בעל המאגר לעמוד בהוראת התקנות והחוק, שאליהן התייחסתי לעיל.
5. מיקור חוץ – בהתייחס למיקור חוץ, מה שיכול לכלול, שירותי אחסון ענן, שירותי זיהוי פנים, מנוע בינה מלאכותית, ספריית קוד עם רישיון תוכנה או קוד פתוח (ותוכנה חופשית), חובה על בעל המאגר לבדוק ולסקור לפני תחילת ההתקשרות את כל סיכוני האבטחה הכרוכים בהתקשרות, לרבות רמת אבטחת המידע אצל גורם מיקור חוץ. ככל שבעל המאגר אפשר לקבלן להעניק את השירות באמצעות גורם נוסף, עליו לכלול בהסכם עם אותו גורם את כל הנושאים המפורטים בתקנה 15 לתקנות, לרבות לעניין הטעמה של קוד פתוח.

מה נעשה בתור בעלי מאגר מידע כדי לצמצם את הסיכון בשימוש בקוד פתוח?

• כפי שכתבתי, השימוש בקוד פתוח נפוץ מאוד ולכן יהיה עלינו להבין, שלא ניתן להגביל את השימוש בקוד פתוח באופן מוחלט. אולם כבעלי מאגר מידע, עלינו לוודא שהמאגר מנוהל ומתופעל באופן תקין בהתאם למקובל בתעשיה.
• כאשר משתמשים בקוד פתוח, קיימות מסגרות עבודות מוכרות מקובלות בשוק, שמצוינות בגילוי הדעת, לעניין ניהול סיכונים הנובעים משימוש בקוד פתוח הכוללות את: ISO/IEC 5230 (identical to OpenChain specification 2.1) ; ISO/IEC DIS 18974 8 (identical to OpenChain security assurance specification 1.1) ; Microsoft S2C2F9 ועוד, שכדאי לעשות בהן שימוש.
• הרשות ממליצה לאמץ "עיצוב לפרטיות" כבר בשלבי ההתחלה המוקדמים של אפיון המערכת והעיצוב ולהמשיך בכך גם לאחר שפותח הקוד ולהתייחס בו לכללי השימוש בקוד פתוח. חשוב לערב בכך את כל הגורמים הקשורים לאפיון, פיתוח ותחזוקת המערכת ולהסביר להם את המשמעות של הדרישות.
• כאשר אנו עושים שימשו בתוכנה (בין באופן ישיר ובין באופן עקיף) עלינו לנהל אותה ולוודא האם היא מכילה רכיבי קוד פתוח ואלו רכיבים והאם רכיבים אלה אינם מכילים חולשות ידועות הניתנות לניצול.
• עוד מומלץ לבחון לפני הטמעת הקוד הפתוח מהם הסיכונים הכרוכים בשימוש בו ולמנות גורם אחראי לתפקיד אבטחת מידע בהיבטים של שימוש בקוד פתוח והטמעתו בחברה. גם לאחר ההטמעה יש לבדוק האם הקוד הפתוח עודנו נתמך ומתוחזק, שאם לא כן על האחראים בחברה לשקול את החלפתו או לתחזקו עצמאית.
• ניהול מעקב אחר תוכנות הקוד הפתוח והסיכונים מהשימוש בהם באמצעות שימוש בכלים כדוגמת VEX ו – SBOM.
• כאמור, ככל שבעל המאגר אפשר לקבלן להעניק את השירות באמצעות גורם נוסף, עליו לכלול בהסכם עם אותו גורם את כל הנושאים המפורטים בתקנה 15 לתקנות, לרבות לעניין הטעמה של קוד פתוח ולוודא שהאחריות על הטעמת הקוד הפתוח תרד עד לגורם האחרון בשרשרת התכנון והביצוע.

ניסיתי לתמצת את האמור בגילוי הדעת ויש עוד הרבה מה לומר בהתייחס ליישום לכל מקרה ומקרה. מוזמנים לפנות אליי לייעוץ פרטני לחברתכם.