הרשות להגנת הפרטיות פרסמה השבוע מסמך עקרונות בקשר להיבטי אבטחת מידע בשימוש בקוד פתוח בארגון.
הרשות מתייחסת לקוד פתוח דווקא כי יש לו "היבטי אבטחת ייחודיים". בין השאר, מזכירה הרשות שתקנה 13(א) לתקנות אבטחת מידע אוסרת על שימוש במערכות שהיצרן לא תומך בהיבטי אבטחה שלהן אלא אם כן ניתן מענה אבטחתי מתאים", "ופעמים רבות אין 'יצרן'" אשר עומד מאחורי הקוד.
בהתאם מסבירה הרשות כי אין להשתמש בספריית קוד פתוח שאינה נתמכת ומתוחזקת על-ידי הקהילה. בצירוף מקרים מעניין, מסמך העקרונות פורסם ימים מועטים לאחר שהתגלה במקרה שאחד המעורבים בתחזוקת לינוקס, מערכת הפעלה פופולרית בקוד פתוח, פעל במשך שנים כדי להכניס לרכיב בשם xz Utils קוד "דלת אחורית" שהייתה מאפשרת להשתלט על כמות עצומה של מערכות בעולם.
הרשות לא מתייחסת למקרה זה (אף שהיא מתייחסת לחולשת אבטחה מפורסמת אחרת, log4j, שאיש לא גילה במשך שנים), אך מסבירה כי ארגון שמשתמש באמצעי הגנה מפני חדירה לא מורשית המכיל קוד פתוח, ומתברר שיש באמצעי ההגנה פרצה המאפשרת פעולה זדונית, עלול להפר את תקנה 14(א), שדורשת התקנת אמצעי הגנה כאשר מערכות מאגר מידע מחוברות לאינטרנט. הרשות לא מסבירה, מה דינן של מערכות קוד סגור שיש בהן חולשות, אבל יש לקוות שהרשות מתכוונת למצב בו באמצעי ההגנה הייתה חולשה ידועה מראש שאפשר היה לתקן (למשל, ע"י עדכון תוכנה), אך בעל המאגר לא פעל כמצופה.
כרגיל, הרשות מנצלת את ההזדמנות לחזור על כמה דגשים, ובהם:
במסגרת הפעולות הפרקטיות, הרשות מציינת את כל אלה:
הרשות ממליצה להסתייע במסגרות עבודה לניהול סיכונים בקוד פתוח, כגון ISO5230, ISO DIS 18974 8 ו Microsoft S2C2F9.
בשורה התחתונה, נראה שהרשות החלה להתעניין גם בהיבטי אבטחת מידע שקשורים בשימוש בקוד פתוח במערכות שמעבדות מידע אישי. זהו בהחלט סיכון נוסף שעולה מן השימוש בקוד פתוח (בנוסף להיבטי רישיונות השימוש והקניין הרוחני הרלוונטיים תמיד בתחום זה) ואנו ממליצים ללקוחותינו לבחון ולהסדיר את השימוש במערכות אלו בארגון.
אנו עומדים לרשותכם בכל שאלה,
אייל שגיא, שיר שושני כץ וליאור תלמוד
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.