ענן משפטי

מהפכת מיחשוב הענן מעלה סוגיות משפטיות רבות: למשל, אילו חוקים חלים במקרה שחברה ישראלית מאחסנת את השרתים שלה במדינה אחרת? באילו מקרים אסור להוציא מידע מהמדינה? ומה קשור ה-11 בספטמבר לכל זה?

קנס גדול ל-HP. צילום אילוסטרציה: אימג'בנק

פרשת "המדליף" אדוארד סנואודן, שחשף את ההיקף העצום של המידע שמנטרת ה-NSA האמריקנית בכל רגע נתון מכל כלי דיגיטלי קיים, העלתה שאלות רבות וקשות בנוגע לסוגיה היכן מאוחסן המידע ששומרות כיום חברות, כיצד נשמר מידע זה ומהם רמת הביטחון באבטחת המידע, אופן תעבורת המידע ודרכי אחסונו.

בשנים האחרונות נכנסה מהפכה חדשה לעולם המחשוב – מהפכת מיחשוב הענן. למעשה, מדובר בחוות שרתים שבמקום שתימצא במשרדיה של החברה ותהיה בבעלותה, כך שהמחשבים והשרתים של אותה חברה יתקשרו אלה עם אלה במעגל סגור, היא נמצאת במקום מרוחק. העברת המידע ממחשבי החברה לענן מבוצע על גבי רשת האינטרנט או קו תמסורת ייעודי.

לשירותי הענן גוונים וסוגים שונים, דוגמת שירותים בהם המשתמש מקבל משאבי מיחשוב לשימוש לדוגמה לצרכי גיבוי, וכן פלטפורמה להרצת אפליקציות או לפיתוח אפליקציות של המשתמש. או אז מדובר גם על משאבי חומרה ותוכנה.

העולם הופך לענן אחד גדול וכולם עושים בו שימוש, החל מאנשים פרטיים ומחברות קטנות, בעלות נפח נתונים קטן, ועד לחברות ענק כגון בנקים ומוסדות פיננסיים שונים. עובדה זו מעלה שאלות ותהיות האם שירותי הענן מתאימים, מהבחינה המשפטית, לכל חברה?

לשירותי ענן יתרונות רבים, בעיקר לארגונים גדולים. השימוש בענן מאפשר חסכון בעלויות הקמה של חוות שרתים ורכישת ציוד קצה יקר מאוד; שמירה על רמת טכנולוגית גבוהה ללא צורך בהשקעות חוזרות ונשנות בשדרוגים; קבלת עדכוני גרסאות של תוכנות באופן מיידי וללא עלות נוספת; זמינות המידע; ובעיקר פלקסביליות ביכולת לצרוך שירותים, משמע – התאמת השירותים מעת לעת על ידי הוספה או הפחתה שלהם, בהתאם לצורך.

בצד היתרונות, יש בענן גם לא מעט סיכונים משפטיים שחברה צריכה לתת עליהם את הדעת כשהיא בוחרת לעבור לעבוד בסביבת ענן.

היכן מוחזק המידע שלי?
לשאלה זו חשיבות מכרעת ביחס לדרך שבה המידע של החברה עלול להיות מנוטר על ידי צדדים שלישיים, לרבות ובעיקר על ידי סוכנויות הביטחון של המדינה בה מאוחסן המידע.

אמנם, במקרה שחברה מעדיפה שחוות השרתים שלה יהיו במדינה אחרת, המידע הוא של החברה שנמצאת במדינת המקור. אולם, נוכח היותו מאוחסן בשרתים הנמצאים בארץ זרה, הוא כפוף לדינים של אותה המדינה ומשכך, כפוף לניטור ובחינה על ידי גופי הביטחון השונים, בהתאם לחוקים החלים בה.

בעניין זה אין דרך שלא להזכיר את פרק II, הדן בהגברת אפשרויות המעקב של רשויות הביטחון הלאומי של ארצות הברית, במסגרת ה-Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism, הידוע בכינויו ה-Patriot Act, משנת 2001 (שחוקק לאחר הפיגוע בבנייני התאומים). יש להזכיר גם את ה-Foreign Intelligence Surveillance Act האמריקני, שמאפשר לבצע ניטור מידע ללא צו של בית המשפט.

מכאן שדיני אותה המדינה בה מאוחסן המידע עשויים להיות קשורים בניטור ותפיסה של מידע דיגיטלי, בחובותיו של בעל מאגר המידע למסור מידע לרשויות המדינה ביחס למאגר ועוד. חברות מעוניינות לשמור על זמינות המידע וגיבויו במקרה של אסון או עומס על נגישות המידע בחווה מסוימת, כך שניתן יהיה לאפשר ללקוח זמינות של 24/7. לכן, הן מבצעות העברה של המידע מחוות שרתים אחת לאחרת, כך שלא תמיד קל לקבוע היכן המידע ממוקם.

עו"ד לירון פרמינגר, מומחה בדיני אינטרנט, דיני מחשבים וקניין רוחניאם לא די בכך, חברות רבות עוסקות בפיתוח מוצרים טכנולוגיים רגישים, חלקם אף לפני הגשת בקשה להגנה באמצעות פטנט ו/או כל זכות קניין רוחני אחרת, חסויים במסגרת הסכמי סודיות, בעלי חובת שמירת סודיות המוסדרת בחוק (למשל מידע רפואי) וחלקם עוסקים בתעשיות ביטחוניות.

במצב שכזה, עלול המידע שנחשב מבחינת הלקוח של החברה המפתחת לסודי ביותר, בין אם מסחרי או מדינתי-ביטחוני, להיות מנוטר על ידי צדדים שלישיים במהלך הליך תעבורת המידע ממחשבי הפיתוח לשרת הענן. אין צורך להכביר מילים על הנזקים האדירים שעלולים להיגרם לאותן חברות. בעניין זה מומלץ לקרוא את הנחיית רשם מאגרי מידע על שימוש בשירותי מיקור-חוץ לעיבוד מידע אישי.

במקרים מסוימים, גם בישראל, המחוקק קבע חוקים שקשורים באיסור העברת מידע ביטחוני מחוץ לגבולות המדינה. מכאן עולה השאלה: האם שמירת המידע או גיבויו בשרתי ענן בחוות שרתים במדינה זרה עלולים להיחשב כהוצאת המידע מחוץ לגבולות המדינה? יש לתת את הדעת על כך במסגרת התנאים המופיעים במכרזים של גופים ביטחוניים ובכלל.

לאחר אסון התאומים ב-2001 העולם השתנה. יותר מ-12 שנים לאחר מכן, בעקבות גילויים מתוך מסמכים שהדליף סנואודן, אנחנו מבינים עד כמה הוא השתנה. לא רק שאפשר לגלות, לנטר ולנתח כל מידע דיגיטלי – זה נעשה בפועל, על ידי גורמים שונים.

בעקבות כך, חברות רבות (בעיקר אירופיות) מכלילות בהסכמים שהן כורתות עם חברות שמספקות שירותי מיקור-חוץ סעיפים מפורשים שמונעים שימוש בענן בחוות שרתים שנמצאות בארצות הברית. בכך הן מנסות לצמצם את הסיכונים שבניתור המידע על ידי ה-NSA, ויפה שעה אחת קודם!

משכך, על מנכ"לים ומנמ"רים בחברות לתת את הדעת להשלכות המשפטיות והמסחריות העומדות בפניהם נוכח המעבר לשירותי ענן. מומלץ להיוועץ עם אנשי מקצוע טכנולוגיים אך גם משפטיים שעוסקים בדבר, על מנת לנהל את הסיכונים באופן מחושב.

עו"ד לירון פרמינגר עוסק מזה כ-14 שנים בתחום המשפט והטכנולוגיה, והוא מומחה בדיני אינטרנט, דיני מחשבים וקניין רוחני.

תגובות

(3)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. איתמר מור

    לעו"ד לירון פרמינגר תודה להתייחסותך המפורטת, המקצועית והעניינית. אמנם אני בספק אם מי מהקוראים בכלל יגיע לקרוא את התכתובת בינינו, אך בכל זאת אטרח. יסולח לי על ראייתי ההדיוטית, אך התקנות מטילות חובות לא זניחות על בעל / מנהל מאגר המידע כרישום בכרטיס, בדיקה של החברות (כולל צד שלישי שלהן) ועוד. דווקא בגלל ששירותי הענן מסופקים בארצות בחו"ל (וממש לאו דווקא בארה"ב), מהראוי היה לציין זאת. לדאבוני והערכתי הזהירות - לא מעטים מהנתמכים בשירותי ענן או אלו שתוקפים את אלו שאינם משתמשים בהם, אינם מודעים לדרישות החוק והתקנות, או שמתעלמים מהם. ולגבי רמת אבטחת המידע בחברות בחו"ל בכלל ובחברות שירותי הענן בפרט – צר לי, אך איני בטוח שאני יכול לשמש כאיש בשורות ורודות בנושא. ושוב תודה לתשומת לבך והקדשת הזמן לנושא.

  2. לירון פרמינגר

    איתמר שלום, אכן חשיבות רבה לתקנות הגנת הפרטיות שציינת ותוכנן אכן נלקח בחשבון בכתיבת המאמר. יחד עם זאת הנחת הבסיס במאמר זה היא שרוב שירותי הענן מסופקים על ידי חברות אמריקאיות וחוות השרתים הם בארה"ב כך שממילא מדובר לכאורה בחברות שעומדות בדרישות החוק אולם גם אתה בטח יודע שאין בכך כדי להפחית באופן משמעותי את הסיכונים הכרוכים באחסון מידע רגיש בענן. בכל מקרה תודה על התייחסותך.

  3. איתמר מור

    נראה שמעו"ד לירון פרמינגר נשמטו תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה) התשס"א - 2001, על מלוא חשיבותן ומשמעותן בהקשר זה.

אירועים קרובים