.jpg)
%20(1).png)
השימוש בשירותי הענן עשוי לשפר את רמת הציות של בעלי מאגרי המידע לחקיקה ולרגולציה בתחום אבטחת המידע והפרטיות, בייחוד כאשר מדובר בספקי שירותי ענן גדולים ומבוססים, שמקצים משאבים רבים לנושא. בנוסף, שירותי הענן מאפשרים חיסכון בהוצאות הכרוכות ברכישת ציוד מחשוב ואחזקתו ומעניקים למשתמשים גמישות תפעולית בשימוש במשאבי המחשוב. בהתאם לזה, בשנים האחרונות אנו עדים למגמת עליה בשימוש בשירותי ענן, הן במגזר הפרטי והן במגזר הציבורי.
המונח "שירותי ענן" נוגע לאספקה של שירותים באמצעות רשת האינטרנט, לרוב ללא צורך בהתקנה של תוכנה ייעודית על מחשב המשתמש. הפעולות בענן מתבצעות על גבי השרתים של ספק שירותי הענן, ולא על גבי השרת של מחשב המשתמש.
ישנם שלושה מודלים מרכזיים של מחשוב ענן:
- תשתית כשירות – אספקת משאבי תשתית דוגמת שרתים ושירותי אחסון. השירותים המובילים המספקים שירותי ענן מסוג זה הם Amazon Web Service (AWS) של אמזון ו-Google Cloud Platform (GCP) של גוגל, אליהם נשוב בהמשך.
- פלטפורמה כשירות – אספקת משאבי מחשוב למטרת הרצה של אפליקציות.
- תוכנה כשירות – אספקת שירותי תוכנה על גבי משאבי המחשוב של הספק.
לצד יתרונותיו, השימוש הגובר בשירותי הענן מוביל לתלות כמעט מוחלטת של השוק בספקי השירות ובאינטרנט. התלות הזו גוררת בתורה חוסר וודאות באשר לסודיותו, שלמותו וזמינותו של המידע המועבר. לכך עשויות להיות השלכות משפטיות מהותיות, בייחוד בהיבט של הגנת הפרטיות.
לא קיימת כיום בדין הישראלי רגולציה ייעודית שמסדירה את ההתקשרות בין ספק שירותי ענן ובין לקוחותיו בכל מגזרי המשק. הצדדים להתקשרות כאמור כפופים לרגולציה הכללית על הגנת הפרטיות והעברת מידע, ובראשה תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע") – שקובעות את הכללים המנחים לשימוש בשירותים של ספקים חיצוניים לעיבוד מידע, ותקנות הגנת הפרטיות (העברת מידע אל מאגר מידע שמחוץ לגבולות המדינה), תשס"א–2001 ("תקנות העברת מידע") – המסדירות את העברת המידע מישראל לחו"ל. להסדרה הכללית, שאינה מכירה במונח "שירותי ענן" אלא חלה על שירותי מחשוב בכללותם, מתווספת רגולציה ענפית – לדוגמה, נוהל בנקאי תקין 362 ("מחשוב ענן") של הפיקוח על הבנקים או חוזר המנהל הכללי של משרד הבריאות 2/2021 ("שימוש במחשוב ענן במערכת הבריאות") .
מיקור חוץ
השימוש בשירותי ענן לאחסון מאגר מידע מהווה מיקור חוץ, וככזה הוא כפוף להוראות תקנה 15 לתקנות אבטחת מידע. התקנה קובעת כי ספק הענן, שנחשב למחזיק במאגר המידע, חב בכל חובות אבטחת המידע המוטלות על בעל המאגר (בשינויים המחייבים); אך כמובן שאינה פוטרות את בעל המאגר מחובותיו שלו.
לפי תקנה זו, בעל מאגר המעוניין לצרוך שירותי ענן מספק חיצוני, נדרש לבחון, טרם ביצוע ההתקשרות עם הספק, את סיכוני אבטחת המידע הכרוכים באותה התקשרות. התקנות לא קובעות את הפרמטרים לפיהם יש לבחון את הסיכונים, ואף לא מפרטות אילו סיכונים נחשבים לבלתי סבירים באופן שימנע את ההתקשרות.
בנוסף, התקנה מתווה את רשימת הנושאים שנדרשים להיכלל בהסכם ההתקשרות עם הספק, וביניהם:
- סוגי המידע שספק הענן רשאי לעבד ומטרות השימוש המותרות בו;
- סוג העיבוד שספק הענן רשאי לבצע;
- משך ההתקשרות ואופן השבת המידע או השמדתו בסיום ההתקשרות;
- אופן יישום החובות שספק הענן, כמחזיק, חייב בהן לפי תקנות אבטחת מידע, וחובת ספק הענן לדווח על ביצוע החובות לבעל המאגר (לפחות אחת לשנה).
החובה לנסח את הסכם ההתקשרות עם ספקי הענן בהתאם לתקנה 15, עלולה להציב מכשול מהותי בפני בעלי מאגרי מידע המבקשים להתקשר עם ספקי ענק דוגמת גוגל ואמזון. ספקים אלה פועלים עם מסמכי התקשרות שנוסחו על ידי הצוותים המשפטיים שלהם, ולרוב לא מסכימים לסטות מהם. אמנם יש נספחים בהסכמים הללו התואמים את הוראות ה-GDPR האירופאי, אבל אין זהות בין הוראות אלה לבין התקנות הישראליות.
ייתכן שהפתרון לבעיה זו טמון בפרויקט "נימבוס" הממשלתי, שהוקם בשנת 2019 במטרה להקים תשתית ענן בשירות המגזר הציבורי בישראל, שתסופק על ידי אמזון וגוגל. בין מטרותיו המוצהרות של הפרויקט, נמנית הכפפת השירותים והמידע לחוקי מדינת ישראל. נותר להמתין ולראות האם משמעות הדבר היא כי בעתיד, אמזון וגוגל יוכלו להציע גם ללקוחות פרטיים מתווים חוזיים שעומדים בהוראות תקנה 15.
העברת מידע
העברת המידע לשרתים של ספק שירותי ענן הממוקמים במדינה אחרת כפופה לתקנות העברת מידע. העברת המידע מחוץ לישראל אינה מותרת מאליה, אלא רק כאשר דין המדינה שאליה מועבר המידע מבטיח רמת הגנה שווה או גבוהה לזו שבדין הישראלי, או בהתקיים אחת משמונה הנסיבות הקבועות בתקנות (ביניהן, הסכמת האדם שעליו המידע, או התחייבות מקבל המידע בהסכם לקיים את תנאי החוק הישראלי).
לפי תקנות העברת מידע, כאשר בעל מאגר מידע מעביר מידע למדינה אחרת, עליו להשיג התחייבות בכתב של מקבל המידע, לפיה הוא נוקט אמצעים מספיקים להגנה על הפרטיות, ולא יעביר את המידע לכל אדם, בין באותה מדינה ובין במדינה אחרת. פרשנות דווקנית של הוראה זו מובילה, הלכה למעשה, למצב בו חל איסור גורף ומוחלט על הסתייעות של גורם זר שקיבל מידע מישראל, בצדדים שלישיים במסגרת מיקור חוץ למטרות עיבוד המידע – פעולה שהיא כמובן מקובלת ונפוצה בכל העולם. ואולם, בחודש ינואר האחרון פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת, בה קבעה שפרשנות כאמור אינה תואמת את המצב הטכנולוגי והמסחרי הנוכחי, והיא מהווה גזירה שהציבור אינו יכול לעמוד בה. לכן, הרשות קבעה שהעברת מידע ממקבל המידע הזר אל צד שלישי תהיה חוקית כל עוד בעל המאגר הישראלי הסכים לכך בכתב, ובכפוף לתנאים להעברה שפורטו לעיל. קביעה זו של הרשות (אם כי נמצאת כעת במעמד של טיוטה בלבד) מקלה משמעותית על מיקור החוץ לגורמים זרים, וביניהם גם לשירותי הענן.
סיכום
השימוש בשירותי ענן מאפשר ניהול גמיש ומוזל של מידע, אך גם כרוך באתגרים משפטיים. היכרות הארגונים והחברות עם הרגולציה בתחום היא הכרחית על מנת לאפשר ניצול יעיל, כחוק, של היתרונות הגלומים בשירותי הענן.
מאת עו"ד חיים רביה ושקד פלדמן
המחבר הוא שותף במשרד פרל כהן צדק לצר ברץ ועומד בראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד. המחברת היא מתמחה בקבוצתו.
השימוש בשירותי הענן עשוי לשפר את רמת הציות של בעלי מאגרי המידע לחקיקה ולרגולציה בתחום אבטחת המידע והפרטיות, בייחוד כאשר מדובר בספקי שירותי ענן גדולים ומבוססים, שמקצים משאבים רבים לנושא. בנוסף, שירותי הענן מאפשרים חיסכון בהוצאות הכרוכות ברכישת ציוד מחשוב ואחזקתו ומעניקים למשתמשים גמישות תפעולית בשימוש במשאבי המחשוב. בהתאם לזה, בשנים האחרונות אנו עדים למגמת עליה בשימוש בשירותי ענן, הן במגזר הפרטי והן במגזר הציבורי.
המונח "שירותי ענן" נוגע לאספקה של שירותים באמצעות רשת האינטרנט, לרוב ללא צורך בהתקנה של תוכנה ייעודית על מחשב המשתמש. הפעולות בענן מתבצעות על גבי השרתים של ספק שירותי הענן, ולא על גבי השרת של מחשב המשתמש.
ישנם שלושה מודלים מרכזיים של מחשוב ענן:
- תשתית כשירות – אספקת משאבי תשתית דוגמת שרתים ושירותי אחסון. השירותים המובילים המספקים שירותי ענן מסוג זה הם Amazon Web Service (AWS) של אמזון ו-Google Cloud Platform (GCP) של גוגל, אליהם נשוב בהמשך.
- פלטפורמה כשירות – אספקת משאבי מחשוב למטרת הרצה של אפליקציות.
- תוכנה כשירות – אספקת שירותי תוכנה על גבי משאבי המחשוב של הספק.
לצד יתרונותיו, השימוש הגובר בשירותי הענן מוביל לתלות כמעט מוחלטת של השוק בספקי השירות ובאינטרנט. התלות הזו גוררת בתורה חוסר וודאות באשר לסודיותו, שלמותו וזמינותו של המידע המועבר. לכך עשויות להיות השלכות משפטיות מהותיות, בייחוד בהיבט של הגנת הפרטיות.
לא קיימת כיום בדין הישראלי רגולציה ייעודית שמסדירה את ההתקשרות בין ספק שירותי ענן ובין לקוחותיו בכל מגזרי המשק. הצדדים להתקשרות כאמור כפופים לרגולציה הכללית על הגנת הפרטיות והעברת מידע, ובראשה תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע") – שקובעות את הכללים המנחים לשימוש בשירותים של ספקים חיצוניים לעיבוד מידע, ותקנות הגנת הפרטיות (העברת מידע אל מאגר מידע שמחוץ לגבולות המדינה), תשס"א–2001 ("תקנות העברת מידע") – המסדירות את העברת המידע מישראל לחו"ל. להסדרה הכללית, שאינה מכירה במונח "שירותי ענן" אלא חלה על שירותי מחשוב בכללותם, מתווספת רגולציה ענפית – לדוגמה, נוהל בנקאי תקין 362 ("מחשוב ענן") של הפיקוח על הבנקים או חוזר המנהל הכללי של משרד הבריאות 2/2021 ("שימוש במחשוב ענן במערכת הבריאות") .
מיקור חוץ
השימוש בשירותי ענן לאחסון מאגר מידע מהווה מיקור חוץ, וככזה הוא כפוף להוראות תקנה 15 לתקנות אבטחת מידע. התקנה קובעת כי ספק הענן, שנחשב למחזיק במאגר המידע, חב בכל חובות אבטחת המידע המוטלות על בעל המאגר (בשינויים המחייבים); אך כמובן שאינה פוטרות את בעל המאגר מחובותיו שלו.
לפי תקנה זו, בעל מאגר המעוניין לצרוך שירותי ענן מספק חיצוני, נדרש לבחון, טרם ביצוע ההתקשרות עם הספק, את סיכוני אבטחת המידע הכרוכים באותה התקשרות. התקנות לא קובעות את הפרמטרים לפיהם יש לבחון את הסיכונים, ואף לא מפרטות אילו סיכונים נחשבים לבלתי סבירים באופן שימנע את ההתקשרות.
בנוסף, התקנה מתווה את רשימת הנושאים שנדרשים להיכלל בהסכם ההתקשרות עם הספק, וביניהם:
- סוגי המידע שספק הענן רשאי לעבד ומטרות השימוש המותרות בו;
- סוג העיבוד שספק הענן רשאי לבצע;
- משך ההתקשרות ואופן השבת המידע או השמדתו בסיום ההתקשרות;
- אופן יישום החובות שספק הענן, כמחזיק, חייב בהן לפי תקנות אבטחת מידע, וחובת ספק הענן לדווח על ביצוע החובות לבעל המאגר (לפחות אחת לשנה).
החובה לנסח את הסכם ההתקשרות עם ספקי הענן בהתאם לתקנה 15, עלולה להציב מכשול מהותי בפני בעלי מאגרי מידע המבקשים להתקשר עם ספקי ענק דוגמת גוגל ואמזון. ספקים אלה פועלים עם מסמכי התקשרות שנוסחו על ידי הצוותים המשפטיים שלהם, ולרוב לא מסכימים לסטות מהם. אמנם יש נספחים בהסכמים הללו התואמים את הוראות ה-GDPR האירופאי, אבל אין זהות בין הוראות אלה לבין התקנות הישראליות.
ייתכן שהפתרון לבעיה זו טמון בפרויקט "נימבוס" הממשלתי, שהוקם בשנת 2019 במטרה להקים תשתית ענן בשירות המגזר הציבורי בישראל, שתסופק על ידי אמזון וגוגל. בין מטרותיו המוצהרות של הפרויקט, נמנית הכפפת השירותים והמידע לחוקי מדינת ישראל. נותר להמתין ולראות האם משמעות הדבר היא כי בעתיד, אמזון וגוגל יוכלו להציע גם ללקוחות פרטיים מתווים חוזיים שעומדים בהוראות תקנה 15.
העברת מידע
העברת המידע לשרתים של ספק שירותי ענן הממוקמים במדינה אחרת כפופה לתקנות העברת מידע. העברת המידע מחוץ לישראל אינה מותרת מאליה, אלא רק כאשר דין המדינה שאליה מועבר המידע מבטיח רמת הגנה שווה או גבוהה לזו שבדין הישראלי, או בהתקיים אחת משמונה הנסיבות הקבועות בתקנות (ביניהן, הסכמת האדם שעליו המידע, או התחייבות מקבל המידע בהסכם לקיים את תנאי החוק הישראלי).
לפי תקנות העברת מידע, כאשר בעל מאגר מידע מעביר מידע למדינה אחרת, עליו להשיג התחייבות בכתב של מקבל המידע, לפיה הוא נוקט אמצעים מספיקים להגנה על הפרטיות, ולא יעביר את המידע לכל אדם, בין באותה מדינה ובין במדינה אחרת. פרשנות דווקנית של הוראה זו מובילה, הלכה למעשה, למצב בו חל איסור גורף ומוחלט על הסתייעות של גורם זר שקיבל מידע מישראל, בצדדים שלישיים במסגרת מיקור חוץ למטרות עיבוד המידע – פעולה שהיא כמובן מקובלת ונפוצה בכל העולם. ואולם, בחודש ינואר האחרון פרסמה הרשות להגנת הפרטיות טיוטת גילוי דעת, בה קבעה שפרשנות כאמור אינה תואמת את המצב הטכנולוגי והמסחרי הנוכחי, והיא מהווה גזירה שהציבור אינו יכול לעמוד בה. לכן, הרשות קבעה שהעברת מידע ממקבל המידע הזר אל צד שלישי תהיה חוקית כל עוד בעל המאגר הישראלי הסכים לכך בכתב, ובכפוף לתנאים להעברה שפורטו לעיל. קביעה זו של הרשות (אם כי נמצאת כעת במעמד של טיוטה בלבד) מקלה משמעותית על מיקור החוץ לגורמים זרים, וביניהם גם לשירותי הענן.
סיכום
השימוש בשירותי ענן מאפשר ניהול גמיש ומוזל של מידע, אך גם כרוך באתגרים משפטיים. היכרות הארגונים והחברות עם הרגולציה בתחום היא הכרחית על מנת לאפשר ניצול יעיל, כחוק, של היתרונות הגלומים בשירותי הענן.
מאת עו"ד חיים רביה ושקד פלדמן
המחבר הוא שותף במשרד פרל כהן צדק לצר ברץ ועומד בראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד. המחברת היא מתמחה בקבוצתו.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר