"כשהשימוש בשירותי ענן גדל – כך גם הבעיות המשפטיות"

"שירותי הענן הפכו לחלק חיוני בפעילות העסקית המודרנית. הם מאפשרים לעסקים דרך גמישה וחסכונית לאחסון ולגישה לנתונים. עם זאת, ככל שהשימוש בשירותי ענן ממשיך לגדול, כך גם גדלות הבעיות המשפטיות המתעוררות עם השימוש בשירות זה", כך אמר עו"ד אביב אילון, מומחה לדיני אינטרנט וסייבר.

עו"ד אילון דיבר בכנס Cloud Security. הכנס בנושא האבטחה בענן, בהפקת אנשים ומחשבים, נערך אתמול (ב') באולם אירועים לאגו בראשון לציון. את הכנס, בהשתתפות מאות מקצועני הגנת סייבר, הנחה יהודה קונפורטס, העורך הראשי של אנשים ומחשבים.

לדברי עו"ד אילון, "סביב שירותי הענן יש כמה היבטים משפטיים מרכזיים, לרבות פרטיות וסודיות נתונים, סמכות שיפוט, עמידה בתקינה, בעלות וגישה לנתונים, תקני אבטחה, הסכמי רמת שירות (SLA) והוראות חוזיות".

"אחת הבעיות המשפטיות העיקריות בשירותי ענן", ציין, "היא בהיבטי הפרטיות וסודיות הנתונים. חוקי הגנת מידע, כגון תקנות אבטחת המידע בישראל, תקנות הגנת המידע הכללית של האיחוד האירופי (GDPR)  וחוק פרטיות הצרכן של קליפורניה (CCPA) – מחייבים את ספקיות הענן להבטיח כי נתוני לקוחות מטופלים בצורה מאובטחת וסודית. הן חייבות לוודא כי נתוני הלקוח אינם נגישים על ידי צדדים שלישיים בלתי מורשים וכי הנתונים יימחקו או מושמדים בהתאם להוראות הלקוח".

של מי סמכות השיפוט? 

"סוגיה משפטית נוספת המתעוררת עם שירותי ענן", אמר עו"ד אילון, "היא סמכות השיפוט. ספקיות הענן עשויות לאחסן נתונים בכמה מיקומים והחוקים והתקנות החלים עשויים להשתנות בהתאם למיקום הנתונים. הימצאות המידע בתחומי שיפוט שונים עלולה להוביל לבלבול ולחוסר ודאות לגבי על פי אילו חוקים יש לפעול ואיזו סמכות שיפוט חלה על הנתונים. בנוסף, במקרה של פרצת אבטחה, לא ברור אילו חוקים ותקנות חלים, מה שמקשה על קביעת ההשלכות המשפטיות".

"לתעשיות מסוימות", אמר עו"ד אילון, "כגון שירותי בריאות ופיננסים, יש תקנות ספציפיות בנוגע לטיפול ואחסון של מידע רגיש. כך, למשל, בישראל חוקקו את תקנות אבטחת המידע ובארה"ב את חוק הניידות והאחריות של ביטוח בריאות (HIPAA). אלה האחרונים קובעים סטנדרטים מחמירים להגנה על מידע בריאותי של מטופל. דוגמה נוספת היא תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS), הקובע סטנדרטים להגנה על פרטי כרטיסי אשראי. אין כלל שאלה האם על ספקיות הענן להבטיח כי שירותיהן עומדים בתקינה הנדרשת, כדי לצמצם את ההשלכות משפטיות".

יש להם גם היבטים משפטיים מורכבים. שירותי הענן. צילום: אילוסטרציה. BigStock

חששות לגבי אבטחת הנתונים

לדבריו, "לספקיות הענן עשויה להיות גישה לכמות גדולה של נתוני לקוחותיהם, וחשוב להגדיר בבירור את הזכויות והחובות של כל צד, בכל הקשור לבעלות וגישה לנתונים. במקרים מסוימים, הן עשויות לשמור בעלות על נתוני לקוחות, מה שעלול להוביל למחלוקות לגבי מי בעל זכות הגישה או השימוש בנתונים. בנוסף, לספקיות הענן עשויה להיות היכולת לגשת לנתוני לקוחות למטרות תחזוקה ותמיכה, מה שעלול לעורר חששות לגבי אבטחת הנתונים".

לדברי עו"ד אילון, "ספקיות הענן חייבות לעמוד בתקני אבטחה שונים, כדי להבטיח הגנה על נתוני לקוחות. תקנים אלה מספקים מסגרת לאבטחה והגנה על נתוני לקוחות, והן חייבות להיות מסוגלות להוכיח עמידה בתקנים אלה כדי למנוע השלכות משפטיות. בנוסף, הן חייבות להיות מוכנות לתוכנית אבטחה, כדי להגיב לאירועי אבטחה, כגון פרצות מידע, ועליהן להיות מוכנות לספק הודעה בזמן ללקוחות המושפעים".

"הסכמי רמת שירות, SLA", ציין, "הם הסכמים חשובים בין ספקיות הענן ולקוחות, המתארים את האחריות של כל צד מבחינת זמינות, ביצועים ואבטחה. הסכמי רמת שירות טובים יגדירו בבירור את אחריות ספק שירותי הענן, במונחים של הבטחת האבטחה והפרטיות של נתוני הלקוחות, כמו גם את האחריות של הלקוח, במונחים של הגנה על הנתונים שלו. במקרה של פרצת אבטחה, או אירוע אבטחה אחר, הסכם רמת השירות אמור להגדיר בבירור את תחומי האחריות של כל צד ולספק מסגרת לפתרון".

הוא סיים בציינו כי "חוזים בין ספקי שירותי ענן ללקוחות חייבים להגדיר בבירור את האחריות של כל צד, לרבות במקרה של פרצת אבטחה, או אירוע אבטחה אחר".