ההיבטים המשפטיים של שירותי הענן – מה כדאי לדעת?

שירותי ענן הפכו לחלק חיוני בפעילות העסקית המודרנית, ולא בכדי. הענן הטכנולוגי מספק גמישות וחיסכון בכל הנוגע לאחסון וגישה לנתונים. עם זאת, ככל שהשימוש בשירותי ענן ממשיך לגדול, כך גם הסוגיות המשפטיות המתעוררות עם השימוש בטכנולוגיה ובמודל שיצרה.

אחד ההיבטים המשפטיים המשמעותיים ביותר בענן מתייחס לשמירה על נתונים. בשנים האחרונות אנו עדים לעלייה באירועי אבטחת שירותי ענן, בחלקם בעלי פרופיל גבוה. בשנת 2019, האקר הצליח לגשת למידע האישי של למעלה מ-100 מיליון לקוחות Capital One, לרבות שמות, כתובות, ציוני אשראי ומספרי תעודת זהות, באמצעות הגדרות חומת אש שגויות ב-AWS  (Amazon Web Services) של החברה. בשנת 2020, פרצה ב-Blackbaud, ספקית תוכנות גיוס כספים ותורמים מבוססות ענן, חשפה מידע רגיש של מיליוני אנשים, כולל שמות, כתובות, תאריכי לידה ומספרי תעודת זהות. בשנת 2020, במהלך מגיפת הקורונה, פופולריות פלטפורמת ועידת הווידאו Zoom זינקה לשחקים. במקביל, החברה התמודדה עם מספר אירועי אבטחה, כגון "Zoombombing", שבו משתתפים שלא הוזמנו שיבשו פגישות עם תוכן פוגעני ועניינים הנוגעים לנוהלי הצפנה ואבטחת נתוני המשתמש. בשנת 2021, האקרים ניצלו פגיעות ב-Microsoft Exchange Server כדי לקבל גישה לשרתי דואר אלקטרוני, לגנוב נתונים רגישים ולהתקין תוכנות זדוניות במערכות היעד.

"הענן הטכנולוגי מספק גמישות וחיסכון בכל הנוגע לאחסון וגישה לנתונים. עם זאת, ככל שהשימוש בשירותי ענן ממשיך לגדול, כך גם הסוגיות המשפטיות המתעוררות עם השימוש בטכנולוגיה ובמודל שיצרה"

לפני שמתחילים למפות את הנקודות המשפטיות שיש לטפל בהן, חשוב מאוד להבין באיזה סוג ענן מדובר ואילו שירותי ענן יסופקו. כך למשל, עננים ציבוריים זמינים לציבור הרחב. עננים פרטיים נתפרו במיוחד לצרכים מסוימים לגורם אחד. עננים היברידיים, המשלבים אלמנטים של עננים ציבוריים ופרטיים. עננים קהילתיים, המאכלסים מידע ושירותים עבור קבוצה של ארגונים בעלי צרכים ודרישות דומות. רב-ענן (Multi-Cloud) – ארכיטקטורה המשלבת מספר שירותי מחשוב ענן, המשלימים זה את זה, ועננים ריבוניים, המופעלים בדרך כלל על ידי ממשלה או ארגון הקשור לממשלה במדינה או באזור מסוים.

בעניין שירותי ענן, גם הפעם יש לא מעט, וכל סוג שירות מחייב התייחסות משפטית ייעודית. שירות IaaS מספקים משאבי מחשוב וירטואליים, שניתן להשתמש בהם כדי לבנות ולהפעיל יישומים ושירותים. שירות PaaS מספקים פלטפורמה לפיתוח, הפעלה וניהול של יישומים ושירותים. שירות SaaS מספקים גישה ליישומים ותוכנה. שירות STaaS מספקים אחסון וניהול נתונים. שירות BaaS מספקים גיבוי ושיקום נתונים ושירות SECaaS מספקים אבטחת מידע.

להקטין את הסיכונים

לאחר מיפוי סוג הענן והשירות, יש לבחון את ההיבטים המשפטיים ולנקוט צעדים מתאימים כדי להקטין את הסיכונים. כך למשל, ספקי שירותי ענן במדינות המתקדמות נדרשים לציית לאסדרת פרטיות והגנה על נתונים, כגון תקנות הגנת המידע הכללית של האיחוד האירופי (GDPR), חוק פרטיות הצרכן של קליפורניה (CCPA) ותקנות אבטחת המידע בישראל.

מאחר שאחסון הנתונים בענן יכול להיות במספר מיקומים, חשוב מאוד לבחור את תחום השיפוט ואילו חוקים יחולו על מתן השירות. בתעשיות מסוימות, כגון בנקאות או בריאות, יש אסדרה ייעודית בנוגע לטיפול ואחסון של מידע רגיש, וספקי שירותי ענן חייבים לוודא כי השירותים שלהם עומדים בתקנות אלו. כך גם לעניין אבטחת מידע – ספקי שירותי ענן חייבים לעמוד בתקני אבטחה, כגון ISO 27001, SOC 2 ו-PCI DSS. השאלה למי יש בעלות על הנתונים ולמי יש גישה לנתונים חייבת להיבחן במיקרוסקופ.

לספקי שירותי ענן עשויה להיות גישה לכמות גדולה של נתוני לקוחות, ולכן קריטי להגדיר בבירור למי שייך המידע ומי רשאי לגשת למידע. הגדרות אלה ואחרות חייבות להופיע בהסכמים מול הספקים ומול המשתמשים. כך למשל, ספק שירותי ענן חייב להחזיק בהסכם רמת שירות (SLA), המתאר את האחריות של ספק שירותי הענן במונחים של זמינות, ביצועים ואבטחה. ואם בהסכמים עסקינן, מאוד מומלץ להגדיר בבירור את האחריות של כל צד, לרבות במקרה של פרצת אבטחה או אירוע אבטחה אחר.

אז אם חפצה נפשכם לספק או לצרוך שירותי ענן, לפני שמתחילים כדאי לחשוב על סוג הענן, סוג השירות וסוג המידע והנתונים. יש להחליט לאיזו תכלית נועד הענן, מי ישתמש בו ובאיזה אופן. יש גם לשקול את הארכיטקטורה של המערכת, סוגי הממשקים ואופן החיבור לענן. כך גם מומלץ להחליט על רמת השירות המוצעת, כמו גם את אמצעי האבטחה לענן. בסופו של יום, ספק שירותי ענן, אשר ישקיע את המחשבה הנדרשת, יאפיין את הצרכים, יממש את הנדרש ויעדכן על בסיס קבוע, יוכל לישון טוב יותר לאורך פרק זמן ארוך יותר מספק שיתעלם.

הכותב הוא מומחה בדיני אינטרנט וסייבר.