אילוסטרציה: pexels luis gomes
הרשות להגנת הפרטיות מפרסמת מסמך עקרונות לניהול סיכוני אבטחת מידע בשימוש בקוד פתוח במערכות מאגרי מידע. במסמך ניתן למצוא המלצות והנחיות כיצד יש להשתמש בקוד פתוח ולהטמיעו במערכת בדרך הטובה ביותר לשמירה על הפרטיות ובהלימה עם הוראות חוק הגנת הפרטיות ותקנותיו.
קוד פתוח הוא מודל לפיתוח תוכנה בשיתוף פעולה המוני. בקוד פתוח, קוד המקור ומסמכי התיעוד שלו זמינים לציבור הרחב לשימוש, עריכת שינויים והפצה על פי תנאי הרישיון. מאגרי מידע רבים ואפילו מערכות אבטחה מבוססים במידה מסוימת על שימוש בקוד פתוח. הבעיה מתחילה כשלא מיישמים הנחיות בסיסיות לפיתוח וניהול קוד מאובטח. אז נוצר איום ממשי לפגיעה בפרטיות.
בעלי מאגר מידע יכולים לפתח קוד בעצמם, להטמיע קוד פתוח, או לרכוש מוצר תוכנה שמוטמע בו קוד פתוח, תחת כל רישיון שימוש. אך כאשר הקוד אינו מנוהל ומתוחזק כראוי, הוא עשוי להכיל חולשות אבטחה שעלולות להיות מנוצלות על ידי גורמים זדוניים ולגרום לחשיפת מידע אישי רגיש.
סיכוני אבטחת מידע בעת השימוש בקוד פתוח כוללים בין היתר אי ידיעה או חוסר הכרות עם הרכיבים; חוסר תחזוקה ותמיכה נאותים; חולשה מובנית במוצר שידועה לציבור ועשויה לאפשר גישה לא מבוקרת לבסיסי נתונים; חולשת יום אפס שאינה ידועה ומכונה "דלת אחורית" שמאפשרת למפתח זדוני להפעיל מרחוק ביום מן הימים קוד שנשתל בספריה מלכתחילה, ועוד.
עיבוד מידע אישי במאגר מידע כפוף לעמידה בהוראות חוק הגנת הפרטיות ותקנותיו, גם כאשר מערכות המאגר מבוססות במידה רבה או חלקית על שימוש בקוד פתוח. חוק הגנת הפרטיות ותקנות אבטחת מידע מטילים על בעל מאגר המידע אחריות לאבטחת המידע שבמאגר המידע, ובתוך כך גם בעת שימוש בקוד פתוח.
זו הסיבה שהרשות להגנת הפרטיות מפרסמת עקרונות לניהול סיכוני אבטחת מידע אליהם יש להתייחס כשעושים שימוש בקוד פתוח במערכות של מאגרי מידע.
תגובות