תקנות אבטחת מידע הרגו את הbug bounty, ומה צריך לעשות?

Posted on by יהונתן קלינגר

לפני כשבועיים אישרה ועדת החוקה את תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. התקנות באות להסדיר מהי רמת האבטחה הסבירה לצורך ניהול מאגרי מידע המחזיקים מידע אישי לפי חוק הגנת הפרטיות. חשוב לזכור: לא כל מסד נתונים הוא מאגר מידע. ההבדל בין השניים הוא שמאגר מידע הוא קובץ דיגיטלי (לא חתיכת נייר) שמחזיק "נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו". לא כל קובץ עם נתונים אישיים בהכרח יהיה מאגר מידע, ולכן יכול להיות שיש הגיון עסקי רב לאבטח אותו, אך לא חובה בחוק בצורה של התקנות. מה שחשוב לדעת לגבי התקנות, קודם כל, הוא שמדובר בתקנות שאמורות לחול על כל המשק: בין אם הקוסמטיקאית הקטנה שיש לה יומן פגישות ועד לבנק הענק שמחזיק מידע על כל הגופים במשק. אבל, לא לכולם יש דין שווה.

הקוסמטיקאית מוגדרת בתקנות בתור "מאגר המנוהל בידי יחיד"; כלומר, מאגר מידע שיש לו בין מורשה גישה אחד לשלושה, מחזיק מידע על פחות מ10,000 אנשים ואין חובת סודיות אחרת בחוק שחלה על המאגר (נניח, חוק זכויות החולה שמטיל אחריות על רופא לאבטח את המידע). על היחיד מוטלות חובות יחסית מצומצמות ועל הבנק מוטלות חובות משמעותיות יותר. אבל, ישנן כמה חובות שמוטלות על כל בעל מאגר.

[כדאי לקרוא הסבר שלי מ2012 על טיוטאת התקנות, בו יש את רוב החובות שאומצו בתקנות הנוכחיות, עם שינויים]

התקנות מתחילות עם תקנה 2: הכנת מסמך הגדרות המאגר. לכל מאגר מידע יש צורך במסמך אשר יפרט את פירוט איסוף המידע והשימושים, את מטרות השימוש, את סוגי המידע שנכללים במאגר, העברת מידע מהמאגר (כולל לחו"ל), עיבוד מידע בידי אחרים (מחזיקים) והסיכונים העיקריים של פגיעה באבטחת המאגר ואופן ההתמודדות. מסמך כזה דומה במהותו ל"מדיניות פרטיות", שהיא מסמך משפטי המסביר לאדם מה המידע הנשמר עליו, והוא חלק מהמסמכים שמכינים בעת שמנסחים את מדיניות הפרטיות. החובה השניה בתקנה 2 היא לשמור את המסמך הזה מעודכן. כלומר, גם כאשר עושים שינוי במערך המידע וגם כל שנה צריכים לשבת ולבדוק מה קורה. אני מאמין שהסעיף הזה יצור לא מעט פרנסה לעורכי דין בהמשך הדרך על ידי הכנת תבניות למסמכים ועל ידי אספקת שירותי ייעוץ. אבל את המסמך כל אחד יכול להכין בעצמו.

הייחוד והעניין בתקנות הוא בכמה הסדרים בעייתיים. הראשון הוא (חוסר) החובה לדווח על אירוע אבטחה. על פי התקנות שהתקבלו יש חובה ליידע את הרשות למשפט, טכנולוגיה ומידע על אירועי אבטחה, ורק אותה. בעלי המידע אינם זכאים לדעת מה קורה עם המידע שלהם. הרציונאל לכך היה אמירה קצת בעייתית של גורמים במשק, שהסבירו שדיווח על אירוע אבטחה יכולה לפגוע ביציבות המשק:

בעצם, יושב נציג של משרד האוצר ומסביר כי צריך להסתכל על יציבות המשק, ולא על המידע הפרטי שלנו, כאינטרס שראוי להגנה בתוך תקנות. האם בשם המחיר של יציבות בנק מסוים לא ידווחו לאדם שנפרץ חשבון הבנק שלו? האם בשם יציבותה של חברה בורסאית שמחזיקה צילומי עירום של דוגמנית לא יספרו לה שהמידע עליה דלף? לא זה צריך להיות המצב.

הבעיה הנוספת נוגעת לסקר הסיכונים. כל בעל מאגר חייב לערוך סקר סיכונים ומסמך אבטחה של מערכות המאגר ועל המסמך הזה ישנה חובת סודיות. מצד אחד הדבר נשמע טוב: כל המבנה של מאגר המידע יהיה סודי ואף אחד לא ידע איך הוא בנוי. אבל, זה רע. למה זה רע? כי סודיות היא דרך נוראית לשמור על משהו מאובטח. הגישה של security by obscurity כשלה; השיטה הזו טוענת כי אם נגרום למידע להיות סודי הוא יהיה מאובטח יותר. אבל ההפך הוא הנכון: שקיפות היא זו שמובילה לאבטחה, ותהליכים של bug bounty בו משלמים כסף לאנשים על מנת לאתר פרצות אבטחה הם התהליכים הנכונים לצורך אבטחת מאגרים. התקנה הזו, שקובעת כי "המסמך המעודכן של מבנה מאגר המידע ורשימת המצאי יישמרו כך שפרטים מהם יימסרו לבעלי הרשאה רק בהיקף הנדרש לצורך ביצוע תפקידיהם" הורסת את כל מערכות הbug bounty כי כרגע אי אפשר לפרסם את המבנה של מערכות מאגר המידע.

ומדוע? אם מעכשיו גוגל לא יכולה לפרסם קובץ שבו יש את הארכיטקטורה של מערכות המידע שלה ולומר "נסו לפרוץ, ואם תצליחו תקבלו 100$", כי אם היא תעשה זאת היא תחשב כמי שלא אבטחה את המידע, אז היא לא תעשה את זה. זה אומר פחות אבטחה לכולנו, פחות פרנסה להאקרים "לבנים" (כאלה שעובדים בצד הטוב) ופחות בטחון שאין דליפות. האם זה המצב שאנחנו רוצים? לא.

אז איך אפשר לתקן את זה? הדרך הנכונה היא להגדיר את כל מי שמצטרף לתכנית הbug bounty כ"בעל הרשאה בהיקף הנדרש לצורך ביצוע תפקידו". זו הגדרה בעייתית כאשר אנחנו רוצים קבוצה גדולה ורחבה. הדרך השניה היא לא לתת את המבנה של מערכות המידע, אבל כן להחזיק את התוכנית, ולקוות שמישהו אחר יצליח לעבוד גם בלי זה. אבל, אז אין בטחון שכל התקלות יפתרו.

מה שצריך לעשות הוא לחזור לשולחן ולתקן את הסעיפים הספציפיים האלה. התקנות הן טובות, הן נחוצות, אבל יש דברים שהמשק חייב לסדר כדי לשמר את התעשיה שלנו.

One thought on “תקנות אבטחת מידע הרגו את הbug bounty, ומה צריך לעשות?

  1. "הבעיה הנוספת נוגעת לסקר הסיכונים. כל בעל מאגר חייב לערוך סקר סיכונים" להבנתי האמרה אינה מדוייקת – החובה לערוך סקר סיכונים היא על מאגר מידע שחלה עליו רמת אבטחה גבוהה.

Comments are closed.