סוף עידן ה-Safe Harbor: מה ההשלכות על חברות ישראליות? [אורח]

הדרישה לאחסן מידע בשרתים הממוקמים בתוך גבולות המדינה היא מעט אנכרוניסטית - איך תתמודדו איתה?

ים המלח: רישיון דיג יש לכם? the dead sea, credit: cc-by tsaiproject

ים המלח: רישיון דיג יש לכם? the dead sea, credit: cc-by tsaiproject

מאת אהרן ברנד, סמנכ״ל טכנולוגיות, CTERA.

אם תכננתם לדוג בים המלח, צפוייה לכם הפתעה. הידעתם שעד לאחרונה היתה נהוגה בארץ אגרה עבור רשיון דיג בים המלח? בים-המוות מעולם לא היו דגים, אבל למדינה, מסתבר, זה לא ממש הפריע.
כידוע חוכמת נבחרינו אינה יודעת גבולות ואכן לאחר שסיימו לחוקק חקיקה מבריקה כל כך בתחום הדיג, החליטו לסבך עוד קצת את חיינו ולהשליט את ריבונות המדינה לא רק על על תנועת אנשים ומוצרים אל מחוץ לגבולות המדינה, אלא גם על קבצים של מידע דיגיטלי. בעידן האינטרנט והענן, חוקים הקובעים היכן מידע מסויים יאוחסן מבחינה פיזית, נשמעים מעט מוזרים ואנכרוניסטיים, לא?

כמו במקרה הדיג בים המלח, נראה שחוקים אלו דורשים רענון. יחד עם זאת רצוי להסביר כי ישנן כמה סיבות לגיטימיות שבגללן מדינות רבות וישראל ביניהן מתעקשות על שליטה במיקום הפיזי שבו מאוחסן המידע (מה שמכונה ריבונות מידע, או data sovereignty). תקנות הגנת הפרטיות בישראל קובעות כי אין להעביר מאגר מידע אל מחוץ לגבולות ישראל, אלא אם כן דין המדינה שאליה מועבר המידע, מבטיח רמת הגנה על מידע שאינה פחותה מרמת ההגנה על מידע הקבועה בדין הישראלי. מטרת התקנה היא להבטיח כי מידע אישי אודות תושבי המדינה יאובטח בצורה נאותה על מנת להבטיח את זכותו של האדם לפרטיות.
פרטיות היא אכן מטרה נעלה, אך דרישה זו מעוררת שאלות לגבי מעבר ארגונים לשירותי ענן. שירותי אחסון בענן מאחסנים מידע בחוות שרתים שונות שמיקומן המדויק ברחבי תבל אינו ידוע, ומערכת החוקים החלה על אותם שרתים, אינה תואמת את זו שבישראל. כיצד אם כך נוכל להשתמש בשירותי ענן ועם זאת לעמוד בדרישות החוק?

סוף עידן העגינה הבטוחה

בשנה שעברה, הדברים הסתבכו עוד יותר, כאשר בית המשפט האירופי פסל את הסכם "המעגן הבטוח" Safe Harbor. הסכם חשוב זה בין האיחוד האירופי לחברות אמריקאיות, איפשר לחברות להעביר מידע אישי של תושבים אירופאים לשרתי עיבוד ואחסון בארצות-הברית. פסילת ההסכם נבעה מהדלפות של אדוארד סנואדן, מהם התברר שענקיות שירותי אינטרנט מאפשרות לסוכנויות הביון האמריקאיות גישה סודית ונרחבת לאיסוף וניטור מידע משרתיהם.

הפסיקה היוותה רעידת אדמה של ממש בתחום ריבונות המידע, וצפויה להיות לה השפעה מכרעת על חברות הצורכות שירותי ענן. הרשות למשפט טכנולוגיה ומידע (רמו"ט) במשרד המשפטים פירסמה את עמדתה בנושא, לפיה בעקבות הפסיקה לא ניתן עוד להעביר מידע מחברות בישראל לחברות בארצות-הברית שהוסמכו ל-Safe Harbor בהסתמך על ההסכם, לפחות עד שיכנס לתוקפו הסכם חדש הנמצא במשא ומתן ושמו Privacy Shield.

חשוב להבין כי חברה ישראלית המבקשת לאחסן מידע אצל ספק מחו"ל תהיה למעשה כפופה לשתי מערכות חוקים: חוקי הגנת המידע הישראלים והחקיקה לה כפוף ספק שירותי הענן. לפיכך המצב כיום הוא שחברות ישראליות המעוניינות לאחסן את המידע שלהן בשירותי ענן בחו"ל, בייחוד באמצעות חברות אמריקאיות, עלולות להיחשף לתסבוכת משפטית לא נעימה.

אז מה זה אומר לגבינו?

לשירותי ענן מנוהלים ישנם יתרונות רבים – תשלום גמיש לפי שימוש בפועל, ביטול הצורך לרכוש כוח מחשוב ושטחי אחסון לא מנוצלים, יתירות ואמינות גבוהה. עם זאת ההגבלות הטריטוריאליות על התנועה החופשית של מידע מחוץ לגבולות המדינה, יחד עם החשש מחשיפה של המידע לרשויות זרות, מהוות מחסום משמעותי בפני האימוץ של שירותי ענן. על מנת להתמודד עם אתגרים אלו, ניתן להציע מספר אסטרטגיות מרכזיות.

בניית ענן פרטי: אסטרטגיה זו מתאימה לארגונים המנהלים מידע רגיש ביותר, כמו בנקים וארגונים בטחוניים, המעוניינים לשמר את אחסון המידע בתוך הארגון. כיום ניתן לרכוש מיצרנים רבים מערכות המהוות "ענן בקופסה" אשר ניתן להתקין בחוות שרתים פרטית, ומספקים את הגמישות והזמינות הגבוהה של שירותי הענן, תוך חוסר תלות בספקי שירות חיצוניים. החיסרון של אסטרטגית הענן הפרטי הוא המחיר הגבוה של בנייה, אחזקה ושדרוג תקופתי של תשתית פרטית , והצורך לשלם עבור מראש עבור קניית המערכת כהשקעה הונית (CAPEX).

שימוש בענן מקומי ישראלי: ישנן מספר חברות המספקות מטריה מלאה של שירותי ענן מקומיים על טהרת הכחול לבן, כגון בזק בינלאומי וטריפל סי. אסטרטגיה זו מתאימה לארגונים המעוניינים או נדרשים לשמור את המידע שלהם בתוך גבולות המדינה, ורוצים להנות מהיתרונות של שירותי ענן מנוהלים.

ענן היברידי המשלב שירותי ענן ציבורי עם הצפנה מקומית: מודל זה משלב בין יתרונות הענן הפרטי והענן הציבורי, על ידי שימוש במערכת פרטית בתוך הארגון, המצפינה את הקבצים בעזרת מפתחות הידועים אך ורק לארגון, ושולחת את הקבצים אל שירות איחסון ציבורי בארץ ובחו"ל. באמצעות המודל ההיברידי ניתן להבטיח כי לרשויות וגופים בחו"ל לא תהייה כל גישה למידע הרגיש המאוחסן שם, וזאת גם אם ספק הענן נדרש לחשוף מידע על-פי צו או הוראה של רשות מוסמכת. באמצעות מודל כזה ניתן להנות מהגנה מירבית נגד חשיפת המידע לרשויות זרות, עמידה בדרישות רגולטוריות, יחד עם היתרונות הרבים של שירותי ענן מנוהלים.

סיכום

כמו האגרה על דיג בים המלח, הדרישה לאחסן מידע בשרתים הממוקמים בתוך גבולות המדינה היא מעט אנכרוניסטית. יחד עם זאת המעבר לענן הוא צעד חשוב באבולוציה של עולם המחשוב. ארגונים ובייחוד הגדולים שבהם, חוששים מאוד מהמעבר בשל הדין החל בישראל ובשל הסיכון לחשיפת מידע רגיש בפני רשויות זרות. ביטול הסכם "המעגן הבטוח" בידי בית הדין האירופי בשנה שעברה, הוסיף למדורה עוד כמה זרדים של בלבול ותסבוכת.

ארגונים המעוניינים בהגנה מירבית על הנתונים הרגישים שלהם, ובעמידה מלאה בדרישות החוק, יכולים לשקול שימוש באחת או יותר מבין שלוש האסטרטגיות שנסקרו: בניית ענן פרטי, שימוש בענן מקומי, או שימוש בענן היברידי המשלב שירותי ענן ציבורי עם הצפנה מקומית.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 Comments on "סוף עידן ה-Safe Harbor: מה ההשלכות על חברות ישראליות? [אורח]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
דודו פישר
Guest
יש הגיון רב לחוק כזה של מדינה, למשל עבור בנקים, אתה רוצה שבמקרה של מלחמה ינותק כל מאגר המידע של כל ההון בארץ? כמו שלמדינת ישראל יש גיבוי של נפט, חיטה ונשק, ככה היא צריכה גיבוי גם למידע וגם לשמור עליו מפני עיניים זרות, כי לא כל מי שאוהב היום יהיה אוהב מחר (ולא חסרות לנו דוגמאות למדינות כאלו במהלך חייה של המדינה). אז זה לא חקיקה של רישיון דיג בים המלח* וההשוואה שלך / של העורך לא במקום בכלל. ואין שום בעיה לשים הצפנה על שרתים בענן, לחברות קטנות עם מאגרים קטנים, רק מה, צריך לקחת בחשבון שה- NSA… Read more »
גולש
Guest

לפני שמתחילים עם הפרשנות היה כדאי להביא את העובדות: באיזה חוק מדובר? מתי הוא נכנס לתוקף? מה נוסח החוק

מנהל בתחום הענן
Guest
מנהל בתחום הענן

בדיוק. אני לא מכיר חוק כזה ולמעשה אין חוק כזה!
לגבי הבנקים לדוגמא, יש המלצות של בנק ישראל, שהן אפילו לא ברמה של רגולציה.
חלק מהגופים המאוד מחמירים בארץ דורשים שהמידע ימצא באחת ממדינות האיחוד האירופאי.

זה שגוי בעליל ונשמע שיש פה קצת פרסומת סמויה, וזה רע.

אביתר
Guest

דוקא יש חוק כזה, ראה תגובתי הקודמת …

אביתר
Guest

החוק שהכותב מתכוון אליו הוא תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א-2001

מנהל בתחום הענן
Guest
מנהל בתחום הענן

אין חוק כזה!
לגבי הבנקים לדוגמא, יש המלצות של בנק ישראל, שהן אפילו לא ברמה של רגולציה.
חלק מהגופים המאוד מחמירים בארץ דורשים שהמידע ימצא באחת ממדינות האיחוד האירופאי.

זה שגוי בעליל ונשמע שיש פה קצת פרסומת סמויה, וזה רע.

wpDiscuz

תגיות לכתבה: