מאת עו"ד יורם הכהן
אבטחת מידע קשורה בקשר הדוק להיבטים משפטיים של מערכות מחשבים. אי עמידה במשימות אבטחת מידע עשויה לגרום לתוצאות משפטיות הרסניות לארגון. מספר חוקים במדינת ישראל, מתייחסים לאבטחת המידע במסגרת הנושא בו החוק מטפל. בין חוקים אלה ניתן למנות את:
חוק הגנת הפרטיות, התשמ"א-1981, המטפל, בין היתר, בפרטיות של מידע האגור במאגרי מידע. המונח "אבטחת מידע" מוגדר בחוק, ונקבע כי ארגונים המחזיקים במאגרי מידע מסוימים חייבים להעסיק ממונה על אבטחת מידע. אחריותו של הממונה הוגדרה בתקנות, ובין היתר נקבע כי עליו לדאוג להגנה פיסית, קביעת נוהלי עבודה, יישומם ונקיטת אמצעי אבטחה סבירים. "סבירים" בשפה המשפטית משמעה אמצעים מתאימים לנסיבות.
חוק המחשבים, התשנ"ה-1995 - במסגרת הסדרת המעמד המשפטי של מסמכים אלקטרונים בחוק נקבע כי אחד התנאים לאפשרות הגשתו של מידע שנוצר באמצעים אלקטרוניים כראיה בבית משפט, היא ההוכחה כי ננקטים בצורה סדירה אמצעי הגנה סבירים מפני חדירה למחשב ומפני שיבושים בעבודתו.
אל חוקים אלה הצטרף באחרונה חוק החתימה האלקטרונית, התשס"א-2001. פריצת הדרך בחוק היא השוואת המעמד המשפטי של חתימה דיגיטלית לחתימה רגילה, במידה שהחתימה הדיגיטלית עומדת בדרישות הקבועות בחוק. משמעות זהות המעמד היא שבכל מקום בחוק הישראלי בו נדרשת חתימה, שימוש בחתימה דיגיטלית על פי החוק ייתן למסמך האלקטרוני החתום את אותו מעמד שיש למסמך הנייר החתום. זהו לב-ליבו של החוק.
על מנת שחתימה דיגיטלית תקבל את אותו מעמד נכסף, חייבת להיות מצורפת אליה תעודה אלקטרונית שהונפקה על ידי גורם מאשר (Authority CA - Certification) שעומד בתנאי הפעולה שנקבעו בחוק. הגורם המאשר מוודא את זהותו של מי שמחזיק באמצעי חתימה דיגיטלי - ובזו המבוססת על טכנולוגיית PKI - מי שהוא בעל המפתח הפרטי. מאחר וכל בעל אמצעי חתימה דיגיטלי מחזיק בזוג מפתחות - ציבורי ופרטי - הרי שלצורך אימות זהותו של החותם על ידי מקבל המסמך, או לשם שליחת מידע מוצפן לנמען, המידע החשוב הוא קישור המפתח הציבורי לחותם או לנמען. התעודה האלקטרונית המתלווה למסמך מאשרת כי המפתח הציבורי הוא של אדם או גוף מסוים. קשר זה מונע התכחשות של החותם למסמך שחתם בחתימה דיגיטלית.
תוצאות הרסניות לכשל של הגורם המאשר
הגורם המאשר מאפשר וידוא תקפותה של התעודה האלקטרונית, פועל כצד שלישי לעסקה ומשמש כגוף המזהה Trusted Third Party - TTP הנאמן על הצדדים. על כן, יש חשיבות רבה למקצועיות ואמינות הגוף המשמש כגורם המאשר. על בסיסם נבנה האמון שהצדדים מוכנים לתת בו.
חשוב להבהיר, בדרך כלל הגורם המאשר אינו מחזיק את המפתחות הפרטיים של האנשים המזוהים על ידו, והאמון שהצדדים נותנים בו הוא לעניין וידוא זהותו של בעל מפתח ציבורי מסוים, ולחוסר היכולת לזייף תעודות אלקטרוניות שהגוף המאשר מנפק.
לכשל של הגורם המאשר עשויות להיות תוצאות הרסניות, ודוגמה לכך עלתה לאחרונה. הגורם המאשר של חברת Verisign הנפיק תעודה אלקטרונית לאנשים שהתחזו לעובדי חברת Microsoft. הנפקת תעודה זו מאפשרת ליצר קוד תוכנה הנחזה לכזה שנוצר ב-Microsoft. למרבה המזל אותר הכשל מוקדם, ו-Microsoft הפיצה תיקון הגורם למערכות ההפעלה למנוע שימוש בקוד החתום על ידי מי שמחזיק בתעודות אלה.
בנקודה זו חוזרים אנו אל אבטחת המידע. ידוע לכל עוסק בתחום, שבניית מערך אבטחת מידע יעיל היא שילוב מיטבי של: - אמצעים פיסיים מגנים - תוכנה/חומרה - נוהלי עבודה. מידת האמון שיינתן לגורם מאשר כלשהו היא תוצאה ישירה של נוהלי העבודה לווידוא זהות מקבל תעודה, ומערך אבטחת המידע המיושם בגורם המאשר ומגן על מערך ניהול הפקת התעודות ונכונותן.
חתימה דיגיטלית מעצימה את חשיבות אבטחת המידע בארגון
החוק קבע זאת באופן מפורש. בסעיף 18 נקבע כי הגורם המאשר ינפיק תעודה אלקטרונית רק לאחר שנקט באמצעים סבירים לזהות את מבקש התעודה, בדק את אמצעי אימות החתימה ואת נכונות הפרטים שמסר המבקש.
בנוסף, הגורם המאשר חייב להשתמש במערכות חומרה ותוכנה מהימנות, המעניקות הגנה סבירה מפני חדירה, שיבוש, הפרעה או גרימת נזק למערכת ה-CA ורמת זמינות ואמינות סבירה. בתקנות שיוצאו על ידי משרד המשפטים תוך כחמישה חודשים, יפרטו לפרוטות דרישות כלליות אלה.
כבר היום ברור כי שימוש במערכות תוכנה וחומרה מוכרות ואמינות וכן יינתן משקל רב להצהרת נוהלי אישור והנפקה של תעודות אלקטרוניות (Certification Practice Statement - CPS) ומדיניות האישור של זהות דיגיטלית (Certification Policy - CP) שיפעיל הגורם המאשר.
ההרשאה להשתמש בחתימה דיגיטלית במסגרת הפעילות של הארגון מעצימה גם את חשיבות מערך אבטחת המידע בארגון. יותר ויותר מסמכים ומידע של הארגון יהיו בפורמט דיגיטלי בלבד, ויש לתת לכך את הדעת.
מבחינה זו, ארגון המשתמש כבר בטכנולוגיית PKI למטרות חתימה דיגיטלית, ראוי לו שישתמש בה, ובמנגנון הגורם המאשר, למכלול היישומים בהם ניתן לשלבה - בקרת כניסה פנימית וחיצונית למערכת המידע הארגונים, הרשאות שימוש ביישומים ובמידע, הצפנה של מידע פנימי רגיש, מערכות VPN וכד'.
חוק החתימה האלקטרונית וטכנולוגית ה-PKI פותחים בפנינו, אם כן, כר נרחב של יישומים חדשים המגבירים את הודאות העסקית ומשפרת את יכולות ההגנה על המידע האלקטרוני.
עו"ד יורם הכהן הינו סמנכ"ל גורם מאשר וחתימה דיגיטלית בחברת Securenet, העוסקת באספקת פתרונות ואינטגרציה בתחום אבטחת המידע. עו"ד הכהן אף משמש מרצה בפקולטה למשפטים באוניברסיטת חיפה ובטכניון.
לא חותמת גומי
קוראים כותבים
8.5.2001 / 11:46