מאת חן בורשן, מנכ"ל חברת האבטחה בענן סקייהוק סקיוריטי
במציאות הדיגיטלית של היום, חברות וארגונים מסתמכים יותר ויותר על מערכות ענן לאחסון מידע ולעיבוד נתונים. אך מה קורה כאשר נתונים רגישים ניזוקים, נעלמים או נפרצים? הנחיה החדשה של האיחוד האירופי מביאה עמה תקנות מחמירות שדורשות מספקי שירותי ענן ומפתחים לקחת אחריות על שלמות המידע, מהלך שעשוי לשנות את פני התעשייה.
"אחריות למוצרים פגומים"
הדירקטיבה החדשה של האיחוד האירופי בנושא אחריות למוצרים פגומים, שנכנסה לתוקף ב-8 בדצמבר 2024, מעדכנת את כללי האחריות כדי להתאים לטכנולוגיות חדשות, ומבטיחה הגנה טובה יותר לנפגעים וודאות משפטית למפעילים כלכליים. הדירקטיבה מבוססת על שני עקרונות מרכזיים:
- אחריות היצרן: היצרן מחויב לפצות על נזק שנגרם כתוצאה ממוצר פגום.
- חובת ההוכחה של הנפגע: הנפגע חייב להוכיח את הפגם במוצר, את הנזק שנגרם, ולקשר בין הפגם לנזק.
ההוראה הנוכחית מחליפה הוראה בת 40(!) שנה, שנזקקה לעדכון מאסיבי משום שלא התאימה לעידן הדיגיטלי. ההוראה החדה מבטיחה שהכללים יהיו מותאמים למוצרים מכל הסוגים, כולל טכנולוגיות מתקדמות כמו בינה מלאכותית ומתאימה לשרשראות אספקה גלובליות: בכך שהיא מבטיחה את קיומו של גורם אחראי מבוסס באיחוד האירופי שממנו יוכל הנפגע לדרוש פיצוי, גם אם היצרן אינו ממוקם באיחוד. בנוסף, היא מספקת הגנה משופרת לנפגעים וודאות משפטית: מתן כלים חדשים לבקשת ראיות בבית המשפט, והקלה על נטל ההוכחה במקרים מסוימים.
מה זה מוצר?
הדירקטיבה המעודכנת מרחיבה את ההגדרה של "מוצר" כך שתכלול גם עדכוני תוכנה, בינה מלאכותית ושירותים דיגיטליים, במטרה לשקף את השינויים בעולם הדיגיטלי.
הדירקטיבה גם מאריכה את תקופת האחריות ל-20 שנה, עם אפשרות להארכה ל-30 שנה במקרים שבהם הנזק מתגלה לאחר תקופה ארוכה יותר. היא קובעת נהלים ברורים יותר לפיצויים, והתהליך להוכחת פגם במוצר שגרם לנזק הפך לפשוט יותר, עם הנחיות ומידע נגישים לתביעות פיצויים.
בכך, האיחוד האירופי מבקש להבטיח שהחקיקה תואמת את ההתפתחויות הטכנולוגיות והכלכליות, ומספקת הגנה מקיפה לצרכנים מפני נזקים הנגרמים ממוצרים פגומים.
למה ההוראה החדשה כל כך חשובה לצרכנים של שירותי ענן?
עד היום, האחריות על פגיעות בשלמות המידע בענן לא נכללה במסגרת החוק הזה. ספקי שירותים יכלו, במקרים מסויימים, להתנער מהשלכות של מחיקת נתונים בשוגג, השחתת מידע בעקבות תקלה, או אפילו מתקפות סייבר שפגעו במידע רגיש. כעת, האיחוד האירופי קובע ששלמות המידע היא חלק מהאחריות של החברות המספקות את השירותים, והן עשויות להיות חשופות לתביעות משפטיות אם יימצא שהן לא נקטו באמצעים מספקים כדי למנוע נזק.
מהם הנזקים שעליהם תוטל אחריות?
- אובדן נתונים קריטיים של משתמשים פרטיים או חברות.
- פגיעה בשלמות הנתונים בעקבות תקלה טכנית או מתקפה חיצונית.
- נזקים עסקיים כתוצאה משיבוש במערכות מבוססות ענן.
ומה בנוגע לאחריות הלקוחות?
דירקטיבה חדשה זו חופפת במעט את מודל האחריות המקובל בעולמות הענן. כיום – ספקי שירותי ענן פועלים תחת הגדרה שנקראת Shared responsibility model, מודל מציין שלספק הענן וללקוח יש אחריות ספציפית כל אחד. הספק אחראי לרוב על תשתיות, אבטחת מרכזי נתונים פיזיים וחלק מהתוכנה, בעוד שהלקוח אחראי על אבטחת הנתונים, הצפנה ובקרת גישה. אם נגרם נזק לנתונים בשל כשל מצד הספק בתחומים שהוא אחראי להם, הוא עשוי להיות אחראי. עם זאת, אם הבעיה נגרמה בגלל שגיאות או רשלנות מצד הלקוח, ייתכן שהספק לא יהיה אחראי לפי ההנחיות החדשות של האיחוד האירופי. בכל מקרה, לקוח המעוניין להוכיח נזק שנגרם בענן צריך לאסוף ראיות ברורות המצביעות על כשל בשירות, שכוללת לוגים שמכילים תיעוד של זמן אירוע, שגיאות או התרעות שיכולות להצביע על הבעיה. באופן כללי, יש להראות שהנזק נגרם כתוצאה מבעיה אצל ספק השירות ולא ממקור אחר. עוד לא ברור האם לקוחות שיפגעו ממתקפות סייבר בענן יוכלו לתבוע את ספק הענן על בסיס הדירקטיבה. גם אם כן, יהיה עליהם להציג הוכחה לנזק (לוגים), וכנראה גם להוכיח שהם עשו ככל שביכולתם למנוע את המתקפה. דרך אחת לעשות כן הינה להריץ סימולציות תקיפה ולתעד אותן. כך ניתן יהיה להוכיח שהלקוח הבין את החולשות ודרכי החדירה האפשריות ופעל כדי לנטרל אותן, כך שאם בכל זאת הותקף, הרי שזו כנראה אשמת ספק הענן ועליו לקבל פיצוי נאות.
