סיכונים משפטיים בשמיים

בעשור האחרון עלתה בקרב מקבלי החלטות בגופים ציבוריים, בייחוד בחברות ציבוריות ובמוסדות פיננסים, ההכרה בצורך באימוץ פרקטיקה לניהול סיכונים משפטי. "הכרה" זו מקורה בעיקר בדרישותיהם של רגולאטורים ובהם הרשות לניירות ערך, המפקח על הבנקים והמפקח על שוק ההון לקיים ניהול סיכונים.

הנהלות של ארגונים נדרשו לתת את הדעת גם לסיכונים משפטיים שהנם: הסיכון להפסד או לפגיעה בארגון כתוצאה מתחולתם של כללים נורמטיביים ברי תוקף או כתוצאה מסנקציות או מנקיטה בצעדים משפטיים. ביטוי מוחשי לכך הוא: (א) העדר אפשרות לאכוף באופן משפטי קיומו של הסכם; (ב) תובענות ייצוגיות; (ג) רגולציה; (ד) תביעות אזרחיות; (ה) כתבי אישום.

לאור היקפו, מציב ניהול סיכונים משפטי אתגרים רבים לחברות וארגונים, שמתעצמים במצבים בהם נוצרים יחסי תלות עם גופים חיצונים עקב הטמעה של טכנולוגיה חדשה, כמו זו של מערכת מחשוב ענן.

מערכת מחשוב ענן

התפתחות טכנולוגיית עיבוד מידע ממוחשב עברה מרחק רב, ממיינפריים (mainframe computer) למחשבים אישים (PC), למחשוב מרכזי באמצעות שרת (client-server) וכלה באינטרנט. כיום, מחשוב ענן (cloud computing) מסתמן כאבן הדרך הגדולה הבאה בטכנולוגית המחשוב ושיתוף פעולה עסקי.

מתן שירותי אירוח (hosted services) דרך האינטרנט, המכונה כאמור מחשוב ענן, מאפשר לארגונים להגדיל את העסק שלהם על-ידי כך שמערכת מחשוב זו תומכת ומאפשרת להם לעמוד בכל צורכי המחשוב זאת תוך הימנעות מהשקעות משמעותיות בתשתיות, בהכשרת כוח אדם, ובתוכנה.

טכנולוגיה זו על יתרונותיה הרבים גורמת לכך שהעברת המחשוב הארגוני לענן הופך יותר ויותר שכיח, למן העברת מערכת הדואל (email) ועד לכלל מערכות המחשוב הארגוניות.

ברם, מציאות חדשה זו שקורצת למנהלים, לאור היתרונות הטמונות בענן ובהם העלויות הנמוכות, עלולה לחשוף את הארגונים לסיכונים שיכולים אף לאיים על ההמשכיות העסקית (business continuation). מצד שני, הואיל והמעבר לענן מעוצב בחוזה הנכרת בין נותן למקבל שירות, ניתן לסבור שבמסגרת החוזה ניתן לשלוט ו/או לצמצם את הסיכונים, אל מתחת לרף שמעליו יפגע הארגון באופן מהותי (התיאבון לסיכון), האומנם?¹

סיכונים משפטיים

מערכת היחסים בין ספק שירותי מחשב ענן ללקוחו הנה מורכבת. מבחינה משפטית, ספקי שירותי ענן (להלן - "CSP") ולקוחותיהם הנם ישויות נפרדות. עם זאת, במידה ו-CSP מזניח או לא עומד בהתחייבויותיו, יכולה להיות לכך השלכה על חבותו המשפטית ללקוחותיו. אבל אם לקוח של ספק שירותי ענן נכשל במחויבויותיו, פחות סביר שיהיו לכך השלכות משפטיות עבור ה-CSP.

ללא ספק, עיצוב חוזה עם נותן שירותי ענן הצופה את כל המצבים שיכולים להיווצר, יכול לסייע רבות למזמין השירות. אך הואיל ומדובר בתחום ייחודי נדרש מנסחי החוזה לא רק הכרה בדיני חוזים אלא גם ידע בניהול סיכונים משפטי ובטכנולוגיה הרלוונטית.

ידע בתחומי ענן וניהול סיכונים משפטי נדרש גם כדי להצביע עבור ההנהלה על המצבים בהם חוזה אספקת שירותי ענן מותיר את הארגון חשוף לסיכונים. אך לא רק זאת, עורכי הדין יכולים להעמיד את המנהלים על המצבים בהם מערכת היחסים החוזית מקימה סיכונים משפטים שאינם עומדים בקנה אחד עם התיאבון לסיכון (risk appetite) שהללו קבעו.

מצב חדש זה חושף את עורכי הדין, שמטבע הדברים אינם בקיאים בטכנולוגיה מחשב, לתהות האם החוזה אכן נותן מענה לסיכונים המהותיים., וכיצד הם יכולים לייעץ ללקוחותיהם באשר לסיכונים המשפטיים?

לאחרונה ניתן לשאלה זו מענה.

סיכונים בערכת מחשוב ענן

כדי להתמודד עם מציאות חדשה ומורכבת זו פרסמה ביוני 2012 הוועדה של הארגונים נותני החסות לוועדת טרדווי הידועה בשם קוזו² (COSO) נייר עמדה בנושא ניהול סיכונים במערכות מחשב ענן³, המהווה מסגרת אינטגרטיבית לניהול סיכונים במערכות מחשוב ענן. נייר זה מקיף רשימת הסיכונים המאופיינים בתחום זה שיכולים כאמור לסייע לעורכי דין, כלהלן:

• כוח הרסני (Disruptive force)- היתרונות של מחשוב ענן, כגון קבלת שירותי מחשוב בעלויות מינימאליות, מאפשר למעשה כניסה של יותר מתחרים לשוק, דבר עלול אף לאיים על המודל העסקי. כך לדוגמא, העברת קבצי שמע ווידאו ב-Stream באינטרנט פגע קשות בחנויות למכירת תקליטורים.

• חשיפה לסיכונים הקיימים במערכת האקולוגית של ספק שירותי ענן ודיירים אחרים בענן - כאשר ארגון מאמץ פתרון בדרך של מחשב ענן, נוצרים יחסי תלות בינו ובין ספק שירותי מחשוב ענן, זאת ביחס לאחריות המשפטית, לעולם הסיכונים של הארגון (risk universe) ולתגובה לאירועים בתחומים אחרים. פעולות של CSP ודיירי ענן יכולים להשפיע בדרכים שונות.

• העדר שקיפות - אין לספק שירות מחשוב ענן אינטרס לספק מידע על התהליכים, בקרות ומתודולוגיות בהם הוא עושה שימוש. לדוגמה לקוחות של מחשוב ענן לא יודעים בהכרח היכן גיאוגרפית נשמר המידע הארגוני שלהם, באיזה אמצעים טכנולוגים הוא נשמר וכיצד מנוהל המידע.

• מהימנות וביצוע - כשל במערכת הוא אירוע סיכון שיכול להתרחש בכל סביבת מחשוב אך הוא מציב אתגרים ייחודיים במחשוב ענן. למרות הסכמי רמת שירות, המטילים על ספק השירות דרישות מסוימות, פתרון של ענן מציב את הלקוח במצב של חוסר אונים כאשר הספק לא עומד במדדי ביצוע שנקבעו או כאשר מתרחש אירוע בלתי צפוי, דבר העלול לפגוע ביכולת המערכת להיות זמינה לאחזור מידע.

• הינעלות על ספק ספציפי וחוסר יכולת לעבוד עם יישומים ו/או מערכות מחשוב אחרות - ספקי שירותי ענן רבים מציעים, במסגרת פתרון ענן, כלים לפיתוח תוכנה ויישומים. לא אחת, כלים אלה המוצעים הם קניינו של CSP, כך שניתן ליצור עמם יישומים הפועלים רק בתוך ארכיטקטורת הפתרון הספציפית של CSP. כתוצאה מכך, יישומים אלה שנוצרו על-ידי הכלים שהעמיד ספק הענן עלולים לא לעבוד עם מערכות השוכנות מחוץ לפתרון הענן. בנוסף, ככל שנעשה שימוש ביותר יישומים שפותחו באמצעות כלים אלה ויותר נתונים מאוחסנים בפתרון הענן של CSP ספציפי, כך קרוב לוודאי שיהיה קשה יותר להחליף ספק.

• חששות בנוגע לאבטחה וציות - הוצאת שירותי המחשוב לספק ענן יוצרת תלות העלולה ליצור בעיות ביכולת הארגון לעמוד בתקנות וחוקים כגון Sarbanes-Oxley Act of 2002 (SOX), Portability and Accountability Act of 1996 (HIPAA), וחוקי הגנת הפרטיות והגנת המידע. במחשב ענן הנתונים נמצאים על חומרה שאינה בשליטה ישירה של הארגון.

בהתאם לפתרון הענן שבשימוש ⁴ סאאס (SaaS), פאאס ⁵ (PaaS) או איסאאס ⁶ IaaS, לקוח עלול למצוא את עצמו ללא יכולת להתחבר למערכת המחשוב או לקיים, לאור מדיניות ההרשאות של ה-CPS, בדיקות במערכת (לדוגמה להיכנס ל-security incident logs). ספק שירותי ענן עשוי אף להיות לא מחויב לחשוף מידע זה או ייתכן שלא יהיה באפשרותו לעשות זאת מבלי להפר את הסודיות של לקוחות אחרים החולקים את תשתית הענן.

• יעד בעל ערך גבוה להתקפות סייבר (Cyber) - מטבע הדברים מספר ארגונים הפועלים על התשתית של CSP מהווה יעד אטרקטיבי יותר מאשר ארגון אחד, ובכך מגדיל את הסיכוי להתקפות. כתוצאה מכך, רמת הסיכון האינהרנטי הגלומה ב-CSP ברוב המקרים גבוהה יותר, בעיקר בנושא חיסיון ושלמות נתונים (data integrity).

• סיכון לדליפת נתונים - סביבת ענן בה קיימים מספר "דיירים" שמשתמשים במשאבים וביישומים משותפים מהווה סיכון של זליגת נתונים, שאינו קיים כאשר שרתים ומשאבים ייעודיים משמשים באופן בלעדי ארגון בודד. סיכון זה של דליפת נתונים מציג נקודה נוספת של שיקול ביחס ליכולת לעמוד בכללים להגנת הפרטיות נתונים ובדרישות סודיות.

• שינוי ארגוני במערך IT - העברת מערך המחשוב הארגוני לענן כרוכה לרוב בשינוי ארגוני, כגון: צריך פחות אנשי IT עובדי הארגון, נדרש להקצות פחות משאבים לניהול תשתיות, פריסת טכנולוגיה, פיתוח יישומים, ותחזוקה. הואיל וכך המורל והמסירות של אנשי צוות שנותרו יכול להיפגע כתוצאה מכך.

• היכולת של ספק שירות ענן להיות בר-קיימא - ספקי שירותי מחשוב ענן רבים הנן חברות צעירות יחסית, או חברות ותיקות שתחום זה חדש יחסית עבורם. לפיכך, אריכות הימים והרווחיות הצפויה משירותי ענן אינם ידועים. ידועים מקרים בהם ספקי ענן הודיעו על צמצום היצע שירותי הענן שלהם, כי הם לא רווחיים. אין זה מן הנמנע שכדי לעמוד ביעדי רווחיות ספקי שירותי מחשוב ענן יתאחדו. כתוצאה מכך, לקוחות של שירותי ענן יכולים לחוות שיבושים תפעוליים או לבזבז זמן וההוצאות במציאת פתרונות חלופיים, כגון חזרה לפתרון in-house (החזרת מערך המחשוב לארגון).

בנוסף לסיכונים הללו, ארגונים העוברים לענן עלולים להיות חשופים לסיכונים ואתגרים אחרים פחות ברורים ממה שניתן בהכרח להעריך. התגשמות של אחד או יותר מהסיכונים הללו לא זו בלבד שיפגע בארגון אלא הוא אף עלול לגרום לפגיעה קיומית. הואיל וכך על הנהלה המבקשת להוציא את מערך המחשוב לענן לשקלל בהחלטתה גם את הסיכונים הנזכרים ואילו עורכי דינם עלולים להידרש לכך ולהיות מסוגלים לתת לכך מענה בתוצריהם.

הפחתת סיכון

אך לא רק בעיצוב חוזים יכולה ההנחיה של קוזו לסייע, אלא עורכי דין יכולים באמצעותה לייעץ ללקוחותיהם גם באשר להפחתת סיכונים משפטיים בכלים שונים וכן בקביעת התיאבון לסיכון.

הדרך להפחית סיכונים (mitigate risks) מחייבת בעריכת סקר ייעודי שיחשוף את כל הסיכונים הקיימים ולאורו לקבוע לאור את מפת הסיכונים והתיאבון לסיכון של הארגון.

קביעת התיאבון לסיכון, דהיינו הקביעה של ההנהלה לגבי איזה סיכונים היא מוכנה לקבל, צריך להיעשות לא רק על-רקע הסיכונים, אלא גם תוך שקילת אמצעי ההגנה ובקרות, לרבות פתרונות שיישומם נעשה מחוץ לפתרון המיידי שמספקת חברת הענן.
הדרך המומלצת לכך היא באמצעות פרקטיקה של ניהול סיכונים, כמו זו של קוזו. כך לדוגמה תוכל הנהלה לבחון את הסיכונים הטמונים בתהליכים העסקיים הנתמכים במחשוב ענן, ואף לשלב ניהול סיכונים לתוך אסטרטגית ה IT שלהם ולאפשר לדירקטוריון לפקח על תחום חדש זה.

סיכום

היקף הסיכונים במעבר למחשוב בטכנולוגית ענן חושף כאמור את הארגון לקשת רחבה של סיכונים. העובדה שהידע הארגוני אצור במחשבים שבהם מצוי ידע של גופים אחרים, חושף באופן טבעי את הארגון לסיכונים. כאשר ארגון מאמץ פתרון ענן (ניהול על-ידי צד שלישי), נוצרת תלות חדשה ביחסים עם ספק השירותים הללו, מה שמקים סיכונים ובהם סיכונים משפטיים. יתרה מזאת מצב זה חושף את דיירי הענן לסיכונים מצד פעולות או מחדלים של ספק שירותי הענן עצמו.

לכאורה הואיל ועסקינן בהתקשרות חוזית עם ישות משפטית נפרדת ניתן לסבור שהארגון יכול להבטיח את עצמו זאת באמצעות הטלת אחריות על הספק. ברם, הניסיון מלמד כי רבים מהסיכונים הנזכרים כאן לא ניתנים בהכרח לפתרון על-ידי קביעת תניות בחוזה עם CSP, מה גם שממילא החוזה נתון למשא-ומתן.

ארגונים המבקשים להוציא את מערך המחשוב הארגוני ולהעבירו לענן טוב יעשו אם יאמצו פרקטיקה של ניהול סיכונים, כמו זו שמציעה קוזו, הכוללת כלים לזיהוי סיכונים, תוך שהם נעזרים בעורכי דינם, לא רק בניסוח החוזה. מאידך על עורכי הדין לרכוש הבנה ידע וכלים בניהול סיכונים משפטי, כדי שיוכלו לסייע ללקוחותיהם לקבל את ההחלטות הנכונות באשר לסיכונים המשפטיים ולדרכי ההתגוננות כלפיהם.