ניהול סיכוני אבטחת מידע בעת שימוש בקוד פתוח במערכות המאגר
קוד פתוח (Open Source) הוא מודל לפיתוח תוכנה בשיתוף פעולה המוני. בקוד פתוח, קוד המקור ומסמכי התיעוד שלו זמינים לציבור הרחב לשימוש, לעריכת שינויים ולהפצה על פי תנאי הרישיון. מערכות מאגר רבות, ואף מערכות אבטחה, מבוססות במידה מסוימת על שימוש בקוד פתוח, ושאי-יישום הנחיות בסיסיות לפיתוח וניהול של קוד מאובטח, יוצר איום ממשי לפגיעה בפרטיות.
בעלי מאגר מידע יכולים לפתח קוד בעצמם, להטמיע קוד פתוח או לרכוש מוצר תוכנה שמוטמע בו קוד פתוח תחת כל רישיון שימוש. אך כאשר הקוד אינו מנוהל ומתוחזק כראוי, הוא עשוי להכיל חולשות אבטחה המצריכות התייחסות וטיפול של בעל המאגר. הן עלולות להיות מנוצלות על ידי גורמים זדוניים ולהביא לחשיפה של מידע אישי רגיש.
סיכוני אבטחת מידע בעת השימוש בקוד פתוח כוללים בין היתר אי ידיעה או היכרות עם הרכיבים; חוסר תחזוקה ותמיכה נאותים; חולשה ידועה (מפורסמת לכל) שעשויה לאפשר גישה לא-מבוקרת לבסיסי נתונים; חולשת יום-אפס שאינה ידועה, "דלת אחורית" שמאפשרת למפתח זדוני להפעיל מרחוק קוד שנשתל בספריה מלכתחילה ועוד.
עיבוד מידע אישי במאגר מידע כפוף לעמידה בהוראות חוק הגנת הפרטיות ותקנותיו, גם כאשר מערכות המאגר מבוססות במידה רבה או חלקית על שימוש בקוד פתוח. חוק הגנת הפרטיות ותקנות אבטחת מידע מטילים על בעל מאגר המידע אחריות לאבטחת המידע שבמאגר המידע, ובתוך כך גם בעת שימוש בקוד פתוח.
לכן הרשות להגנת הפרטיות מפרסמת עקרונות לניהול סיכוני אבטחת מידע שאליהם יש להתייחס כאשר נעשה שימוש בקוד פתוח במערכות המאגר, תוך התייחסות לחובות המרכזיות הקבועות בחוק הגנת הפרטיות ותקנותיו הרלוונטיות. במסמך הרשות ממליצה לאמץ את עיקרון "עיצוב לפרטיות" (privacy by design), ובמסגרתו להתייחס בין השאר לכל שימוש בקוד פתוח.
במסמך אפשר למצוא המלצות והנחיות כיצד להתנהל עם קוד פתוח ולהשתמש בו בדרך המיטיבה ביותר לשמירה על הפרטיות, בהלימה עם הוראות חוק הגנת הפרטיות ותקנותיו.
