6.5.2015

חוק, ממשל ואבטחת מידע.

פורסם על ידי
שלום לכם.
אמנם, מנהלי ומומחי אבטחת מידע לא צריכים להיות עורכי דין כדי לבצע את עבודתם כהלכה. חרף זאת, הם כן צריכים לדעת איך מערכות המשפט, החוקים והרגולציות מתייחסים לנושא. חוק, אתיקה ותהליך החקירה בעולם אבטחת המידע הם נושאים חשובים ביותר.  בכלל, מומחה אבטחה צריך לדעת ולהבין נושאים רבים המיוחסים לסביבת העבודה שלו, החל מ-איך מתבצעת תקיפת התולעת האחרונה וכְלֵה בהבנה בדבר הגנה ומיגור ההתקפה בעזרת הכלים העומדים לרשותו ומוענקים לו ע"י רשויות החוק.
בפוסט זה, אציג במבוא את נושא החקיקה, הממשל והרגולציות בנושא אבטחת המידע והפרטיות החלים על מדינות העולם - בעיקר אלה החָלִים על מדינות מתוקנות כגון מדינות האיחוד האירופי, ארה"ב וכן - גם על ישראל . חשוב לי לציין, כי באופן אישי, אני רואה את הנושא הזה מסקרן ומעניין כאחד;

תחילה, עבירות המחשב ("פשעי סייבר") מחולקות ל-3 קטגוריות:
  • עבירה שבוצעה בעזרת מחשב (Computer-Assisted crime)
    • תקיפה כנגד מוסד פיננסי ע"מ לגנוב כספים ומידע רגיש.
    • קבלה או הפקה של חומרים צבאיים ו\או חשאיים ע"י תקיפת מערכות צבאיות.
    • ביצוע ריגול (תעשייתי ופרטי) למטרות של איסוף מידע רגיש כנגד מתחרים ו\או גורמי צד-שני.
  • עבירה שבוצעה כנגד מחשב (Computer-Targeted crime)
    • התקפות Distributed Denial of Service - DDoS ע"מ "לשתק" שירותים שונים.
    • "לכידת" סיסמאות ו\או מידע רגיש.
    • התקנת נוזקות ו\או Rootkits למטרות זדון והרס.
  • עבירה שבוצעה כאשר שימוש במחשב הוא "מקרי" (Computer is incidental)
    • אחזקה ואחסון של חומרים אסורים כגון חומרים פדופילים וחומרים המשמשים כעדויות לעבירות פליליות אחרות.

התפלגות תקריות א"מ שהתגלו בסקטורים שונים בתעשייה. מקור: Computer crime and security survey 2014

המורכבות הקיימת בעבירות מחשב

אמנם, קיימים חוקים, הוראות ותקנים רבים בנושא זה – אך מי אוכף אותם? בארה"ב, השירות החשאי, ה-FBI ושירותי החוק המקומיים (כגון המשטרה) אחראים לאכיפת עבירות מסוג זה. בישראל, האוכפים הם יחידות שונות של המשטרה (הרשות האוכפת), כגון יחידת הסייבר ולהב 433. רוב התוקפים ("האקרים") אינם נתפסים. סיבה עיקרית היא המורכבות בטכנולוגיית המידע ופיגור לא קטן מצד הרשויות ליישר קו עם מורכבות זו. זיהוי התוקף במרחב האינטרנטי נעשה ע"י כתובת ה-IP שלו, אך לרוב הם משתמשים בכתובות מזויפות (Spoofed addresses), הצפנת תעבורה ועוד טכניקות שונות – דבר ההופך את תהליך האכיפה למורכב עוד יותר.
בנוסף, חברות רבות בעולם ובישראל (לא אנקוב בשמן), יעדיפו "לטאטא מתחת לשטיח" עבירות שנעשו כלפיהן, ולא לערב את הרשויות מסיבות שונות כגון; שמירת המוניטין, כדי לא להבהיל את לקוחותיהן וכדי להימנע מקנסות כבדים.
כיום, ע"מ לטפל בעבירות מחשב ביעילות, מדינות רבות מגדירות את ה-"נתונים" כקניין (Property) לכל דבר. בישראל הדבר נחשב כ-"קניין רוחני".

האבולוציה של עבירות המחשב

עד לפני יותר מ-10 שנים, האקרים היו אנשים שראו את פעולותיהם כהנאה לכל דבר. פריצה הייתה בד"כ נחשבת כ"אתגר" ומאחוריה לרוב, לא הייתה כוונת זדון. הפלת אתרים גדולים כגון Yahoo!, Geocities ו-Excite היו מזכים את הפורצים ב"תהילה" בקרב קהילת חבריהם ההאקרים. ווירוסים היו נכתבים למטרת יכולת שכפולם ולפעילויות לא מזיקות (בד"כ לבידור חבריהם והעברת מסרים).
כמו שאמא שלי אומרת, "היום זה לא כמו שהיה פעם" – וכמובן שהיא צודקת :) . היום, מטרות הפורצים הם יותר זדוניות, יותר הרסניות ויותר מאורגנות.
למרות שעדיין קיימים לא מעט "Script kiddies" ("האקרים" שבהכרח אין להם את המיומנות לביצוע התקפות ממוקדות – אופן פעילותם נעשה בעזרת כלים מוכנים וזמינים באינטרנט. הם בד"כ לא מבינים איך הפריצה באמת מתבצעת, ולכן לא מודעים לנזק שהם יכולים לגרום), ארגוני הפשיעה (או הפשע המאורגן) נכנסו ל"סצנה" לאחר שהבינו את הפוטנציאל הרווחי הטמון בפשעי המחשב. אם ה-Script Kiddies מבצעים סריקות של אלפי מערכות ע"מ לגלות חולשה ו\או פירצה, ארגונים אלה בד"כ מכווני-מטרה כנגד חברה או מערכת אחת. לרוב, הפשע המאורגן מצליח לגייס לתוכו אנשים מיומנים בהחלט, האקרים "על-אמת". בעולם המחשוב, סוג זה של מתקיפים מוגדרים כ-"איום מתקדם ומתמשך" או Advanced Persistent Threat - APT. מונח זה משמש את המערכות הצבאיות כבר דורות, אך כיום הוא נעשה יותר ויותר רלוונטי לסביבתנו.
ה-APT בד"כ מפתח את הקוד הזדוני בעצמו ומכוון למטרה הספציפית שלו. כאמור, הוא מיומן יותר, ממומן יותר ובעל מוטיבציה גבוהה יותר – דבר המקשה לחלוטין את הרשויות באיתורם ולכידתם.
רוב עבירות המחשב כיום מבוצעות במרחב האינטרנטי (להלן, "מרחב קיברנטי") ולהן סכמות נפוצות כגון:
  • עבירות מכרזים ומכירות פומביות.
  • זיוף צ'קים וכספים.
  • הונאות בעזרת שירותי שלשה (הפקדות בנאמנות וכו').
  • הונאות ה-"419" (מכתבי ה-"עוקץ ניגרי").
  • הונאת פונזי\פירמידה

בעיות וסוגיות בעידן הגלובליזציה

עולם טכנולוגית המידע כופה על קיום גלובליזציה. בעידן של היום, איך אפשר לקיים שת"פ בין מדינות שגישתן לעבירות מחשב שונה? מה קורה כאשר מערכות המשפט שונות ממדינה למדינה? איך מבססים נורמה לפעילויות מסודרת במרחב הקיברנטי? אם האקר איראני יפרוץ למחשב ישראלי – נראה לכם שממשלת איראן תעזור ללכידתו?
לגבי השאלה האחרונה, זהו נושא בפני עצמו, מומחים חוזים את זה כ-"מלחמות סייבר", בהן מדינות עושות שימוש במרחב הקיברנטי ע"מ להזיק ולפגוע במערכות קריטיות המשמשות אותן לסדר מדיני, בטחוני וממשלתי. זה כבר לא חיזיון, אנו עדים לקיום עידן זה (ראו Stuxnet).

תמונת מסך המראה "טעימה" מנזקי ה-Stuxnet במחשבי ה-SCADA הפועלים בכור האיראני בבושהר. התמונה באדיבות warincontext


לגבי שאר הסוגיות – יש תשובות, או לפחות ניסיון לתת מענה לגביהן.
נעשו מאמצים רבים ליצירת סטנדרטיזציה בעזרת תקנים והוראות – וזאת ע"מ ליישר קו עם גישת כל מדינה לעבירות מחשב;
אמנת המועצה האירופאית (לפני האיחוד) לעבירות סייבר, או יותר נכון – Council of Europe (CoE) Convention on Cybercrime, הינה דוגמה לניסיון תקינה (מלשון תקן) כמענה לעבירות סייבר. כאשר עסקינן על שמירת נתונים, חברות גלובליות (העובדות ב\עם כמה מדינות) מחויבות לעמוד בדרישות ה-OECD לשמירה והעברה מאובטחת של נתונים רגישים ואישיים. בין העקרונות של ה-OECD לאבטחת המידע האישי שלנו, אפשר למנות:
  • ליקוט של מידע אישי צריך להיות מוגבל, נעשה באמצעים חוקיים ובידיעת הסובייקט (לא לשכוח לקרוא על מה אתם חותמים, הא?!).
  • מידע אישי יישמר במלואו, ובתנאי שיהיה רלוונטי למטרות שימושו.
  • יש ליידע את הסובייקט (אנחנו, למשל) על הסיבה לליקוט המידע אודותיו.
  • חשיפה ושימוש במידע האישי שלא למטרות הרלוונטיות שהוצגו, ייעשו באישור הסובייקט עצמו או באישור הרשות השופטת בלבד.
  • יש להחיל שיטות הגנה "סבירות" למניעת חשיפה, שימוש ושינוי לא מורשה של המידע האישי.
אי-עמידה בדרישות הנ"ל יגרור את החברה לקנסות כבדים, אחריות פלילית ואף לפירוקה.
בכלל, האיחוד האירופי לוקח ברצינות רבה את כל הקשור לפרטיות ואבטחת המידע האישי, לעומת מדינות אחרות בעולם. לאיחוד האירופי חוקים נוקשים בנושא הפרטיות בטכנולוגית המידע, ומבוססים על "עקרונות האיחוד האירופי לפרטיות" – "European Union Principles on Privacy". אלו עקרונות דומים לאלו של ה-OECD, ומנחים כיצד יש לנהוג עם מידע אישי בכל הקשור להעברתו, אחסונו ושימושו. מדינות החברות באיחוד חייבות לציית להם.
כדי להתאים דרישות אלה לחברות שבסיסן בארה"ב, ולאפשר שת"פ תקני בין שתי היבשות, פותחו עקרונות דומים גם אצל ה"דוד סם", ונקראים "The Safe Harbor Privacy Principles" או בקיצור "Safe Harbor". חברות שבסיסן בארה"ב המעוניינות לעבוד עם חברות שבסיסן באיחוד האירופי, חייבות לעמוד בדרישות הגנה על הפרטיות המעוגנות תחת עקרונות אלו.

שיטות והוראות הגנה על הפרטיות

הפרטיות שלנו נעשית יותר מאוימת ככל שהעולם נשען יותר ויותר על טכנולוגיות. נכון להיום, קיימות 2 גישות עיקריות המתייחסות לנושא; הגישה הגנרית – Generic Approach , אשר מהווה קיום של חקיקה היוצרת קו חוקים ברור בנושא הפרטיות בכל רבדי התעשייה. הגישה הרגולטורית - Regulation by industry , אשר מגדירה דרישות לסקטורים ספציפיים בתעשייה, כגון הסקטור הפיננסי והסקטור הבריאותי.
שתי הגישות מכוונות לשמירת ואבטחת מידע אישי בכלל ומידע מזהה בפרט.
מהו מידע מזהה?
מידע מזההPersonally Identifiable Information, PII הינם נתונים אשר משמשים ע"מ לזהות באופן ייחודי אדם. נתונים אלה צריכים להישמר מכל משמר שכן הם לרוב משמשים עבריינים המבצעים פשעים פיננסיים, גניבת זהויות וכו' .
רכיבי ה-PII הם כדלקמן:
  • שם מלא (אם לא נפוץ).
  • מספר זיהוי לאומי (ת.ז, SSN וכו').
  • כתובת IP (במקרים מסוימים).
  • מספר לוחית רכב או רישוי מסוים.
  • מספר רישיון נהיגה.
  • מידע גנטי.
    • לרבות תווי פנים, טביעות אצבע וכו' .
  • מספרי כרטיס אשראי.
  • תאריך ומקום הלידה.
  • כתב יד (במקרים מסוימים).
זכרו כי המידע הנ"ל מזהה אתכם באופן ייחודי. הימנעו ככל הניתן ממסירת הנתונים אם אין רלוונטיות לכך. הרי בסופו של דבר, האחריות לשמירת פרטיותכם – היא עליכם.
רגולציות בעולם המחשוב ואבטחת המידע מכסים סוגיות רבות – מסיבות רבות. אבטחת פרטיות, אבטחת נתונים ובקרה על קריפטוגרפיה הן רק חלק מסוגיות אלו. רגולציות מיושמות בכל סקטור בחיינו; בסקטור הממשלתי, הביטחוני, הפרטי ועוד.
כיום, הסקטור הפיננסי הוא המנוע העיקרי בכל הקשור ללקיטת נתונים אישיים. הרגולציות העיקריות החלות על סקטור זה לשמירת פרטיותנו הן:
  • רגולציות ממשלתיות
    • Sarbanes-Oxley Act או SOX – מציגה דרישות על אופן הטיפול במידע המוגדר "פיננסי" כגון; ניהול, מעקב ודיווח של מידע מסוג זה.
    • Gramm-Leach-Bliley Act of 1999 או GLBA - דרישות המכוונות אל המוסדות הפיננסיים בדבר העברת מידע פיננסי אישי של לקוחותיהם לגורמי צד-שלישי.
    • Basel II - רגולציה חשובה מאוד בעולם הקפיטליסטי שלנו. היא מגנה על הבנקים (ולכן גם על הכלכלה כולה) כך שהיא מגבילה אותם מלקיחת סיכונים משמעותיים העלולים לגרום לקריסתם.
  • רגולציות עצמאיות
    • Payment Card Industry - PCI - כחלק מתקן ה- PCI-DSS המורכב מ-12 דרישות עיקריות ומנחות, ומיועדות לכל מי ששומר, מעבד, מעביר או מקבל נתוני כרטיסי אשראי.
      • תוכלו למצוא את הדרישות כאן.
כמובן, קיימים עוד המון חוקים, הוראות ורגולציות המתייחסות לאבטחת מידע, אך הנ"ל מהווים אבני יסוד בכל הקשור לאבטחת הפרטיות שלנו - נושא חשוב הנוגע לכל אזרח ואזרח.

אחריות החברה או הארגון לאבטחת המידע

Due Diligence – הפעולה לליקוט מידע רלוונטי ע"מ לקבל החלטות באופן הטוב ביותר. לדוגמא, לפני שחברה א' רוכשת את חברה ב' – יש לדאוג כי חברה א' ביצעה פעולות Due Diligence לפני הרכישה, זאת כדי למנוע "הפתעות" בהמשך הדרך. בנוסף, ביצוע פעולות Due Diligence תמנע סיכונים עסקיים ותעניק "ראש שקט" לממונים – כך שהם ביצעו את כל הדרוש לפני ביצוע פעולה שיש עמה סיכון עסקי\אישי כזה או אחר.

Due Care – ביצוע פעולות באופן שקול, אחראי וזהיר. Due Care מבטיחה כי קיימת רמת אבטחה מינימלית ע"פ הנורמות הרווחות בתעשייה. יצירת נהלי אבטחה ושימוש בכלים, תקנים, עזרים ופרוטוקולים למתן רמת אבטחה "סבירה" – הינם דוגמאות נפוצות של Due care .

Statement on Auditing Standards No. 70: Service Organizations - SAS 70 – הינו סט של תקנים לשימוש תהליך הבידוק של בקרות שירות אירגוניות.  בדומה ל-WebTrust אשר משמש לבקרות של מסחר אלקטרוני ו-SysTrust המשמש לבקרות אופרציות אירגוניות.

התרחישים הבאים הם דמיוניים אך ממחישים את מחויבות החברה או הארגון לעמידה בחוק ובתקנים נדרשים, להלן ביצוע Due Care ו-Due Diligence;

תרחיש: הגנה על מידע אישי

נניח כי חברת "חאפר מידע רפואי בע"מ" מחזיקה בנתונים רפואיים ולא מקיימת את הנהלים והפרוצדורות הנוקשות להעברה ולאבטחת המידע של פציינטים. אדם המחליט להתחזות לרופא – מטלפן לאותה חברה ומבקש רישומים רפואיים של פציינט מסוים. אותו פציינט מגיע באותו השבוע לראיון עבודה – ולא מתקבל. הפציינט מגלה כי החברה שרצה לעבוד בה – ביקשה מ-"חאפר מידע רפואי בע"מ" את פרטיו הרפואיים וגילתה כי הוא חולה במחלה כרונית.
אם הפציינט מכיר ומבין בזכויותיו, סביר כי מקרה זה יגיע לבית המשפט. כאשר ואם המקרה יגיע לרשות השופטת – הסוגיות הבאות יעלו:
  • מחויבות משפטית (חוקתית) ואחריות אישית
    • "חאפר מידע רפואי בע"מ" אינה מחזיקה בנהלים, פרוצדורות להגנת המידע האישי של אותו פציינט.
    • לחברה בה רצה הפציינט לעבוד – אין זכות ורשות לבקש מידע שכזה מ-"חאפר מידע רפואי בע"מ", ובוודאי שאין לה הרשות להתבסס על רישומים רפואיים כנגד עובדים פוטנציאלים.
  • אי עמידה או התאמה לתקן הנדרש
    • מידע רגיש ניתן ע"י "חאפר מידע רפואי בע"מ" לאדם לא מורשה.
    • שוב, לחברה בה רצה הפציינט לעבוד אין זכות לבקש מידע שכזה.
  • נוכח הנסיבות – גרימת נזק ועוגמה
    • המידע שניתן ע"י "חאפר מידע רפואי בע"מ" לגורם לא מורשה – הסב מבוכה רבה ויש יגידו עוגמה לפציינט ומנעה ממנו לקבל משרה מסוימת.
    • בראש ובראשונה – החברה בה רצה הפציינט התבססה על מידע שממילא לא הייתה מורשית להשתמש בו. המידע הרפואי שהושג באופן בלתי חוקי – גרמה לפציינט לא לקבל את המשרה בסופו של דבר.
לאחר קרב מתיש בין הצדדים, הפציינט לבסוף זוכה בתביעתו כנגד שתי החברות – ע"פ חוק.
אותו פציינט רוכש אחוזה מפוארת על איזה אי באוקיינוס האטלנטי ואינו צריך לעבוד עוד בחייו :) .

תרחיש: חדירה ופריצה ע"י האקר

חברה פיננסית בשם "צ'יפופו בע"מ" רוכשת כלים והסכמים המאפשרים ללקוחותיה לבצע פעולות בנקאיות באופן מקוון. אותה חברה פיננסית איננה מוסיפה אמצעי הגנה נדרשים לביצוע עסקאות מסוג זה באינטרנט.
לאחר שבוע, כ-42 חשבונות של לקוחות – נפרצו. הנזק מסתכם בכ-750,000 ₪.
ובכן, איפה הבעייתיות פה? ויותר חשוב – על מי האחריות?
גם פה, מקרה זה מגיע לבית המשפט והסוגיות הנ"ל מונחות לידי השופט:
  • מחויבות משפטית (חוקתית) ואחריות אישית
    • חברת "צ'יפופו בע"מ" לא יישמה אמצעי הגנה סבירים לביצוע עסקאות מסוג זה. אמצעי הגנה סבירים בעסקאות מקוונות הם: יישום חומת אש, IDS והצפנה והקשחה של בסיס הנתונים המכיל מידע רגיש אודות לקוחותיה.
    • "צ'יפופו בע"מ" לא הגנה ביעילות על נכסי לקוחותיה.
  • אי עמידה או התאמה לתקן הנדרש
    • חוסר הנכונות של חברת "צ'יפופו בע"מ" להחיל וליישם נהלי ובקרות אבטחת מידע – מפרה את התחייבותה להוראות ולרגולציות שהיא כפופה אליהן בסקטור הפיננסי. בארה"ב למשל – היא מפרה מעל עשר רגולציות פדרליות של הסקטור הפיננסי.
  • נוכח הנסיבות – גרימת נזק ועוגמה
    • החברה הפיננסית נכשלה בביצוע Due Care וביישום דרישות בסיסיות למסחר אלקטרוני – מה שבאופן ישיר גרם ל-42 לקוחותיה לאבד 750,000 ₪.
לאחר מכן, התגלה כי רוב חשבונות הלקוחות נפרצו. חברת "צ'יפופו בע"מ" סבלה מקנסות כבדים וננקטו כנגדה אמצעים חריפים ע"פ החוק.
בסופו של דבר, רוב הלקוחות קיבלו את כספם חזרה וחברת "צ'יפופו בע"מ", שהייתה עד אז חברה פיננסית לכל דבר – מצאה עצמה מחוץ לתעשייה וכעת מוכרת פלאפל להמונים.

חוקי קניין רוחני כחלק מאבטחת מידע

חוקי קניין רוחני אינם בהכרח עוסקים במי צודק או טועה, אלא איך חברה או אדם פרטי יכולים להגן על מה ששלהם בזכות – משימוש או העתקה לא מורשים. קניין רוחני יכול להיות מוגן ע"י חוקים שונים, תלוי לאיזו קטגוריה הוא שייך; זכויות רשומות, כגון פטנטים וסימן רשום, ו-זכויות לא רשומות כגון זכויות יוצרים וסודות מסחריים.

סוד מסחרי (Trade secret) - במסחר, הינו מידע או משאב השייך לחברה ונחוץ לשרידותה ולרווחיה. הדוגמה הידועה הינה סוד המתכון של "קוקה-קולה". חשוב להדגיש כי משאב המוגדר "סוד מסחרי", חייב להיות מוגן ויש לנקוט בכל אמצעי האבטחה הנדרשים ע"מ להגנו. כיום, חברות וארגונים רבים מחתימים את עובדיהם על "הצהרה לשמירת סודיות" – "Non-Disclosure Agreement" או NDA, וזאת כדי למנוע מקרים כמו מקרה AMD-Intel בזמנו: מהנדס שעבד באינטל והחזיק סוד מסחרי בשווי מיליארד דולרים - עבר לחברה מתחרה – AMD. התגלה כי אותו מהנדס נשאר נגיש למידע המסווג ביותר של אינטל ואף עדיין החזיק במחשב הנייד שהחברה ציידה אותו. בעזרת מחשב זה והגישה לאותו מידע, הוריד 13 מסמכים קריטיים לגבי פיתוח המעבד החדש (דאז) של אינטל ומוצריה הנוספים.

זכויות יוצרים (Copyright) - זכויות יוצרים הינה הזכות החוקית (זכות שנוצרת באמצעות החוק של אותה מדינה), המעניקה ליוצר הגנה ושליטה לגבי הפצה לציבור, יצירה מחדש ושימוש לא הוגן של יצירותיו. להבדיל מפטנט, זכויות יוצרים מגנות על אופן הצגת היצירה (או ההמצאה).
תוכנות מחשב יכולות להיות מוגנות תחת זכויות יוצרים כאשר החוק מגן הן על קוד התוכנה והן על התוצר הסופי. אין חובה ליוצר להשתמש בסימן זכויות היוצרים © או אזהרות. בד"כ הענקת זכויות היוצרים ניתנות לתקופה ארוכה של 50 שנים ואף יותר.

סימן רשום (Trademark) - סימן רשום שונה במקצת מזכויות יוצרים בכך שהוא משמש להגן על מילה, שם, סמל, צורה, צבע או שילוב ביניהם –המייצגים חברה ומזוהים עמה בשאר העולם. חברות אינן יכולות לסמן מספרים ושמות נפוצים ולכן סביר שייצרו שמות חדשים (לדוגמא Intel's Pentium). לעומת זאת, שילוב של צבעים שונים יכולים להוות סימן רשום.
"קרב" מעניין בנושא הוא של פול ספט נגד "גוגל", כאשר הנ"ל הקים בשנת 2002 חברה בשם "Android Data" וקיבל אישור לסימן רשום. החברה פשטה רגל וספט חיפש קונים הן לחברה והן לסימן הרשום ,אך ללא הצלחה. כאשר גוגל הכריזה על טלפון חדש בשם Android, ספט מיהר והקים אתר אינטרנט וכלל בתוכו את לוגו החברה הישן בעל הסימן הרשום כדי להראות כי הוא עדיין משתמש באותו סימן רשום. הוא תבע את "גוגל" על "נזקים" בסכום של 94 מיליון דולרים – והפסיד.

פטנט (Patent) - נחשבת להגנה החזקה ביותר בכל הקשור לשמירה על קניין רוחני. פטנט ניתן לחברה או ליחיד ומעניק בעלות בלעדית וחוקית שמונעת מאחרים העתקה ושימוש של המצאה. פטנטים מעניקים הגנה על המצאה למשך 20 שנים מרגע אישור הפטנט. פטנטים משחקים תפקיד מרכזי בתעשיית התרופות, שכן נוסחאות מרכיבות אותן. כנ"ל לגבי אלגוריתמים.
פטנטים הינם דרכים לעידוד ותמריץ לחברות ויחידים כך שאלו ימשיכו במחקרם ועבודתם ובכך יפיקו תועלת לחברה.


לסיכום, כולי תקווה כי בעקבות פוסט זה, רוב חלקי "הפאזל" בין חוק וממשל לבין אבטחת מידע מתחילים ומתחברים אט אט. נושא אינטגרלי ולא פחות מרתק מנושא זה, הוא הנושא של זיהוי פלילי בעבירות המחשב (Cyber forensics) - בו אשתדל לגעת בפוסטים הבאים.
עד אז...