בתשובה לאני, 02/04/12 14:01
גם על הטיטאניק אמרו שהיא לא תטבע. 593440
בנוגע ל-‏2, קשה להסיק משהו מהמקרה של כ.א.ל. כי גם לא ברור עד כמה מדובר במאגר שיש רצון לפרוץ אליו ביחס למאגר הביומטרי, וגם לא ברור אם באמת היו נסיונות שכשלו ומה הסיבות לכך. זה מבחן מאוד נסיבתי.

מבחן יותר מעניין יהיה תקופת פיילוט של "מאגר" מזוייף שמובטח פרס כספי מכובד למי שמצליח לפרוץ אליו. המבחן כמובן רחוק מלומר משהו על בטיחות המאגר (שהסיכון האמיתי לו הוא לא גורם חיצוני א-לה "סניקרס" אלא עובדים מבפנים ונהלי אבטחה שהופכים לרשלניים עם הזמן) אבל זו התחלה. לא רק שלא עושים דבר כזה, אלא באופן כללי אין שום נסיון להעמיד את המאגר בשום סוג של מבחן, ופרטי המאגר נותרים חסויים מהציבור (מטעמי אבטחה, כמובן).

(הערת הסוגריים האחרונה שלך גם שגויה וגם לא לעניין).
גם על הטיטאניק אמרו שהיא לא תטבע. 593441
ראשית בעניין הסוגריים, ההערה כוונה ספציפית למגיב הזה, ששאל שאלות המראות בבירור שלא קרא את הכתבה המקושרת, ולכן ההערות שלו לא היו לעניין. התוצאה של זה היתה שהמגיב הכניס לפי מנהלי\תומכי המאגר דברים שהם לא אמרו, והתעלם מדברים שהם אמרו, זה היה קצת מכוער. בקריאה מחדש ראיתי שהניסוח שלי היה לקוי וכיוון אל כל המתנגדים שאותם אני לא מכיר, ואני מתנצל על ההכללה שאכן לא היתה במקום.

אני משער שבתור קצין אבטחת מידע בכמה מקומות, הוא יכול למצוא עוד מאגרים שנשארו מאובטחים, לדוגמא מאגרים בשב"כ שלפי הכתבה הוא היה אמון עליה, אבל זה כבר לא מוזכר בכתבה. הסיכון האמיתי של עובדים מבפנים נשמע לי נכון, אך קיים להבנתי בכל מאגר גם בזה של כ.א.ל. אני מסכים שבתור נקודת בוחן יחידה זה לא אומר הרבה, ואין בכתבה מידע על מאגרים אחרים ואבטחתם. עם זאת ההערה שלך בעניין חשיבות המאגר לא נכונה. המידע על הטרנזקציות של ויזה כ.א.ל שווה המון כסף, מאגרים כאלו מוכרים בפועל ברווחים גדולים, הוא שימושי לגופי בילוש וכו'. יש מוטיבציה גדולה לגורמים פליליים לגנוב אותו. אני לא מבין למה אתה טוען ש"אין רצון לפרוץ אליו".

שוב מתנצל על ההערה המכלילה.
גם על הטיטאניק אמרו שהיא לא תטבע. 593464
רוצים לפרוץ למאגר, לכל מאגר רוצים לפרוץ כי ידע הוא כוח. השאלה היא מה רמת האיומים על המאגר ולמי זה משתלם. אני מנחש שרוב הסיכון מגיע מצד אנשים ש''רק'' רוצים מידע כרטיסי אשראי, ולהם יש דרכים קלות יותר להשיג את המידע הזה.

מכל מקום, הסכנות שנשקפות למאגר הביומטרי, בהנחה שהוא לא יחובר לאינטרנט, הן מסוג שונה מזה של האקרים אינטרנטיים ממילא. כאמור, הדבר העיקרי שאני חושש ממנו הוא שינויים באבטחת המידע שיוכתבו מגבוה על פי גחמות של פוליטיקאים טיפשים.
גם על הטיטאניק אמרו שהיא לא תטבע. 593469
הסכנה בפריצה למאגר כ.א.ל היא מצד גורמים פליליים שרוצים הרבה כסף. אתה מניח משום מה שהדרך היחידה להשיג כסף מהמידע של כ.א.ל היא שימוש לא חוקי במספרים של כרטיסי אשראי, ולא היא. אפשר להשיג הרבה יותר כסף מעצם מכירת המאגר של הטרנזקציות, אפילו, שים לב, אם אין לך את מספרי הכרטיסים עצמם. כל שכן אם יש לך גם וגם. הרווח לגנב עצום עשרות מונים מרווח מפוקפק של ''פריצה'' לחנויות וגניבת כרטיסי אשראי שם. הגורם הפלילי פשוט ימכור את המאגר עצמו.

אני מסכים עם מה שאמרת בשורה התחתונה, הסכנות שונות, והאיומים שונים. אין לי כלים למדוד ולדעת עד כמה זה מסוכן.

האבחנה היחידה שאני רוצה להצביע עליה היא, שהחשש שלך רלוונטי בעצם לכל מאגר מידע ממשלתי. אין לי כלים לומר אם החשש נכון או לא, אבל מה שאני לא אוהב בו באופן עקרוני שהוא מן ג'וקר כזה שאפשר להניף כל פעם שהמדינה רוצה לארגן משהו. המדינה תחלק תעודות זהות ''גחמות של פוליטיקאים יגרמו לזיופים רחבי היקף וקריסה של המודיעין'', המדינה רוצה לפתח פצצת אטום ''גחמות של פוליטיקאים יחסלו את האבטחה ויתנו בפועל את הטכנולוגיה לחיזבאללה על מגש של כסף'', המדינה רוצה לחלק מזון לנזקקים על פי קריטריונים ''גחמות של פוליטיקאים יגרמו לחלוקת המזון למקורבים, העניים לא יראו מזה כלום''. קשה להתמודד עם טענה כזו. ברור שהיו חוקים שגחמות של פוליטיקאים לא מסמסו, והאבטחה נשארה, וכנראה שהיו כאלה שהממשלה מסמסה את אבטחתם (אשמח לדוגמאות), אבל קשה לי להשתכנע שהמקרה שלנו דומה דווקא למקרים בהם האבטחה יתמסמסה.
גם על הטיטאניק אמרו שהיא לא תטבע. 593471
דוגמא? בבקשה. חוק רישוי כלי יריה‏1 קובע (בגדול) שרשיון נשיאת הנשק של מאבטחים יהיה רק לזמן המשמרת שלהם והם יצטרכו להפקיד אותו ולא לשאת אותו עליהם מחוץ לשעות העבודה. מאוחר יותר יצאה הנחיה מטעם המשרד הממשלתי הרלוונטי שחברות האבטחה יכולות לאשר למאבטחים לקחת איתם הנשק.
הסיבות לחוק המקורי - למנוע מכלי נשק להסתובב איפה שלא צריך ולצמצם את מספר תקריות הירי שמעורבים בהם אקדחי מאבטחים. הסיבות להנחיה - התחשבות ב"קשיים לוגיסטים"‏2 של חברות האבטחה.
אני לא רואה סיבה בגללה מאגר מידע ישמר בצורה קפדנית יותר ולא יזכה להקלות בהמשך בדומה לחוקים אחרים שעיגלו בהם פינות והחריגו אותם.

1 שהזכרתי אותו בדיון אחר לא מזמן.
2 כסף.
גם על הטיטאניק אמרו שהיא לא תטבע. 593472
דוגמא טובה.

עכשיו, את יכולה לתת לי דוגמא של חוק בענייני אבטחה שהממשלה לא מסמסה?
גם על הטיטאניק אמרו שהיא לא תטבע. 593473
לא מכירה.‏1

1 זה לא אומר שאין, כמובן. באופן טבעי אני מכירה רק שבריר אחוז מזערי מההנחיות, הכללים והתקנות שמוציאה הממשלה לאחר חקיקת חוקים. גם לעניין עם האקדחים נחשפתי במקרה.
גם על הטיטאניק אמרו שהיא לא תטבע. 593480
בוודאי שהחשש שלי רלוונטי לכל מאגר מידע ממשלתי, ובדיוק בגלל זה אני מעדיף שהממשלה תחזיק כמה שפחות מאגרים עלינו, בוודאי כאלו שבהם מידע שזולג החוצה גורם לנזק בלתי הפיך (אין דרך שפויה לשנות טביעת אצבע...).

במקרה הספציפי הנוכחי, האופן שבו התנהל כל הליך החקיקה של החוק הנוגע למאגר (בפרט, ההתנהלות של ועדת הכנסת שדנה בו) אכן מעלה בי את החשש שגחמות של פוליטיקאים יכתיבו את המבנה שלו ובסופו של דבר יגרמו לנזק עצום. אני מודה שלראות איך זה הלך במקרה הזה מעלה בי חששות כבדים גם לגבי התנהלות המדינה בסיטואציות אחרות.
גם על הטיטאניק אמרו שהיא לא תטבע. 593483
אבל תסכים איתי שיש מאגרי מידע רגישים שאתה מסכים שהממשלה תחזיק (למשל, תיק מס הכנסה לכל אזרח, שגם הוא רגיש מאד). אז איך אתה מחליט על מה לוותר ועל מה לא? על הכל אפשר לוותר, למשל בארה"ב אין תעודת זהות חובה. איך תחליט מה כן ומה לא? לא עדיף במקום לתקוף מאגר מידע חדש, לבקש שתהיה חקיקה להגברת האבטחה סביב המאגרים הקיימים והבעייתיים?

הבעיה היא, שהחשש שלך לא רלוונטי רק לכל מאגר מידע, הוא רלוונטי לכל סוג של אבטחה. נראה לי שיותר מטריד זליגה של נשק אטומי, מאשר זליגה של טביעות אצבעות. ואני לא חושב שאתה טוען שיש להפסיק פיתוח של נשקים שזליגת מידע על ייצורם יכול לעלות ביוקר.

אבל עכשיו אתה אומר משהו אחר. יש לך השגה ספציפית על המאגר, בגלל אופן ההתנהלות של הצעת החוק. אני לא מכיר את הנושא, ושווה לשאול כתב פוליטי אם זו אכן דרך שונה מהותית מהתנהלות ועדות אחרות (הייתי בועדה של הכנסת בנושא שולי, ההתנהלות שם מפתיעה אם אתה שם בפעם הראשונה).
גם על הטיטאניק אמרו שהיא לא תטבע. 593484
אתה צודק, זו שאלה מאוד קשה להחליט על מה לוותר ועל מה לא. לכן בינתיים אני מסתפק בלדבר על מקרה אחד: על המאגר הביומטרי יש לוותר.

(אני לא חושב שזו דרך שונה מהותית מהתנהגות ועדות אחרות, מה שהופך את העניין לעוד יותר מטריד).
גם על הטיטאניק אמרו שהיא לא תטבע. 593485
מרדכי רצה לוותר על פצצת האטום, מומו על מאגר המידע של בעלי חשבון מוגבל, גבי על מאגר המידע של העבר בשירותך הצבאי, וציפי על מאגרי המידע של הביטוח הלאומי, גדי רוצה לוותר על המאגר הביומטרי.

אז על מה נוותר?
גם על הטיטאניק אמרו שהיא לא תטבע. 593486
על המאגר הביומטרי.
גם על הטיטאניק אמרו שהיא לא תטבע. 593487
תודה, הבנתי את לב הטענה שלך, ואני מצטער אם גרמתי לך אי נוחות.
גם על הטיטאניק אמרו שהיא לא תטבע. 593659
"אפשר להשיג הרבה יותר כסף מעצם מכירת המאגר של הטרנזקציות"
אתה יכול לפרט? מה השוק של זה?

חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים