בתשובה לצפריר כהן, 15/05/17 23:31
I have seen the future 692592
נמר מלוא החופן • בתשובה לצפריר כהן יום ג', 16/5/2017, 16:17
ב. אפשר להעמיד את אותה טענה לגבי רגולטור שקבע תקנות ונהלים לגבי טיב הרכב הדלק הרפואה והמזון וכו'. קיומו רגולטור נדרש בדיוק במקרים כאלה, -כשמדובר בסכנה לציבור הרחב.
אם היצרנים היו נדרשים לסטנדרטים, בוודאי שהציבור הרחב היה משלם- המחיר היה יורד בהתאמה ולא היו אלטרנטיבות. הרי הציבור משלם עבור שירותי בדיקה ותקינות בלי להתווכח.

ב1. אתה מתייחס לאובדן נתונים והתכוונתי לנזק שבדליפת מאגר. שני המקרים מסבירים מדוע קיימת רגולציה לניהול מאגר מידע. אני לא רואה את ההבדל העקרוני בין פריצה למאגר מידע בשרתים ליכולת לאגור מידע בפריצה למיליוני תחנות. הרי המטרה להגן על המידע.

2. שנת הייצור כנתון בעלילות התאגידים מתגמד מול גודל הנזק והאחריות. הרגולציה לטעמי אמורה לקבוע פרמטרים שונים לתמיכה במערכת הפעלה ו\או תוכנה כשביניהם תפוצת המערכת ומימדי הנזק הפוטנציאלי.
אם תאגיד פיתח רכב נפוץ שמתפוצץ לאחר 500,000 ק"מ או 50 שנה ואם תאגיד אחר שיווק תוכנה לניהול כורים גרעיניים שמפסיקה לפעול לאחר עשור שניהם יתבעו וישלמו לרשויות על הנזקים הציבוריים.

אבל כשמדובר בתאגידי התוכנה הציבוריים...נאדה. תאגידי התוכנה והרשתות החברתיות זוכים לחסינות ארוכת שנים מכתבים בערוצי התקשורת הראשיים (שמייחלים לפירורי מידע מהדוברות.)
כפי שאנחנו רואים, אף גוף אחר לא מסוגל לעורר מודעות ולדרבן את הציבור לדרוש שקיפות ופרטיות. זה תפקידם ככלבי השמירה של הציבור בדמוקרטיה. מי שבקיא בכל מקרה לא ניזון מכתבי מיינסטרים ויודע כיצד להגן על המידע.
I have seen the future 692601
צפריר כהן  (אתר) • בתשובה לנמר מלוא החופן יום ג', 16/5/2017, 22:12
ב. לטענת שנייר זה לא קורה. והמצב נמשך כבר כמה שנים טובות. לכן יש כאן כשל שוק. לשם ההשוואה, חברות האשראי אוכפות תקני אבטחה על אתרים לשם שימוש בשרותי תשלומים (Payment Card Industry Data Security Standard [Wikipedia]).

ב1. אתה מדבר על משהו שונה. מה שקרה כאן לא היה בעייה של שיתוק מאגרי מידע אלא שיתוק של כל מיני מערכות. זה שהמידע עדיין זמין, לא אומר שלא מתבזבז זמן רב בהשמשת המערכות. ובחלק מהמקרים לא כל המידע זמין.

ב2. אפשר לפתח מהר, בטוח וזול. אבל לא את כל שלושתם ביחד. אם אתה רוצה לשלם על התוכנה במחשב שלך מחיר דומה לזה שאתה משלם על מכונית, תוכל לדרוש דרישות איכות קפדניות בהרבה. אני מבטיח לך שיהיה מי שיספק לך את התמורה לכספך.

ושוב, פרטיות היא עניין שונה. רוב בעיות הפרטיות של פייסבוק אינן בגלל חורי אבטחה. הם בגלל שהתוכנה עושה את מה שהיא אמורה לעשות. פייסבוק מטפלת לא רע בחורי אבטחה, למיטב זכרוני.
I have seen the future 692602
אריק • בתשובה לצפריר כהן יום ג', 16/5/2017, 22:58
בחזרה לתסריט של הפלמוני שהתחיל את השרשור ובהמשך לדיון 3772
האם ניתן באמצעות רגולציה ליצור תוכנות/פרוטוקולים מספיק אמינים על מנת שלא תושבת יום אחד התנועה בטורינו כולה עד תשלום כופר?
I have seen the future 692605
צפריר כהן  (אתר) • בתשובה לאריק יום ד', 17/5/2017, 0:43
פארטצ'יות יש בכל מקום. אבל בהחלט אפשר לצפות ממי שתכנן את מערכת בקרת התנועה בטורינו שלא יהיו בה כשלים כאלו. כאשר מזמינים מערכת בסדר גודל כזה, מקבלים עבורה חוזה שירות עם התחייבויות שונות. בין השאר אפשר לדרוש התחייבות ל־downtime מינימלי (כלומר: אם המערכת לא תתפקד מעבר ל־x שעות בשנה, ספק חוזה השירות יתחיל לשלם ביוקר). במקרה הזה אני לא חושב שנדרשת רגולציה. לא זה המקרה שעליו דיבר שנייר.

דרך אגב, גם עבור מכוניות הבעיות שונות מאוד מהבעיות עם נתבים. זמן הפיתוח של תוכנת מכונית ארוך יותר, ויש יותר כסף לשלם עליו. סביר גם להניח שהלקוח משלם יותר ומצפה לקבל יותר.
I have seen the future 692680
נמר עתידות • בתשובה לצפריר כהן יום ה', 18/5/2017, 19:28
ב. דווקא התקינה של חברות האשראי מלמדת 1- שהרגולטור נדרש 2- ויש לו את הכוח לשנות את השוק. אין כיום (כמעט) אתרים שמחזיקים כ.אשראי ומאגרי מידע של לקוחות, בניגוד לעבר.
ב2. התפוצה היא התשובה והשאלה. חלונות היא מערכת הפעלה שמכרה זיליון רשיונות. השיקול ליצירת מערכת עמידה ובטוחה בהיקפי ענק שכאלה לא קשור לתהליך התמחור אלא לאסטרטגיה שיווקית. במילים אחרות, מדיניות החברה היא לחפף עם הבטיחות במקום לוותר על פיתוח 20 משחקים, ממשק מגניב ותוכנות עזר שההדיוט לא משתמש בהם.

פרטיות לא שונה בהקשר הזה כי מדובר באסטרטגיה מקוונת (חה*) מצד התאגידים. אפשר לתכנן מערכת שמזלזלת בזכות לפרטיות ולבנות מערכת שמעוצבת להגן על נתונים. ב
התאגידים מייצרים מערכת שאוגרת נתונים ללא הפסקה וכביכול מאפשרת למשתמש לקנפג כאוות נפשו את רמת הפרטיות. בפועל רק קומץ זהיר מהמשתמשים יודע מאין הדליפה, לאן פניה וכיצד לאטום.

שוב, לא מבין איך מה שגוגל אוספת תחת חשבון אחד מהמובייל וה- PC לא מבעית את אנשי ה IT שבאייל.
שימוש באפליקציות, החיפושים, הכתובות הפיסיות, האתרים באינטרנט, הנסיעות, מקום העבודה, כתובת הבית, התכתובות במייל- הכל נשמר. נכון, התאגיד הכריז על שקיפות. so what. רוצה לשנות? תפדל.
כנס קרא כאן כאן וכאן וכאן וכאן וכאן וכאן וכאן ותוכל להגדיר. עבורנו זה פשוט.
להורים שלנו ולרוב מוחלט של המשתמשים המשימה בלתי אפשרית.

התאגידים אוספים מידע, משנים מדיניות, מחדשים מונחים והגדרות לעיתים מבלי ליידע את המשתמשים. המערכות תוכננו למען מטרות אחרות, לא למען שמירה על פרטיות.
אין אף כתב בתחום לא יעלוץ מחשיפת חייו המקוונים בפני זרים אבל כשמדובר בגוגל הם שותקים ככבשים או פועים ככלבים, מה שתבחר.
I have seen the future 692684
צפריר כהן  (אתר) • בתשובה לנמר עתידות יום ו', 19/5/2017, 9:34
אפשר לדבר על עניין הפרטיות. אבל דיברנו על זה כבר בעבר. הדיון כעת הוא על חורי האבטחה. אחד הדברים החשובים בדיון מושכל בענייני אבטחה הוא הבנה של מודל האיומים. אפשר לגבש פתרונות לבעיות אם יודעים מהן הבעיות. כמו שציינתי למעלה, הבעיה העיקרית עם פרטיות כיום לא קשורה לחורי אבטחה.
I have seen the future 692712
נמר בפיג'מת חברבורות  (אתר) • בתשובה לצפריר כהן שבת, 20/5/2017, 2:24
עזוב פרטיות, זה דיון שעוסק בחורי אבטחה.
הסיבה שהם קייימים מתגלים או נוצרים היא שיקולים מסחריים ואסטרטגיה תאגידית.
תאגידי האשראי בדוגמא שהבאת התמהמהו עם התקינה במשך יותר מעשור כשהיה ברור לכל מי שעוסק בתחום שמדובר במחדל.
כרגולטור דה פקטו של התחום הם פישלו בגדול ועסקים שעסקו בסליקה שילמו ביוקר. גם עלויות נפלו על הסוחרים מבלי תאגידי האשראי הקשיחו שרת אחד.
למה?
כי לתאגידי האשראי לא באמת אכפת להם מאבטחת מידע ולא מהסוחרים. בראיה תאגידית קרה ומנוכרת הם בעמדה הנוחה ביותר. אין תחרות ואין לאף אחד ברירה.
תאגידים רקובים.
I have seen the future 692716
צפריר כהן  (אתר) • בתשובה לנמר בפיג'מת חברבורות שבת, 20/5/2017, 7:28
אני לא מבין אותך. התקינה של חברות האשראי יעילה (ההודעה הקודמת שלך) או לא יעילה (ההודעה הנוכחית)?
I have seen the future 692745
נמר בפיג'מת חברבורות  (אתר) • בתשובה לצפריר כהן יום ב', 22/5/2017, 0:54
כתבתי בצורה ברורה: קיומו רגולטור נדרש בדיוק במקרים כאלה, -כשמדובר בסכנה לציבור הרחב.

התקינה בכ.אשראי יעילה, בטח לעומת הג'ונגל שבעידן הקודם. אבל ההתנהלות מלמדת שלא מאהבת האבטחה, הפרטיות, הראוי והמוסרי פועל התאגיד- אלא מאילוצים ושיקולים כלכליים.
אפשר לייצר מכוניות אניות חלליות ומטוסים בטוחים בהרבה וגם תוכנות ומערכות הפעלה אבל זה לא מעניין את מקבלי ההחלטות. כלל לא אכפת להם.
כל עוד לא מדובר בנזק שמשפיע על התאגיד (פחות רווחים) חור אבטחה אינו שיקול. הרווחים ייפגעו אם וכאשר ציבור יבין עד כמה התאגידים רעים ומזלזלים בתפקידם הציבורי.

הציבור מתקשה להבין כל עוד העיתונאים שותקים.
וכך בגלל הכשל האינפורמטיבי ערכי מהותי הגענו למצב של חורי אבטחה, דליפת פרטיות ורכב פרטי שמגיע למהירות שבה אינו מסוגל להגן על אחרים ולא על הנוסעים.

עלויות הייצור הם לא השיקול העיקרי אלא הרווחים. לא אתה אבל נניח השכן שלך? הוא יקנה רכב אם הוא יעלה פי 3 וגם פי 4 כי הוא צריך וכנ"ל לגבי מערכת הפעלה, נורה, נייר טואלט ובית.
אנשים משלמים על חתונה 100-300K כי הרגילו אותם שאי אפשר להתחתן עם בורקס ופטל אז לשלם על תחנת עבודה אמינה ובטוחה שבה אתה משתמש כל יום 25,000- וכפרט כשאין אלטרנטיבות?
ברור. בלי למצמץ.
חזרה לעמוד הראשי המאמר המלא
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים
האייל הקורא RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש © כל הזכויות שמורות