נכחתי בהרצאת ראש הרשות לטכנולוגיות מידע והגנת הפרטיות ובפאנל מומחים (אליו נכנסתי באמצע). אלה המחשבות שלי בעקבות האירוע.
כשקמה הרשות ההמשפטית לטכנולוגיות מידע והגנת הפרטיות כתבתי פה שהחשש המרכזי הוא שהרשות לא תדע לאזן בין תפקידיה כמגינת הציבור לתפקידה כיועץ משפטי טכנולוגי למשרדי הממשלה. אני חשבתי שזה יהיה מוגבל להגנת הפרטיות, אך מסתבר שטעיתי. כשראש הרשות הציג את תחומי הפעילות של הרשות, הוא דיבר על כך שהטיפול בחתימה אלקטרונית נועד לאפשר את קיום ממשל זמין. לאור אמירה זו ברור לי הזעם על השינויים שיוזמת הרשות בחוק חתימה אלקטרונית להפיכת המדינה לגורם מאשר. התכלית של חוק חתימה אלקטרונית אינו לאפשר למדינה לקיים את פרויקט ממשל זמין, אלא לקדם מסחר אלקטרוני שהמדינה היא חלק ממנו ושבמקרה יש גם איזה גוף (משרד האוצר) שרוצה להפעיל פרויקטים שזקוקים לחוק זה. אם הרשות תופסת את תפקידה כמקדמת חקיקת חתימה אלקטרונית על מנת לסייע לממשל לפעול, היא לוקה בעיוורון. זה בסדר שהמדינה תהיה גורם מאשר מתוקף תפקידה כאחראית על מרשם האוכלוסין ולטובת תעודות זהות חכמות כאמצעי זיהוי בלבד. עבור כל שימוש מסחרי אחר הכולל חתימה אלקטרונית, כולל ממשל זמין, המדינה צריכה להסתמך על רשמים בלתי תלויים ונטולי פניות.
זה היה נושא אחד. הנושא השני, בו עסק הפאנל וגם ההרצאה של ראש הרשות, הוא נושא הפרטיות. זה טוב שנושא הפרטיות עולה לסדר היום, אך אני חושב שכלל הגורמים הנוגעים בדבר כלואים בכשלים של חוק הגנת הפרטיות. חוק הגנת הפרטיות מתייחס למאגרי מידע וכפועל יוצא קיימת לכאורה זהות בין מאגר מידע לפרטיות. אלא שמאגר מידע הוא דבר אחד ופרטיות היא דבר אחר ורבים הגורמים העוסקים בתחום שנוטים להתייחס להגנת הפרטיות כאל הגנה על מאגרי מידע. נראה שהרשות אינה מצליחה לדלג מעל משוכה זו וכתוצאה היא מתמקדת סביב שיפור הטיפול במאגרי מידע, תוך התעלמות מהעובדה שהפרטיות בעידן האינטרנט תופסת מושג שונה לחלוטין ממה שהיה כשחוק הגנת הפרטיות נחקק לפני 26 שנים. באופן כללי, בזמן האחרון אני מתחיל לחשוב שאנו צריכים לחשוב מחדש על פרטיות, אבל זה בהחלט נושא לרשימה נפרדת. ברור לי מדוע מנהלי אבטחת מידע מתייחסים לפרטיות דרך המשקפיים של מאגרי המידע. אין להם שום אינטרס לפעול אחרת, בייחוד לאור העובדה שכך בוחן זאת הרגולטור.
מעבר לכך לא נרשמו חוויות מסעירות בכנס. היה נחמד לראות את כל החברות המציגות, קצת להתעדכן במוצרים חדשים, לפגוש לקוחות ולקוחות פוטנציאליים ולשמוע את הזימזומית החדשה - security 2.0 (למען הגילוי הנאות, אני השתמשתי בביטוי כאן לפני כמעט שנה, אך בלי כוונות זדון). תוהים מה זה security 2.0? זה כשה-security governance (?!) מתחבר לצד העסקי. לפני עשור המפקד שלי בצבא הסביר לי שבלי להבין את המודיעין לא ניתן לעשות אבטחה. ככה זה כשלא מבינים את ה-business. כנראה ש-security 2.0 זה להבין היום את מה שהיה נכון אתמול. מישהו כבר מוכן לעקור את ה-2.0 הזה מכל חור?
עוד נקודה שהועלתה על ידי אחד ממנהלי אבטחת המידע בפאנל ובהחלט שווה ציון היא המחסור באנשי מקצוע. משהו שהתייחסתי אליו כאן בבלוג אך הוא עדיין סוגיה מטרידה ולא נראה שזה הולך להיעלם. אותו מנהל התייחס באופן ספציפי ל"חבר'ה הצעירים" ואני חייב להסכים. יש יותר מדי חבר'ה צעירים בתחום עם תחושת אנחנו יודעים הכל. יש מעט מדי מסגרות לימוד וגם אלו שיש לא מספיק מעמיקות (למעט הקורס בו אני מרצה, אך הוא פונה למנהלים ומלכתחילה מגיעים אליו בעיקר מנהלים וותיקים). התוצאה היא רמת ידע נמוכה מדי שמתמקדת בהיבטים נקודתיים של אבטחת מידע עם מעט מדי ראיה תהליכית משמעותית.
בבלוג זה
בכל הבלוגים
