לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


9/2007

מישהו עוקב אחריך, אולי גם אחרי


טוב, אז אתמול הייתה התוכנית הראשונה בסדרת התחקירים של דנה וייס בנושא [כאן אמור לבוא הנושא, אך לא ממש ברור מהו הנושא של סדרת התחקירים]. למוד ניסיון מתוכניתו האומללה של דני קושמרו, אני חייב לציין שהתוכנית של דנה וייס הייתה הרבה יותר טובה, כיסתה מגוון של נושאים, אך עדיין הייתה מבולבלת.

 

בתוכנית נדונו מספר נושאים כאילו הם נושא אחד. הנושא הראשי של התוכנית אמור להיות פרטיות, אלא שהתוכנית לא מצליחה (או לא מנסה) להפריד בין שינויי חקיקה של השנים האחרונות (כדוגמת חוק נתוני אשראי) לשינויים טכנולוגיים (כדוגמת שימוש מוגבר ב-RFID), שינויים בדפוסי פשיעה וסוגיות כלליות של פרטיות והגנת הפרטיות (וצריך להפריד בין השניים).

 

בתחילת התוכנית (ואף במהלכה) ראיינה דנה וייס את מנכ"ל דן-אנד-ברדסטריט שסיפר לה איך הוא בולש אחרי עסקים. אחת הטעויות בתוכנית היא ההנחה שעסקים נהנים מהגנת חוק הגנת הפרטיות. מעקב אחר עסקים לבחינת מצבם הכספי היה קיים תמיד ובמקרים מסוימים מחויב על פי חוק. לדוגמא, חברה שנסחרת בבורסה חייבת לדווח על נתונים כספיים כאלה ואחרים. אלא שדן-אנד-ברדסטריט עושים עוד משהו וזה בדיקת מצב האשראי של אנשים פרטיים. צריך להפריד בין השניים כיוון שאנשים זכאים לפרטיות ועסקים לא. המעקב שהם עושים אחר אנשים פרטיים מעוגן בחוק. ניתן לאהוב זאת וניתן שלא, אך מקורות המידע שלהם מוגדרים, אופי הפעילות שלהם עם המידע מוגדר וגם רמת אבטחת המידע מוכתבת להם (לא בדיוק סיבה לנחמה, אך ניחא). האבסורד היה שמאחר ועל פי חוק נתוני אשראי ניתן לאסוף מידע שלילי בלבד (אי עמידה בתשלום חובות) ורק אם זה קיים לאסוף מידע חיובי (הלוואות)* וכנראה שלדנה וייס אין חובות למרואיין לא היה מידע לתת לה על עצמה. אלא שמכיוון שהוא איש רהוט הוא לא אמר לה אני לא יודע עלייך כלום, אלא אמר לה - אני רואה שאין לך חובות לא משולמים כאלה וגם לא חובות לא משולמים אחרים. היא בתגובה אמרה לו שהוא יודע עליה יותר מדי. בפועל - הוא לא יודע עליה כלום. קובץ החשבונות המוגבלים בישראל נמצא באתר בנק ישראל - אם אני לא מוצא של מישהו שם זה אומר שאני יודע עליו משהו?

 

לאורך כל התוכנית דנה וייס עסקה ובצדק בנטייה שלנו לוותר על הפרטיות שלנו. זו נקודה חשובה שלטעמי לא נבנתה בצורה טובה. דנה וייס לא הצליחה להגיע לכדי אמירה משמעותית על ההשלכות החברתיות של אובדן הפרטיות, למרות עיסוק רב בנושא. הייתי מצפה למצוא קצת יותר נתונים על היקף החברויות במועדוני לקוחות, כיצד זה משפיע על הצריכה הפרטית וכדומה. הנתון היחידי שהוצג הוא שבעלי כרטיס מועדון קונים יותר. אלא שזה נתון סטטי ולא סיבה ומסובב - הלא אם אני קונה הרבה בסופר מסוים (כי הוא קרוב לבית, נוח לי וכדומה) אך הגיוני שאיהפך לחבר מועדון. לו הנתון היה גידול בהוצאות של חברי מועדון ביחס לתקופה בה לא היו חברים היה פה נתון מעניין, אך זה לא המצב. גם כך, העיסוק במועדוני לקוחות צריך להתמקד בסוגיות של העברת נתוני לקוחות לגורמים שלישיים, אופן אבטחת המידע וכדומה. העיסוק של התוכנית במועדוני לקוחות היה שטחי ונגע רק בסוגיית ניתוח פעילות הקונים.

 

העיסוק ב-RFID היה חשוב, אך נטה (שוב?) לעסוק בתפל. האם הלקוחות יודעים שיש RFID או לא? דווקא הנקודה של שימוש לרעה במידע על ידי גורמים שלישיים עלה בצורה מעניינת, אך לא התפתח לשום מקום (ניתנה הדוגמא של חברת ביטוח שמייקרת פרמית ביטוח חיים אם היא מגלה שאדם רוכש מוצרים רוויי כולסטרול). זו סוגיה מעניינת - האם זה אכן קורה? האם זה חוקי? האם וכיצד ניתן למנוע זאת?

 

לאורך התוכנית נעשה שימוש במושג של גניבת זהות בהקשרים שונים. כתבתי בעבר על הנושא כאן. ואני חושב שחשוב להבדיל בין אירועים שונים של התחזות. העובדה שניתן לגנוב למישהו את הבית מתחת לרגליים (תרתי משמע) על ידי זיוף מסמכים היא בעיה אמיתית, אך היא לא בהכרח בעיה של פרטיות. זהו כשל בירוקרטי פתיר שכנראה לא מעניין אף אחד (וגם דנה וייס השתמשה בו רק כדי להוכיח בעיה מסוימת ולא כדי לבחון מה מקורות הבעיה). בארצות הברית הנושא של גניבת זהות בעייתי במיוחד ואני חושב שהיה מקום לדון בסוגיות המהותיות של גניבת זהות

 

הנושא האחרון שבו אני רוצה לדון הוא מעשי כשפים, וודו וקסמים אחרים. בתוכנית רואיין האקר שטוען שפרץ לבנק בישראל. מאוד יכול להיות שזה המקרה, אך ללא ראיון של מנהלי אבטחת המידע בבנק וללא תיאור מפורט של המקרה אלו נתונים חסרי משמעות. הבנקים הם שק חבטות כשרוצים להציג סיכוני אבטחה, למרות שמכל הגופים בארץ הם כנראה עם רמת האבטחה הגבוהה ביותר. כך גם לגבי החבר'ה משיא סקיוריטי - אני לא מטיל ספק ביכולתו של איש מהמרואיינים, אלא שעל מנת שהציבור יוכל להבין מול מה הוא מתמודד לא מספיק להגיד שאפשר, צריך להסביר גם איך.

 

סך הכל הייתה תוכנית מעניינת. אני מאוד מקווה שתוכניות ההמשך יקחו את הנושאים שהועלו ויעמיקו לחקור בהם ושהחלק הזה הוא רק הפתיח.

 

 

*בהסתייגות אחת - אדם יכול לאשר שיאספו עליו מידע חיובי גם אם אין עליו מידע שלילי, אך זו בחירתו
נכתב על ידי , 18/9/2007 09:04   בקטגוריות פרטיות  
11 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 50




65,379
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2025 © עמותת ישראבלוג (ע"ר)