| |
יומן אבטחהבלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות. |
| 8/2008
נתב"ג (שוב), תורת המחירים וילדות קטנות
אז הנה חזרתי מעוד טיסה ושוב בנתב"ג מספקים לי חומר למחשבה (ולבלוג). אלמלא הפתטיות של הדברים שאציג ברשימה זו הייתי צריך לשלוח מכתב תודה לנתב"ג על שהם מספקים לי נושאים לבלוג. אבל תחילה משהו על מחיר אבטחת מידע. רוב הארגונים מניחים כי אבטחת מידע טובה יקרה מאוד ולכן מתפשרים על רמת אבטחה נמוכה יותר, כזו ההולמת את הסיכונים הנתפסים על ידם (בהנחה ומישהו ישב לעשות ניתוח סיכונים בארגון). שתי דוגמאות מנתב"ג מראות כיצד אבטחת מידע גרועה יכולה להיות יקרה, כאשר החלופה הייתה יכולה להיות טובה הרבה יותר וגם זולה יותר.
- כאשר חוזרים מטיסה עוברים בביקורת הדרכונים. בארץ, בניגוד לכל שדה תעופה בו ביקרתי, החליטו לפצל את תהליך ביקורת הדרכונים לשני חלקים: ביקורת הנכנסים ושער הכניסה לאחר ביקורת הדרכונים. ברוב שדות התעופה, לאחר שהבודק סיים את בדיקתו הוא יפתח לך מעין שער קטן באמצעותו תעבור את ביקורת הדרכונים. האחראי לבדיקה ולמעבר לשלב הבא הוא אותו הגורם. בארץ לעומת זאת (אגב, זה כך גם ביציאה) לאחר סיום הבדיקה מקבל הנבדק פתק קטן (שלא לומר עלוב וקל לזיוף) אותו הוא אמור לתת לשוטר שניצב בשער הכניסה מאחורי ביקורת הדרכונים (בלי יכולת לראות מה קורה באיזור ההוא). מאחר וכמות השוטרים קטנה משמעותית מכמות בודקי הדרכונים (עכשיו באוגוסט היו שלושה כאלה וכעשר עמדות בדיקת דרכונים), תמיד יש לחץ באיזור המעבר. ביום שישי האחרון למשל, השוטר אליו פניתי היה כה עסוק שיכולתי לעבור שם שש פעמים בלי שהיה שם לב. המתנתי דקה עד שיחזור לעיסוקיו (אגב, הוא היה עסוק במענה לשאילתות מודיעין של תיירים) ואז נתתי לו את הפתק, עליו לא הסתכל כלל. כמה קשה אם כן להכנס לישראל עם דרכון מזויף? יותר קל ממה שנדמה ובטח יותר ממה שרצוי.
- עד כאן - ניתוח האבטחה. עכשיו לגבי ניתוח העלות - בהנחה ובמהלך השנה יש רק שוטר אחד (ולא שלושה כמו שהיו בשישי), ניתן להניח כי עלות מנגנון האבטחה הזה הוא 21 משמרות שבועיות של שמונה שעות שמבוצעות על ידי 4.5 שוטרים המבצעים כל אחד 5 משמרות שבועיות (לא כולל מפקחים). אלה עולים למדינה כל אחד לפחות 7000 ש"ח בחודש (לדעתי כפול מבחינת עלויות כוללות, בהנתן גם שבתות וחגים, אבל אני מעדיף להדגים את האבסורד עם נתונים מצומצמים). כלומר, פתרון האבטחה הזה עולה כל שנה כמעט ארבע מאות אלף ש"ח. מדי שנה. החלופה - בניית שערונים קטנים לכל בודק דרכונים בעלות של כמה אלפי שקלים לשער (מה שיציב את הפתרון באיזור של עד 150,000 ש"ח הקמה ונניח 30 אחוזי תחזוקה בשנה). וזה בהערכות אופטימיות לעלות הנוכחית ופסימיות לעלות האלטרנטיבית.
- לאחר שחזרתם לארץ והתפלחתם כיוון שבביקורת הדרכונים השוטרים היו עמוסים ובודקי הדרכונים לא משגיחים באמת מי עובר דרכם, החלטתם לקחת מונית. ביציאה משדה התעופה ישאלו אתכם כל מיני אנשים אם תרצו מונית. אלו הם החאפרים - החאפרים אינם באמת חאפרים, הם פשוט בעלי מוניות שלא משלמים לרשות שדות התעופה דמי מונית. בתור המוסדר מתייצבות כל המוניות המשלמות את דמי המונית של הרשות - אלו הנהגים המקוריים. לאחר שתעלו על מונית, אם בחרתם במונית "אורגינל", המונית תעצור בשולי הדרך לפני היציאה משטח שדה התעופה ושם תתעכבו על מנת לתת פתק עם אישור תשלום דמי מונית למפקחת. מה קורה אם נסעתם עם חאפר? הוא לא יעצור ולא יראה ששילם דמי מונית. פתרון האבטחה מתבסס על זה שהמפקחת תאסוף את הפתקים מהמוניות האמיתיות (רוב המוניות) בעוד שהיא רושמת את מספרי המוניות של החאפרים. בפועל, חוץ מלהפריע לנוסעי המוניות ששילמו דמי מונית להגיע למחוז חפצם, המפקחות אינן תורמות להגנה על נכסי הרשות. איך יוכלו אם הן צריכות גם לטפל במוניות שעוצרות וגם לרשום את מספרי המוניות החולפות בכביש מהיר, חשוך עם שלושה נתיבים?
- לאחר שברור למה הפתרון גרוע, בואו ננתח את העלות והחלופה. העלות היא 5 עובדים לאורך כל השנה (פה כבר צריך מפקח) והעלות לעובד היא 5000 ש"ח בחודש (מה שמציב את כולם בשכר מינימום). אני מתעלם מעלויות נגזרות כמו מדים, הסעת העובדים לחור שבו החליטו למקם אותם, תחזוקת המבנה הקטן שבנו להם, סיכונים מקצועיים (דריסה) וכדומה. הפתרון עולה כל שנה כמעט שלוש מאות אלף ש"ח ומספק רמת אבטחה ששואפת לאפס. הלוא בלאו הכי אלו שעומדים בתור משלמים את המיסים גם אם לא ינסו לתפוס אותם. החלופה היא לשים שלוש מצלמות עם תוכנה לזיהוי מספרי לוחות רישוי, מהסוג שמשתמשים בו בכביש 6. כאן אנו מדברים על תוכנה שממש תבדוק מספר רישוי בהצלבה לנתוני משרד התחבורה (מונית רשומה) והוצאת חשבונית תשלום בסוף כל חודש. מנגנון אבטחה אופטימלי שיגדיל את ההכנסות, אך כנראה שעלותו לפחות בשלב הראשוני עולה על לאיזור מאות אלפי השקלים. גם במקרה זה אני מעריך שבטווח זמן הפתרון הזה יהיה יותר כלכלי, כאשר משקלים לא רק את עלויות התחזוקה הנמוכות משמעותית אלא גם את העליה בהכנסות.
עד כאן לגבי כמה אבטחה גרועה עולה. דרך אחרת להסתכל על זה היא שבהרבה כסף ניתן לקנות פתרונות גרועים. זה לא תירוץ לחיפוש פתרונות זולים, אלא הכוונה לניתוח אמיתי וריאלי של פתרונות האבטחה בהם ארגונים בוחרים.
הערה קטנה ואחרונה שקשורה לבטחון אישי של ילדים ופחות לאבטחת מידע (אבל זה הבלוג היחידי שיש לי, אז סליחה אם זה לא הכי מתאים). הייתי ביום שישי בחנות במודיעין (מהרשתות שמוכרות בגדים לכל הגילאים), חיפשנו לבת שלנו בגדים במבצעי סוף העונה. המוכרת האדיבה שלפה לנו שני פריטים - מכנס קצר בגזרה אופנתית שמזכירה לי תמיד בגדים של זונות (כמו המכנסונים שלובשות ג'וליה רוברטס וחברותיה בסרט אישה יפה) ומכנס ארוך שיחס המותן רגל בו מתאים לאנורקטיות (המותן כשל ילדה בת 3, המכנס כשל ילדה בת 5). הורים תמיד חוששים שהילדים שלהם יצפו במסרים אלימים באינטרנט (שומו שמיים) או בטלוויזיה (השטן הנורא). אבל ילדות קטנות (ושלי עוד לא בת 4) יכולות להפנים שאנורקסיה היא דבר רצוי גם מקניית מכנס אופנתי בגיל קטן מאוד. פשוט כי המכנס תמיד יהיה ארוך עליה והדבר היחידה שהיא יכולה לשלוט בו על מנת להתאים למכנס זה לאכול פחות. לחילופין, חולצות מעטפת ומכנסי פופיק לילדות בנות 3 ו-4 משדרות הרבה מסרים מיניים לילדות שאין להן מושג מה זו מיניות. המסרים האלה מתבשלים שם במשך שנים ופורצים החוצה בגיל 8-10 כשהילדות כבר מבינות מה זה להיות נשים קטנות. וכך במקום להיות ילדות עד גיל ההתבגרות הן מתבגרות ומאבדות את הילדות בטרם עת.
אז הלכנו לשילב, שם עדיין מוכרים לבנות 3 בגדים שמיועדים לילדות ולא לנשים קטנות בנות 3.
| |
| כינוי:
גיל: 48
|
בבלוג זה
בכל הבלוגים
