אצבע קלה על המקלדת

פורסם בתאריך : 05.01.2010 // משפטים // תגובה אחת»

בעולם המודרני של היום, ראוי שהמשפט "אצבע קלה על ההדק" יומר ב-"אצבע קלה על המקש" (אף היה מי שבממר"ם הגדיר את החיילים כ"לוחמים עם מקלדת בין השיניים"). גורל שבעבר היה נחרץ כאשר האוחז בנשק היה ממעיט בערך שיקול הדעת ולוחץ בקלות יתרה על הדק אקדחו – היום נחרץ כאשר האוחז במקלדת ממעיט בערך שיקול הדעת ולוחץ על מקש ה"שליחה". זה קורה לכולנו בהרבה ובמגוון תחומים וירטואליים. זה קורה כשאנו שולחים דוא"ל מבלי לבדוק שגיאות כתיב או את רשימת המענים; זה קורה כשאנו ממהרים לשלוח הודעת SMS מבלי לקרוא פעם נוספת את התוכן; זה קורה כשאנו מאשרים פעולה בנקאית מבלי שבאמת העמקנו בהשלכותיה.

בעבר, היו מספר איזונים ובקרות שהציבו לנו חסם בלתי תלוי כאשר פעלנו בפזיזות. למשל, בעת שליחת מכתב בדואר רגיל, היינו מוגבלים ע"י פרמטרים שלא בשליטתנו (הכנסת המכתב למעטפה, ביול המעטפה, מועד פתיחת הסניף, זמן ההגעה אל הסניף וכו'). כיום, כל שנדרש הוא חיבור לאינטרנט (אשר אצל רובנו כבר אפילו הפך פעיל ללא צורך בחייגן) ותוכנת דוא"ל (אשר אצל רובנו כבר פעילה משימוש קודם). מנגנוני הבקרה שבעבר היו מאזנים דחפים ופזיזות כיום כבר לא באמת קיימים.

מסתבר, שצמצום הפער הנ"ל (צמצום שרבים רואים בו חיובי – למשל כמגביר יעילות) יכול לגבות מחיר כבד מאוד מאנשים תמימים. הנה סיפור אודות בנק אמריקאי שבמדינת וויומינג, אשר הביא למצב בלתי נסבל בו חשבון דוא"ל פרטי של משתמש, הופך "מושבת" בהוראת צו בית משפט וזאת מכיוון שאצבעו של אחד מפקידי הבנק, הייתה קלה על מקש ה-Enter. מדובר בבנק Rocky Mountain Bank שבמסגרת שירותיו המגוונים נתבקש ע"י אחד מלקוחותיו להעביר אליו בדוא"ל (שבספק Gmail) מסמכים הקשורים להלוואה כלשהי. פקיד הבנק שטיפל בנושא שלח את המידע הרגיש והחסוי לכתובת Gmail אחרת מזו שנתבקש (יחד עם מידע נוסף שכלל לא היה אמור להישלח).

המידע שהועבר לכתובת הדוא"ל הכיל פרטים רגישים אודות 1,325 לקוחות של הבנק אשר בין היתר כללו תעודת זהות, פרטים מזהים, פרטי מס ומידע אודות הלוואות. בשלב זה, ניסה פקיד הבנק ליצור קשר עם בעל חשבון הדוא"ל ע"י שליחת הודעות נוספת בהם הוא מתבקש ליצור קשר עם הבנק – הודעות אשר לא קיבלו מענה. כשהבנק ביקש מגוגל לחשוף את פרטי בעל חשבון הדוא"ל – אלו סירבו (ובצדק). בהחלטה שנתן בית משפט פדראלי לפני מספר חודשים, הוחלט על השבתת חשבון הדוא"ל של המשתמש. עוד קבע ביהמ"ש כי על גוגל לפרסם את פרטיו המזהים של בעל החשבון.

רשלנות פושעת של פקיד בנק, בהיותו פזיז וחסר אחריות, גרמה לנזק חסר תקדים בכל מה שקשור לבנקאות אלקטרונית. ראשית חטא הבנק בפני קהל לקוחותיו, אשר פרטיהם האישיים נחשפו בעודם מחויבים בחובת סודיות. בהמשך חטא הבנק בפני הלקוח הספציפי אשר ביקש מידע אודות הלוואותיו שלו בלבד – לא רק שלא קיבל את המידע שביקש, המידע נחשף בפני גורם לא ידוע. בנוסף, כנראה וחטא ביהמ"ש כאשר נוכח הרשלנות הנפשעת של הבנק, התיר לסגור את חשבון הדוא"ל של משתמש תמים וזאת משום שבנק (להזכיר, גורם כלכלי בעל אינטרסים כלכליים) טעה ועירב משתמש זה כצד ג' תמים בכל הסיפור.

בתוך כך, פעם נוספת אנו עדים לחוסר הבהירות באשר לגבולות הסמכות שברשת הקיברנטית. מחד, פרטיהם האישיים והרגישים של לקוחות יכולים להיחשף בהינף אצבע ובהיסח דעת, ומאידך, מאדם תמים אשר לא חטא בפני איש נשללת החירות (יש לומר – החוקתית) מכיוון שגוף עסקי שגה בהתנהלותו. בשלב זה כבר לא ברור של מי האצבע הקלה יותר על ההדק – פקיד בנק חסר אחריות או בית משפט שלא הבין את המשמעות של זכויות אזרח גם ברשת האינטרנט. אין ספק שהגנה על 1,325 לקוחות בנק נראית חיונית – אבל האם זה מחיר החירות הקיברנטית?

בשורה התחתונה – על כל גורם האחראי על מידע רגיש ופרטי יש לנקוט בכל אמצעי הזהירות הנדרשים ע"מ להגן על לקוחותיו. בנוסף, גם אם בית משפט פדראלי פסק אחרת – ברור למדי כי לגורם עסקי שכזה יש גם חובת זהירות כנגד צד ג' תם לב שכל חטאו היה להחזיק בתיבת דוא"ל. בהתאם לשינויים הטכנולוגיים (בעזרתם עבודת פקיד הבנק נעשית יעילה יותר ונוחה יותר) יש לבחון בשבע עיניים כל שינוי או פעולה שהשלכותיהן נוגעות לצדדים שונים (הבנק, לקוחותיו וצדדי ג'). כדאי לחשוב טוב בטרם נכנעים לדחפים פזיזים, והכוונה לא רק לבעלים סוררים שבטעות מיענו מיסרון "אישתי לא יודעת עליך" לבת זוגתם לנישואין ולא למאהבת.

נדב נחמיאס הוא יועץ אבטחת מידע בתחום תקשורת המחשבים וסטודנט למשפטים ומדעי המחשב

המאגר הביומטרי – האשלייה הטכנולוגית

פורסם בתאריך : 25.12.2009 // אבטחת מידע // 3 תגובות »

"They who would give up an essential liberty for temporary security, deserve neither liberty or security" (Benjamin Franklin)

גם מי שאינו מעורב בעשייה הציבורית של היום יום בטוח כבר שמע על "המאגר הביומטרי". זה מספר חודשים שמתנגדים רבים מנסים בכל כוחם לבלום את העברת הצעת חוק המאגר הביומטרי בכנסת, בעיקר בעזרת הטענה של פגיעה בכבוד האדם, בחירותו ובפרטיותו. חיפוש מהיר במנועי החיפוש יציף את כל החפץ בכך בטענות בעד אבל בעיקר נגד הקמת מאגר שכזה. בעוד שקיימים טיעונים משכנעים למדי המבהירים מדוע "מהותית" מאגר שכזה מסוכן לדמוקרטיה הישראלית, נראה שחשוב לא פחות גם לעמוד על סיבות "טכניות" בגינם המאגר מהווה סיכון.

אין זה המאגר הראשון

משרד הפנים מחזיק נתונים רבים ומגוונים אודות אזרחי ישראל. לצערנו, חלקים נרחבים מנתונים אלו (שנחשבים פרטיים יש לומר) נגישים כיום לכל החפץ בכך וללא כל קושי. חיפוש קל אחרי תוכנת ה"רשומון" יראה בדיוק בדיוק עד כמה העניין פשוט.

תוכנת הרשומון היא תוכנה שמפיץ משרד הפנים לפני כל בחירות לכל המפלגות. בגרסאותיה האחרונות (כנראה 2006) הכילה התוכנה מיליוני שמות של אזרחים ישראלים יחד עם נתונים כגון תעודת זהות, כתובת, תאריך לידה וכו'. מכיוון שתוכנה זו הופצה ע"ג תקליטורים, קל למדי להעתיק אותה ולהפיץ אותה ברשת האינטרנט.

נראה שמטעויות לא באמת לומדים

אם אנשים אינם מתרגשים מהפצה נרחבת של הפרטים המנויים בתוכנת הרשומון, אז ייתכן כי דווקא התוכנה הבאה תציג נתונים מטרידים.

חדי ההבחנה ישימו לב כי בתחתית המסך רשום: "9220583 רשומות". זה דבר ידוע שבישראל כ6.5 מיליון אזרחים. הדלתא הזו היא בעצם נתונים אודות אנשים שקיבלו תעודת זהות ישראלית ונפטרו. יתרה מכך, בתוכנה זו ניתן להצליב מידע, לראות קרובי משפחה (הורים, אחים, ילדים, בני זוג) ונתונים נוספים כגון: תאריך עליה, ארץ עליה, שם קודם אם שונה ומספר טלפון מעודכן לתאריך ההפצה.

שירותי "ממשל זמין" – זמינות בלתי מוגבלת לכל דכפין

במידה וזה עדיין לא מספיק, הנה סיפור שפורסם לפני מספר ימים בכתבה שכנראה ולא קיבלה מספיק תשומת לב. כחלק משירותי הממשל הזמין, משרד התחבורה מאפשר למי שרישיונו פג תוקף לחדשו באתר המשרד. כל מה שצריך זה תעודת זהות ושנת לידה. של כל אחד.

השירות החדש לאזרח מאפשר לכל מי שמחזיק בתעודת זהות של אדם ושנת הלידה שלו, להוציא את מספר רישיון הנהיגה שלו ואת תוקפו. כפי שכתוב למעלה, זה לא באמת מסובך כל כך להשיג את תעודת זהותו של אדם.

הנ"ל מצטרף לרשימה ארוכה של נתונים של אזרחים השמורים ע"י רשויות המדינה והם בעצם נגישים לכולם. היש מישהו שעוד טרם גילה את נתוני הקב"א והדפ"ר הצה"ליים שלו (ואם נקפוץ צעד אחד קדימה – של חבריו)? חרף זאת, המאגרים הצה"ליים כנראה שאינם נגישים לרשת האינטרנט (בתקווה) ולעניות דעתי גם אינם מופצים על "תקליטור", ופרטיותנו הצה"לית תלויה ברובה ביכולתם של בעלי גישה לשמור סוד.

מגדל בבל

אחרי כל זה, משרד הפנים מתעקש על הקמת מאגר ביומטרי, המכיל את תווי הפנים וטביעות האצבעות של מכלול אזרחי ישראל. נתונים אלו לא ישמשו לניהול כ"א צה"לי או לשמירה על קשר עם המפלגות – נתונים אלו ישמשו את גורמי אכיפת החוק בישראל. אם נתקשה לדמיין עד כמה מרחיקת לכת הטענה האחרונה, ביקור חפוז באתר ההתנגדות להצעת החוק יקל עלינו בבניית תרחישים לא כל כך נעימים. מה יקרה למשל אם נתונים מהמאגר ידלפו החוצה? או חלילה מכך – יוכנסו מזויפים פנימה?

הגנה טכנולוגית היא אחת התשובות של מציעי החוק. כמה פעמים שמענו מאבא את הקלישאה "המחשב שלך היום חזק פי עשרות מהמחשב ששיגר את אפולו 11 לירח!" בעודנו מבקשים שישדרג לנו את המחשב ליום ההולדת? (כמה מאיתנו תיקנו את אבא ואמרו לו שזה אפולו 13?) אז עם כל הצער שבדבר, אבא צודק. לא רק שהטכנולוגיה היא דינאמית, כיום די ברור מאליו שההתפתחות של הטכנולוגיה על ציר של זמן איננה נעה כקו ישר כי אם עקומה שכבר בשלב זה מזנקת בצורה מסחררת כלפי מעלה. האם מישהו במשרד הפנים באמת מאמין שהטכנולוגיה שתשמש לשמירה על המאגר תהיה אפקטיבית לטווח הארוך? (ובעולם שלנו היום נראה שטווח ארוך נמדד בשנים בודדות)

וקריסתו

תוכנת הרשומון הופצה על גבי תקליטורים. בקלות היא הועתקה והופצה דרך רשתות שיתוף הקבצים השונות. בעוד שאתרי שיתוף (כמו Rapidshare) יכולים (וכנראה שאף צריכים משפטית) להיענות לבקשות משרד הפנים להסיר את קבצי התוכנה, תוכנות שיתוף (כגון eMule) גם אם היו נדרשות – אינן יכולות להסיר את התוכנה. התוכנה השנייה שצוינה לעיל גם כן הופצה על גבי תקליטור, אולם אנשי הפיתוח שילבו בה הגנה מבוססת סיסמא. סיסמא זו הוטבעה בתוכנה עצמה וכנראה שאף באופן רשלני (מי שלא מבין מה רשלני בזה, ראוי שיבקר באתרים כגון Astalavista.box.sk). השירותים של משרד התחבורה אולי נראים חיוניים לאזרחים תמימים שרוצים להימנע מתורים ארוכים, אך לצערנו תמימות היא נכס יקר מפז במחוזותינו.

הטענה בדבר "הגנה טכנולוגית" היא לא יותר מאשר תירוץ זול להשקיט את אלו שאינם מבינים את הקשר המעורפל בין משפט וטכנולוגיה. אם טענות נגד מהותית לא הצליחו לשכנע אנשים בגנות המאגר הביומטרי – אולי הבנה של פוטנציאל התממשות תוצאות זדוניות דווקא כן תצליח. בסופו של דבר, נראה שלא כדאי להישאר אדישים בעניין המאגר. בטח לא כשהפרטיות והחירות שלכם נכבלות בשלשלאות הטכנולוגיה הזמנית. על העונש שבאדישות כלפי איום על החירות שלנו אמר יפה אלי ויזל:

"It may well be that our means are fairly limited and our possibilities restricted when it comes to applying pressure on our government. But is this a reason to do nothing? Despair is nor an answer. Neither is resignation. Resignation only leads to indifference, which is not merely a sin but a punishment"

נדב נחמיאס הוא יועץ אבטחת מידע בתחום תקשורת המחשבים וסטודנט למשפטים ומדעי המחשב

כשהפרטיות בגדה בחירות

פורסם בתאריך : 18.08.2009 // אבטחת מידע // אין תגובות »

עידן הגוגליזם, זה שעדיין לא נגמר ומתפתח בקצב מסחרר, מאוד מרגש אותי. איכשהו תמיד בלחיצת כפתור מהירה אני מקבל מידע שאנשים בעבר היו חוצבים הרים ונהרות על מנת להשיג. אבל יש בדבר טעם לפגם. כמה מאיתנו ניסו לגגל את שמם? כמה מאיתנו הופתעו לגלות תוצאות שלא ציפינו שיהיו שם? לבסוף, כמה מאיתנו לא גילו כלום והעלו חיוך ספוג בביטחון עצמי?

(היעדר) פרטיות על קצה המזלג

לא מזמן עזרתי לידידה קרובה לפענח כתב חידה – כיצד נראה בחור שקבע איתה לבליינד דייט. בפחות משעתיים וחצי, מבלי בכלל לכוון לזה, בניתי על הבחור פרופיל מא' ועד ת'. היכן למד, איפה מתגורר, כיצד ניתן להשיגו (טלפון, דוא"ל), מי חבריו, היכן שירת איתם, מה עושה היום וכמובן, תמונה לתפארת "נוט-סו-בליינד" דייט מוצלח. אז לא, חשבון פייסבוק לא היה לו וגם לא חשבון באתרים חברתיים אחרים. את הפרופיל האישי הזה בניתי תוך כדי ליקוט מידע שגוגל בטובו סיפק לי, אך לא גוגל בלבד. לבחור אולי אין פייסבוק, אך זה לא אומר דבר על חבריו, על חבריהם ועל החברים של חבריהם של חבריו.

הנדוס חברתי

בערך באותה תקופת זמן דיבר איתי חבר שלא פגשתי הרבה זמן. הוא סיפר לי על הקורס הפסיכולוגי שהוא עשה לאחרונה – "כיצד להצליח עם נשים". מפעל הכסף הזה הוא לא יותר מאשר קורס פסיכולוגיה 101 מזורז עם יישומים פרקטיים. אבל עם כל הציניות שבדבר, הקורס הזה מלמד אנשים לקח לחיים. עם קצת חיוך, ביטחון עצמי ומאפיינים מיוחצנים נוספים אפשר להשיג כל דבר, אפילו בחורה (דבר שאף יותר קשה להשגה ממידע מודיעיני חבלני). אז באמת, כל מה שנדרש ממני באותה עת עם הידידה והבליינד דייט, היה חיוך משמח ומילים נעימות לאוזן.

הנדוס חברתי (Social Engineering) היא אחת הטכניקות המוצלחות ביותר בעולם אבטחת המידע. כשאני אומר מוצלחת, אני מתכוון כידועה לשמצה. זה כולל הנדוס פאסיבי (שלרוב אפשר לכנותו "זלזול משווע"), למשל מזכירה שמדביקה את סיסמת המשתמש שלה על מסך המחשב. זה גם כולל הנדוס אקטיבי, אותו כמעט כולנו פגשנו במהלך חיינו, למשל בנציג "חברת האשראי" שמתקשר לברר אם קיבלנו קופונים, ובמלוא פליאתו נוכח תשובתכם השלילית מבקש את מספר האשראי והתוקף.

אנשים בדרך כלל מתפלאים לגלות כמה הנדסה חברתית היא יעילה. הם עוד יותר משתוממים כשמספרים להם שכמעט כל יום לפחות אחד מהם חווה הליך שכזה. מה שבאמת גורם להם לפעור את הפה זה לא ההנדסה החברתית שפועלת נגדם באופן ישיר, כי אם ההנדסה החברתית שפועלת על החברים שלהם ובתוך כך נגדם באופן עקיף.

כן יש לי פרופיל בפייסבוק

אלינה פוק (Elina Pok) היא אחת מיני רבים, אשר מצליחה בעזרת הנדסה חברתית לפנות לקהל אוכלוסיה רחב במסגרת ארגון טורנירים של משחק קלפים מפורסם. כשקיבלתי את בקשת החברות מאלינה נדהמתי, איך בחורה יפיפייה שכזו פונה אלי. ההורמונים המשתוללים ישבו על הכתף האחת וזעקו "סקס! סקס! סקס!". תלושי השכר שבזכותם צברתי קצת ניסיון זעקו מהכתף השנייה "עצור". אלינה פוק עושה את מה שחברי הטוב סיפר שלמד בקורס "כיצד להצליח עם נשים" ואת מה שארגוני ביון עושים מאז ומתמיד – היא פונה לאינטרסים הפנימיים של אנשים שלרוב גוברים על ההיגיון הבריא והחשד הסביר שטבעו ברובנו (בעיקר בחברה כמו שלנו).

לא הפתיע אותי שלי ולאלינה יש שישה חברים משותפים (ומספר ימים מאוחר יותר אף עשרה). בשיחה אישית עימם איששתי שאיש מהם אינו מכיר אותה. כולם היו גברים ורק אחד במערכת יחסים.

אז למה זה בעצם מטריד אותך?

כמו אלינה יש אלפים ועשרות אלפים – ואני אחד מהם. הפרופיל של הדייט הוא הדוגמה הקלאסית לדבר שכזה. בעניין הזה רק סייעתי לידידה להשיג תמונה של בחור נטול אישיות אינטרנטית כמעט לחלוטין (וכך אני מסיק שרצה למנוע מתמונותיו לעלות לרשת. לשווא). אבל מה עם אני רוצח שכיר? מה אם אני רוצה למכור מידע על אדם? נראה שפשוט מאוד לבנות תיקים על אנשים עם כמות עצומה של מידע – גם על כאלו שמנסים להסתתר, ואני אפילו לא בעל הכשרה של סוכנות ביון ובטח שלא בעל גישה למאגרי מידע רגישים. אפשר רק לדמיין עד כמה השמיים הם באמת הגבול אם במסגרת פרופיל של אדם בונים לו גם פרופיל חברתי, תוך שאיבת מידע באופן לא חוקי ממאגרים "חופשיים" ברשת (רשומון למשל). עוד יותר מפחידה גישה שכזו למאגרים קצת יותר רגישים.

שאלה שנשאלתי באחד הקורסים למשפטים שלמדתי (דיני פרטיות מן הסתם) הייתה: "אם אספת מידע מאלפי מקורות שונים, שכל פריט בודד בו נאסף באופן חוקי, אולם נוצר פאזל עצום שלכאורה פוגע באופן מובהק בפרטיותו של אדם – האם עשית משהו לא בסדר?". ראשית ההבדל בין משהו לא בסדר (לא מוסרי) לבין משהו לא חוקי הוא שעל משהו לא חוקי נענשים (וסליחה על הציניות). שנית, גם אם עמדנו בתנאי חוק הפרטיות עדיין יש טעם מר בבניית פרופיל אישי על אדם גם אם המידע נאסף בדרכים כשרות וחוקיות. איכות מול כמות זה האיזון שהיה אמור להיות רלוונטי כאן.

"אמור לי מי חברך ואומר לך מי אתה"

את התמונה של הבחור מהבליינד דייט השגנו דרך חבריו. ברגע שדמות פייסבוק פיקטיבית כלשהי יצרה קשר עם אחיו של הבחור וחבריהם המשותפים, הדרך כבר הייתה קלה. תמונות מערביי יחידה בצבא, תמונות מטיולים משפחתיים – הכל שם. יאמר לזכותו של אחיו שפרופיל הפייסבוק שלו מסנן גישה ולא נותן לכולם צפייה מיידית בפרופיל, אך בעזרת חיוך מתאים וכמה משפטים נעימים הדרך אל הזהב חיש נסללה.

אנשים רבים אינם מבינים שהפרטיות שלהם, בעולם המתקדם שלנו היום, אינה תלויה במידת המאמצים שלהם. הפרטיות שלהם תלויה באופן ישיר בהתנהגות חבריהם. הסיסמאות שחבריהם בוחרים, התמונות שהם מעלים, המידע שהם חושפים – לנו אין השפעה ישירה על כך. לנתק את עצמך מאצבעות החשיפה של עולמינו משמעותה לנתק את עצמך מחבריך ומקרוביך. הסטנדרט שלנו לגבי המידע שלנו הוא בוודאי לא הסטנדרט של אנשים אחרים לגבי המידע שלהם, שלא לדבר על הסטנדרט שלהם כלפי המידע שלכם.

שיהיה, אז מה בכל זאת העניין?

בין מתנגדים לתומכים, עומדת על הפרק הצעת חוק המאגר הביומטרי. כמה אנשים כבר פנו אלי ושאלו איך עוד לא הבעתי את דעתי הנחרצת בעניין. הסיבה היא שאין לי דעה נחרצת בעניין. עם כל האהבה שלי למילים מוחלטות בהן אני נוהג להשתמש ("הסוף לחירות" למשל), אני עדיין לא סתמתי את הגולל בעניין זה. אבל יש כמה דברים שאנשים צריכים להיות מודעים אליהם, ואם כלפי נושאי פרטיות הם מפגינים זלזול אני מוצא זאת אך ראוי להציג להם את הנושא הנ"ל.

במסגרת חוק ההמאגר הביומטרי, יוקם מאגר רגיש אשר יכיל את פרטי ההזדהות האישיים של כל אזרח במדינת ישראל. זה כולל טביעת אצבע אישית בין היתר. תעודת הזהות שלכם תהפוך דיגיטלית, וזיהויכם יהא חד חד ערכי. ביטוי יפה זה "חד חד ערכי". מאז המבחן במתמטיקה דיסקרטית אני מוצא את עצמי אומר אותו הרבה מאוד פעמים. הלכה למעשה הדבר אומר, שאם הגעתם למשרדי ביטוח לאומי והזדהיתם בעזרת תעודת הזהות שלכם – הזדהות חלוטה זו ו"אין שום סיכוי שבעולם" שמישהו אחר מזדהה במקומכם.

היתרונות פה עצומים למי שלא שם לב. אם השארתם טביעת אצבע בזירת פשע, ידעו איך להגיע אליכם. אם במעידה חד פעמית הגנבתם בקבוק חלב לתיקכם ידעו היכן למצוא אותו. אם החלטתם לעשות מעשה טוב אך להישאר אנונימיים, בהחלט ימצאו את הדרך להגיע אליכם ולהעניק לכם קבל עם ועדה תעודת הוקרה. טוב, אז הייתי קצת ציני, אני מתנצל. באמת יש דברים חיוביים בחוק – הגברת היעילות המנהלית למשל, יישום אמצעי אבטחה טובים יותר, מניעת התכחשות ורמאויות (למשל העתקות במבחן הפסיכומטרי) וכו'.

אבל החסרונות, כמו שכבר לדעתי הבנתם, הם רבים. כה רבים, שייתכן מאוד שבמאזן עלות תועלת יצא שכרנו בהפסדנו. יוזמי החוק טוענים שהמאגר הרגיש מאובטח ושמור. הם טוענים שפריצה למאגר, גניבה ו/או השתלה של מידע הם בגדר הבלתי אפשרי. אז אהיה אתכם כנה, עוד לא ירדתי לסוף דעתם ועוד לא בחנתי את היכולות הטכניות של המאגר. אבל האם זה לא בדיוק מה שנאמר לנו על בנקים, כשאלו יעברו לעידן הדיגיטלי והכסף יהיה אך ורק מספרים? כי אם זכרוני אינו מטעני פריצה למרתפי בנק בת"א וחיבור רכיב שידור אלחוטי הצליח לתפוס את הבנק עם מכנסיו לרגליו – ואותנו, מוטרדים מתמיד.

יתרה מכך, מאגר מאובטח באמצעים דיגיטליים? בואו נאמר את מילת המפתח – "מוצפן" ? גרמניה הנאצית חשבה שקווי התקשורת שלה מאובטחים ובכל זאת בעלות הברית לא רק שיירטו את התקשורת הגרמנית גם הפכו את ה"אניגמה" המפורסמת לנחלת הכלל. בעולם של היום כבר מדברים על "הצפנה אסימטרית" כבלתי פריצה ("בשלב זה"). אם בהצפנה עסקינן, השאלה הברורה מאליה היא "מה יקרה כשהמחשבים החזקים יותר יפרצו אל השוק? " (בעגה הטכנית נוהגים לכנות מחשבים חזקים אלו בשם "מחשבי קוואנטום" בהתאם לאופי הטכנולוגיה אשר תיושם בהם). אם באבטחה פיזית עסקינן, מי יבטיח שלא יהיו חריגות בדמוי אותם האינטרסים שאלינה פוק שמה עליהם את האצבע? אני לא באמת רוצה לדמיין מה יקרה במערכת בעלת זיהוי חד חד ערכי בה מישהו הצליח להחליף (בעזרת הנדסה חברתית מאוד מתקדמת) זהותו עם זהות אדם אחר. אם הזהות הביומטרית חלוטה היא, גזרנו דינו של אדם תמים.

אז מה אני יכול לעשות?

ראשית צריך להבין את הקשר בין הדברים. בניית פרופיל על אדם שרוצה לשמור על פרטיותו הפכה לעניין של מה בכך (בדגש אם אני ארגון פשע עתיר משאבים). חקיקת חוק המאגר הביומטרי תשייך באופן מוחלט זהות דיגיטלית של אדם לזהותו הפיזית. לא מן הנמנע כי חריגות (מינימאליות ככל שיהיו) במערכת יאפשרו ניצול שתי עובדות אלו (השגת פרטיו האישיים של אדם ושיוכו באופן חד חד ערכי לזהות במאגר) לטובת פעילות לא חוקית מאוד מתקדמת. מעידן בו פשיעה מקבלת מענה "כלשהו" נעבור לעולם בו המענה יהפוך כה מתקדם ומתוחכם שלא יועיל לה לפשיעה אלא אם תהפוך כה מתקדמת ומתוחכמת בעצמה.

מה אפשר לעשות, איך זה באמת ישפיע על החיים של כולנו ואיך אפשר למנוע מחברינו להיות חורי אבטחה בפרטיותנו – בפעם הבאה.

נדב נחמיאס הוא יועץ אבטחת מידע בתחום תקשורת המחשבים וסטודנט למשפטים ומדעי המחשב

דאבוס 2009 – פאנל טכנולוגיה

פורסם בתאריך : 31.01.2009 // טכנולוגיה // תגובה אחת»

כמו שרובכם כבר יודעים השבוע נערך אחד הכנסים הכלכליים הגדולים בעולם (אם לא הגדול שבהם) כנס דאבוס. כל שנה מגיעים לכנס הזה שועי עולם ודנים על מצב הכלכלה העולמי ההזדמנויות שעומדות לפנינו והדרכים לפתור את המשברים שאנו חווים כעת.

פאנל הטכנולוגיה – דאבוס 2009

השנה הוביל את פאנל הטכנולוגיה מייקל ארינגטון  מטקראנצ'  (שבעקבות יריקה שספג בכנס DLD בתחילת השבוע מגורם לא ידוע הודיע על הפסקה זמנית מכתיבה בבלוג) ואליו הצטרפו רשימה של אנשים מעניינים מאוד כמו : מארק צוקרברג  (מנכ"ל פייסבוק) , צ'אד הארלי (המנכ"ל והיזם של יוטיוב),  קרייג מאנדי (סמנכ"ל מחקר ופיתוח של מייקרוסופט) שאנאנו נאראיין (מנכ"ל אדובי), חמיד אקהבן (מנכ"ל טי-מובייל)  ופרופ' אריק קלמונס (אוניברסיטת וורטון). (המשך…)