|
||||
|
||||
ב. לטענת שנייר זה לא קורה. והמצב נמשך כבר כמה שנים טובות. לכן יש כאן כשל שוק. לשם ההשוואה, חברות האשראי אוכפות תקני אבטחה על אתרים לשם שימוש בשרותי תשלומים (Payment Card Industry Data Security Standard [Wikipedia]). ב1. אתה מדבר על משהו שונה. מה שקרה כאן לא היה בעייה של שיתוק מאגרי מידע אלא שיתוק של כל מיני מערכות. זה שהמידע עדיין זמין, לא אומר שלא מתבזבז זמן רב בהשמשת המערכות. ובחלק מהמקרים לא כל המידע זמין. ב2. אפשר לפתח מהר, בטוח וזול. אבל לא את כל שלושתם ביחד. אם אתה רוצה לשלם על התוכנה במחשב שלך מחיר דומה לזה שאתה משלם על מכונית, תוכל לדרוש דרישות איכות קפדניות בהרבה. אני מבטיח לך שיהיה מי שיספק לך את התמורה לכספך. ושוב, פרטיות היא עניין שונה. רוב בעיות הפרטיות של פייסבוק אינן בגלל חורי אבטחה. הם בגלל שהתוכנה עושה את מה שהיא אמורה לעשות. פייסבוק מטפלת לא רע בחורי אבטחה, למיטב זכרוני. |
|
||||
|
||||
בחזרה לתסריט של הפלמוני שהתחיל את השרשור ובהמשך לדיון 3772 האם ניתן באמצעות רגולציה ליצור תוכנות/פרוטוקולים מספיק אמינים על מנת שלא תושבת יום אחד התנועה בטורינו כולה עד תשלום כופר? |
|
||||
|
||||
פארטצ'יות יש בכל מקום. אבל בהחלט אפשר לצפות ממי שתכנן את מערכת בקרת התנועה בטורינו שלא יהיו בה כשלים כאלו. כאשר מזמינים מערכת בסדר גודל כזה, מקבלים עבורה חוזה שירות עם התחייבויות שונות. בין השאר אפשר לדרוש התחייבות ל־downtime מינימלי (כלומר: אם המערכת לא תתפקד מעבר ל־x שעות בשנה, ספק חוזה השירות יתחיל לשלם ביוקר). במקרה הזה אני לא חושב שנדרשת רגולציה. לא זה המקרה שעליו דיבר שנייר. דרך אגב, גם עבור מכוניות הבעיות שונות מאוד מהבעיות עם נתבים. זמן הפיתוח של תוכנת מכונית ארוך יותר, ויש יותר כסף לשלם עליו. סביר גם להניח שהלקוח משלם יותר ומצפה לקבל יותר. |
|
||||
|
||||
ב. דווקא התקינה של חברות האשראי מלמדת 1- שהרגולטור נדרש 2- ויש לו את הכוח לשנות את השוק. אין כיום (כמעט) אתרים שמחזיקים כ.אשראי ומאגרי מידע של לקוחות, בניגוד לעבר. ב2. התפוצה היא התשובה והשאלה. חלונות היא מערכת הפעלה שמכרה זיליון רשיונות. השיקול ליצירת מערכת עמידה ובטוחה בהיקפי ענק שכאלה לא קשור לתהליך התמחור אלא לאסטרטגיה שיווקית. במילים אחרות, מדיניות החברה היא לחפף עם הבטיחות במקום לוותר על פיתוח 20 משחקים, ממשק מגניב ותוכנות עזר שההדיוט לא משתמש בהם. פרטיות לא שונה בהקשר הזה כי מדובר באסטרטגיה מקוונת (חה*) מצד התאגידים. אפשר לתכנן מערכת שמזלזלת בזכות לפרטיות ולבנות מערכת שמעוצבת להגן על נתונים. ב התאגידים מייצרים מערכת שאוגרת נתונים ללא הפסקה וכביכול מאפשרת למשתמש לקנפג כאוות נפשו את רמת הפרטיות. בפועל רק קומץ זהיר מהמשתמשים יודע מאין הדליפה, לאן פניה וכיצד לאטום. שוב, לא מבין איך מה שגוגל אוספת תחת חשבון אחד מהמובייל וה- PC לא מבעית את אנשי ה IT שבאייל. שימוש באפליקציות, החיפושים, הכתובות הפיסיות, האתרים באינטרנט, הנסיעות, מקום העבודה, כתובת הבית, התכתובות במייל- הכל נשמר. נכון, התאגיד הכריז על שקיפות. so what. רוצה לשנות? תפדל. כנס קרא כאן כאן וכאן וכאן וכאן וכאן וכאן וכאן ותוכל להגדיר. עבורנו זה פשוט. להורים שלנו ולרוב מוחלט של המשתמשים המשימה בלתי אפשרית. התאגידים אוספים מידע, משנים מדיניות, מחדשים מונחים והגדרות לעיתים מבלי ליידע את המשתמשים. המערכות תוכננו למען מטרות אחרות, לא למען שמירה על פרטיות. אין אף כתב בתחום לא יעלוץ מחשיפת חייו המקוונים בפני זרים אבל כשמדובר בגוגל הם שותקים ככבשים או פועים ככלבים, מה שתבחר. |
|
||||
|
||||
אפשר לדבר על עניין הפרטיות. אבל דיברנו על זה כבר בעבר. הדיון כעת הוא על חורי האבטחה. אחד הדברים החשובים בדיון מושכל בענייני אבטחה הוא הבנה של מודל האיומים. אפשר לגבש פתרונות לבעיות אם יודעים מהן הבעיות. כמו שציינתי למעלה, הבעיה העיקרית עם פרטיות כיום לא קשורה לחורי אבטחה. |
|
||||
|
||||
עזוב פרטיות, זה דיון שעוסק בחורי אבטחה. הסיבה שהם קייימים מתגלים או נוצרים היא שיקולים מסחריים ואסטרטגיה תאגידית. תאגידי האשראי בדוגמא שהבאת התמהמהו עם התקינה במשך יותר מעשור כשהיה ברור לכל מי שעוסק בתחום שמדובר במחדל. כרגולטור דה פקטו של התחום הם פישלו בגדול ועסקים שעסקו בסליקה שילמו ביוקר. גם עלויות נפלו על הסוחרים מבלי תאגידי האשראי הקשיחו שרת אחד. למה? כי לתאגידי האשראי לא באמת אכפת להם מאבטחת מידע ולא מהסוחרים. בראיה תאגידית קרה ומנוכרת הם בעמדה הנוחה ביותר. אין תחרות ואין לאף אחד ברירה. תאגידים רקובים. |
|
||||
|
||||
אני לא מבין אותך. התקינה של חברות האשראי יעילה (ההודעה הקודמת שלך) או לא יעילה (ההודעה הנוכחית)? |
|
||||
|
||||
כתבתי בצורה ברורה: קיומו רגולטור נדרש בדיוק במקרים כאלה, -כשמדובר בסכנה לציבור הרחב. התקינה בכ.אשראי יעילה, בטח לעומת הג'ונגל שבעידן הקודם. אבל ההתנהלות מלמדת שלא מאהבת האבטחה, הפרטיות, הראוי והמוסרי פועל התאגיד- אלא מאילוצים ושיקולים כלכליים. אפשר לייצר מכוניות אניות חלליות ומטוסים בטוחים בהרבה וגם תוכנות ומערכות הפעלה אבל זה לא מעניין את מקבלי ההחלטות. כלל לא אכפת להם. כל עוד לא מדובר בנזק שמשפיע על התאגיד (פחות רווחים) חור אבטחה אינו שיקול. הרווחים ייפגעו אם וכאשר ציבור יבין עד כמה התאגידים רעים ומזלזלים בתפקידם הציבורי. הציבור מתקשה להבין כל עוד העיתונאים שותקים. וכך בגלל הכשל האינפורמטיבי ערכי מהותי הגענו למצב של חורי אבטחה, דליפת פרטיות ורכב פרטי שמגיע למהירות שבה אינו מסוגל להגן על אחרים ולא על הנוסעים. עלויות הייצור הם לא השיקול העיקרי אלא הרווחים. לא אתה אבל נניח השכן שלך? הוא יקנה רכב אם הוא יעלה פי 3 וגם פי 4 כי הוא צריך וכנ"ל לגבי מערכת הפעלה, נורה, נייר טואלט ובית. אנשים משלמים על חתונה 100-300K כי הרגילו אותם שאי אפשר להתחתן עם בורקס ופטל אז לשלם על תחנת עבודה אמינה ובטוחה שבה אתה משתמש כל יום 25,000- וכפרט כשאין אלטרנטיבות? ברור. בלי למצמץ. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |