תגית: אבטחת מידע

conditions

תאמין לו, לנו זה יעלה יותר

יונתן קלינגר נבהל, ובצדק, מהתקציבים המתוככנים לחוק המאגר הביומטרי. ואין לי אלא להסכים איתו. כל מספר שיזרק בשלב זה יהיה בין אצבע רטובה ברוח לבין נל"ת1. המספר החשוב בשלב זה הוא של שלב הניתוח של המערכת – צרכים, סיכונים וטכנולוגיות. המסמך של מרכז המחקר ומידע מודה כי המידע היחידי עליו הוא יכול להתבסס הוא עלות ההדפסה של תעודה, וגם כאן המידע חסר…

מאין, אם כן, המספרים?

  • מה העלות של ניתוח המערכת. כלל האצבע שלי הוא של שהעלות האופטימית היא של 10% מההערכה הפסימית ביותר לעלות הפרויקט. אם נניח כי ה"מערכת הראשונית" תעלה 1.7 מיליון ש"ח, ואם נניח כי אותה מערכת תשמש במקום ניתוח המערכת, הרי שהפרויקט הוא בעלות של 17 מיליון ש"ח להקמה.
  • הנושא הבא הוא תחזוקה. כאן כלל האצבע הוא של 15-20% לשנה, דהיינו, 2.5 עד 3.5 מיליון ש"ח לשנה.
  • הוסף את עלויות ההדפסה, ותגיע למספרים דומים של המרכז למחקר ומידע.

אלא מאי. מעלות חסרת ביסוס של הפרויקט הגענו לעלות של התכנון ומכאן חזרה לעלות הפרויקט, נבואה שאמורה להגשים את עצמה.

הבא נבחן מספר חלופי:

  • בבריטניה כ-65 מליון תושבים, ועלות פרויקט תעודת הזהות החכמה הוא ב-5.5 מליארד ליש"ט.
  • אם נניח את אותם משתנים לגבי ישראל, שלה כ-7 מליון תושבים, נגיע ל-3.5 מליארד ש"ח, וזאת בהנחה כי הבריטים יותר טובים מאיתנו בניהול פרויקטי מיחשוב גדולים, והתחשיב שלהם מתאים יותר למציאות.
  • נוסיף להנחה שלעיל את העובדה כי בישראל כבר קיים מנגנון של תעודות זהות ורישום, ואת העובדה כי לאזרחי המדינה יש כבר תעודות קיימות, כך שאין צורך בישום מהיר, נהיה אופטימיים עד מאוד, ונוריד את עלות הפרויקט ב-60%.

יותר ממיליארד ש"ח.

מופרך? חיזרו למאמר של יונתן קלינגר בו הוא מביא את דוגמאות לפרויקטים ממשלתיים אחרים.

ולסיום, השר שטרית הבטיח רמת הגנה של 11? לא ידעתי שהוא חסיד של ספינל טפ.

  1. ניחוש לפי התחת []
about
marketing

אבטחת מידע לבני אדם

תגובה של עו"ד רביה למאמר של של עו"ד קלניגר הפנתה אותי למדריך אבטחת מידע המופיע באתר לשכת עורכי הדין בישראל. זהו אחד המסמכים הקריאים ביותר שנתקלתי בהם לאחרונה, בתחום הטכנולוגי בכלל ובתחום אבטחת המידע בפרט. למרות הכותרת המיחסת אותו למשרדי עורכי דין, אני סבור כי המידע המופיע בו נכון לכל נותן שרות או בעל עסק, בעיקר אם הוא מחזיק מידע על לקוחות.

search

מועצת גני תקווה מחלקת את פרטי הילדים במערכת החינוך לכל דכפין

מועצה אזורית גני תקוהככל עירייה ומועצה שמכבדת את עצמה1, מועצת גני תקוה שלחה לתושבים מסמך מסכם של פעילותה. היא אף הגדילה לעשות ושלחה את המידע כחלק מיומן שולחני מהודר לשנת 2011 בכריכה קשה ונייר איכותי.

בסוף היומן ישנו ספר טלפון של תושבי המועצה.

לאחר ספר הטלפון מופיעים כל תלמידי בתי הספר בישוב, ממוינים לפי בית ספר (או גן) וכיתה. בשמם המלא, כתובתם ומספר הטלפון שלהם. רק תמונה הייתה חסרה… הייתי מתנחם מעט מהעובדה כי חלק מהנתונים שגויים, אך היות ויש גם ספר טלפונים, והישוב איננו גדול, ניתן להצליב מידע בצורה קלה.

קצת מתמיהה מדוע מצאה המועצה לנכון לפרסם את כל הנתונים הללו על הנייר2, אך מבט חטוף על אתר המועצה מבהיר כי ככל הנראה פשוט חסרה להם הטכנולוגיה המתאימה.

הייתי גם מתלונן על הביזבוז של עצם הוצאת יומן שולחני בעידן זה, ועוד יומן לשנה האזרחית בישוב בו חלק ניכר מהאוכלוסיה דתי או שומר מסורת, אבל אלו נראות לי כרגע תלונות קטנוניות.

  1. ואת תושביה? []
  2. בעוד מאוד מתמיהה העובדה כי בחרה לפרסת אותם כלל…. []
mail
advertise

פני יאנוס של אתר אינטרנט

חנן כהן תמה מדוע על כמות התקשורת של אתר אינטרנט לשרותי צד ג' ואומר:

ברור לי הצורך וברורים לי השימושים של האתרים האלה. אבל יש לי תחושה לא טובה בקשר לזה.

יש פה שרשרת שלא בטוח שבסופה יש כסף אמיתי.

אך לא רק כסף במובן של תשלום עבור פרסומות (או לחילופין תמורת המידע הנאגר על הגולש), יש לא מעט מקרים בהם האתר מסתמך על שרותי צד ג' לתפעולו השוטף. דוגמה לכך היא הדיון באתר חווית המשתמש העוסק בזיהוי משתמש וניהול תגובות. או שרותים נוספים, כמו סטטיסטיקות. המאפיין של כולם היא העובדה שהאתר פונה לשרותים חיצוניים, על פי רב דרך תסריטי Javascript. התקנה של תוסף NoScript ו-AdBlock, תגלה לכם לא מעט על התעבורה שמיצר האתר אליו אתם גולשים1.

ממשקים אלו יכולים לתת לאתר ערכים מוספים רבים. קישור ל-Facebook הוא נוח ושימושי הן מבחינת זיהוי השתמשים והן להפצת התוכן. חלק2 של האתרים מתמקדים בסדרה קטנה של מנגנונים מסוג זה – Facebook, כמובן, הוא הבולט שבהם. אחרים משתמשים במנגנונים נוספים שמהווים מתווכים. דוגמה לכך היא מנגנון תגובות כמו DiscUS, או קיצור וניהול כתובות כמו Bit.Ly.

ישנן מספר סוגיות במנגנונים אלו שיש להביא בחשבון לפני ובמהלך ישומם:

  • פרטיות הגולש: האם מדיניות הפרטיות של המנגנון תואמת את מדיניות הפרטיות של האתר. האם תתכן זליגה של מידע על הגולש ללא דעתו, ואולי אף ללא דעת מנהלי האתר.
  • אבטחת מידע: המנגנונים האמורים עלולים להתשתמש בקוד שאינו נובע ואינו מאוחסן באתר. לעיתים (בעיקר במקרה של פרסומות), הקוד האמור אולי אפילו איננו במקורו באותו שרות צד ג' אלא אצל מי מלקוחותיו.
  • שימור המידע: שרותי צד ג' יעדיפו כי תשתמשו בקוד שלהם באתר שלכם. כך התוכן יהיה בפועל בשרתים שלהם. במצב של כשל או התנתקות מהשרות, אותו תוכן יכול להעלם.
  • ממשק המשתמש: שימוש בקוד של שרותי צד ג' יכול לשבש את מבנה האתר או לחייב את האתר להתאים את את עצמו למבנה של אותו שרות צד ג'.
  • נפח תקשורת: אנו רואים מגמה גוברת של שימוש באינטרנט סלולרי. שרותי צד ג' העושים שימוש ב-JavaScript מטילים את עומס התקשורת על הגולש ולא על האתר. הדבר לא משפיע רק על ביצועי האתר, אלא גם על העלות לגולש.

בכל האמור לעיל אין לראות שלילה גורפת של שימוש בשרותי צד ג', אלא מספר אזהרות. כלי ניהול תוכן כמו WordPress או Drupal מכילים תוספים לטיפול בלא מעט מהסוגיות האמורות, כמו למשל סינכרון תגובות בין האתר לבין עמוד ב-Facebook או LinkedIn, ללא מעורבות של הדפדפן. שימוש בתוספים אלו שומר גם על היחודיות והזמינות של האתר במקרה שאותם שרותי צד ג' לא זמינים.

  1. באותה נשימה עלי להזהיר, שני התוספים הללו יכולים לשגע אתכם באתרי עתירי פרסומות ושרותי צד ג', הנפוצים במקומותנו []
  2. גדול מדי לטעמי []
address
tour

על הפנים

דרור פויר קורץ בעין ואומר כי "הרי כל מהות הפייסבוק היא ויתור על הפרטיות", והוא אינו היחיד, ושניהם טועים.

(עדכון: הנה עוד בת יענה).

כאשר כל אחד מאיתנו מפרסם (בעיתון או בבלוג), אנו עומדים על תיבת הסבון שלנו במודע ומופגן ופונים לקהל, אין לנו ציפיה לפרטיות. כאשר כל מי מאיתנו כותב דוא"ל לחבר או חברים, או משוחחים בטלפון, יש לנו צפיה מלאה לפרטיות.

פייסבוק התיימרה להיות פלטפורמת תקשרות בין חברים. לא במה. זו אחת הסיבות המרכזיות שהיא זכתה להצלחה גבוהה יותר מ-MySpace. השינוי והפרסום של הגדרות הפרטיות היו מטעים. משל היה ספק הדואר שלי מפרסם ברבים את כל הדואר שלי אם הייתי מבקש אישור מסירה.

נכון, ישנם משתמשים טיפשים. הדוגמה החביבה עלי היא אותם משתמשים שבתגובה לפרסום פומבי, שולחים תגובה "ניפגשים ביום ג'? אל תגיד לאישתי". אין מכאן לומר שעצם השליחה של הודעה ממני למאן דהו הופכת את ההודעה לפרסום. כאשר אני יושב עם חברים במסעדה, אני לא מצפה כי בעל המסעדה ישדר את העובדה שאכלתי בה (ואת תוכן השיחה) לכלל העולם.

ההכרזה "אל תשמשו בפייסבוק" משולה ל"אל תשלחו דואר לנמען ב-gmail או MSN. ישנם מספר דרכים לשפר את רמת הפרטיות בפייסבוק. פייסבוק עצמם מודים בכך, ואתרים נוספים מדריכים כיצד.

אין בכך לומר שאין צורך לבוא בטענות לפייסבוק. אך לעמוד מן הצד ולצקצק בלשון נראה לי טיפשי, ואולי אף מסוכן. אם אפילו Mozilla, עושה לנו פעולות מאחורי הגב, הבעיה היא במגמה, ולא במוצר. הכתובת הייתה על הקיר מאז 1999.

(עדכון: איתן כספי פרסם סרטון משעשע (?) על המידע שלנו וגוגל):