היום קיבלתי דואר אלקטרוני לאיפוס הסיסמה שלי בגלובס, כולל קישור לעמוד איפוס הסיסמאות:

שלום גיל,
בימים אלו החלנו בעבודות שיפור ושידרוג הדסק
כחלק ממהלך השדרוג אופסו כל סיסמאות המשתמשים
אנא לחץ כאן לעדכון סיסמה חדשה לחשבונך
שינוי זה הוא צעד ראשון בדרך להפיכת הדסק למערכת תוכן גולשים מגיבה, אקטואלית ויעילה,
שתהפוך את הרשומים בה למומחים בתחומם, ופרסום הפרשנויות שלהם באתר.

התהליך כולל כמעט כל כשל בסיסי שניתן להעלות על הדעת:

1. עמוד עדכון הסיסמאות (כמו גם עמוד הכניסה של גלובס) אינם כוללים אבטחת SSL.
2. הקישור שנשלח כולל בתוכו גם את שם המשתמש ואת הסיסמה. מכאן שגלובס אינם מצפינים סיסמאות, אותה רמת אבטחה של פיצה האט¹.
3. אין כל סיבה לכלול את המידע הרגיש בדואר. ניתן היה לבקש מהמשתמש לגשת לאתר, ולשנות את הסיסמה או להוסיף את הבקשה בחיבור הבא של המתשמש.
4. הקישור איננו איפוס סיסמה, הוא בפועל כניסה למערכת עם הסיסמה הקיימת והפניה לעמוד שינוי הסיסמה.

עצוב.

1. כן, הקישור הוא לגלובס

למרות מאמציהם של אנשים טובים, עבר המאגר הביומטרי לשלב ישומי. בתקשורת הכתובה זה הנושא לסיקור מועט, ובעיקר תחת התחום הטכנולוגי.

שלוש נקודות:

1. המאגר הביומטרי הוא שלב נוסף בשחיקה של זכויות אזרח, ובאטימות של הממשלה לחובתה לאזרחיה. אטימות זו אינה יחודית לממשלות, אך לממשלות צריכה להיות החובה של השקיפות מול האזרחים, דבר שלא בא לידי במקומותינו, למעט ברמת ההצהרה.
2. המאגר הביומטרי אינו מחויב המציאות, ואינו משרת כל מטרה נוספת, הוא יקר ומיותר.
3. מקבלי ההחלטות הפגינו חוסר הבנה מהותי ויסודי של המשמעות של הקמת המאגר. כאשר שרלוק הולמס מנסה להרגיע את ראש ממשלת בריטניה כי מסמכים שנגנבו לא נמצאו אצל מרגלים ידועים, היה זה בעולם בו מידע היה כרוך במדיה הפיסית בו הוא אוכסן, ושיכפולו היה צרך זמן ומשאבים שלא היו זמינים בצורה נרחבת.

אסור לשתף פעולה עם המאגר הביומטרי. יש להתיחס למידע שימסר כגנוב ואבוד מהרגע בו ניתן. זאת היות וברגע בו יתגלה כי המידע נגנב, דלף או נמסר, יהיה זה מאוחר מדי לתקן כל פרצת מידע, תקנה קלוקלת או רשלנות של פקיד.

אין ספק כי חייהם של אלו שלא ישתפו פעולה עם מאגר המידע הביומטרי לא יהיו נוחים, הפקידים מולם הם יעבדו, כמו כלל האוכלוסיה, לא יקבלו תדרוך מקיף על אבטחת מידע, ולא יהיה להם הזמן, הסבלנות או הסמכות להתמודד עם אזרחים מודאגים. לא נותר אלה לקוות שכאשר נגלה כי האורווה נפרצה, לא היו בה יותר מדי סוסים, כי לא הקרנפים הם אלו שישלמו את המחיר.

יונתן קלינגר נבהל, ובצדק, מהתקציבים המתוככנים לחוק המאגר הביומטרי. ואין לי אלא להסכים איתו. כל מספר שיזרק בשלב זה יהיה בין אצבע רטובה ברוח לבין נל"ת¹. המספר החשוב בשלב זה הוא של שלב הניתוח של המערכת – צרכים, סיכונים וטכנולוגיות. המסמך של מרכז המחקר ומידע מודה כי המידע היחידי עליו הוא יכול להתבסס הוא עלות ההדפסה של תעודה, וגם כאן המידע חסר…

מאין, אם כן, המספרים?

• מה העלות של ניתוח המערכת. כלל האצבע שלי הוא של שהעלות האופטימית היא של 10% מההערכה הפסימית ביותר לעלות הפרויקט. אם נניח כי ה"מערכת הראשונית" תעלה 1.7 מיליון ש"ח, ואם נניח כי אותה מערכת תשמש במקום ניתוח המערכת, הרי שהפרויקט הוא בעלות של 17 מיליון ש"ח להקמה.
• הנושא הבא הוא תחזוקה. כאן כלל האצבע הוא של 15-20% לשנה, דהיינו, 2.5 עד 3.5 מיליון ש"ח לשנה.
• הוסף את עלויות ההדפסה, ותגיע למספרים דומים של המרכז למחקר ומידע.

אלא מאי. מעלות חסרת ביסוס של הפרויקט הגענו לעלות של התכנון ומכאן חזרה לעלות הפרויקט, נבואה שאמורה להגשים את עצמה.

הבא נבחן מספר חלופי:

• בבריטניה כ-65 מליון תושבים, ועלות פרויקט תעודת הזהות החכמה הוא ב-5.5 מליארד ליש"ט.
• אם נניח את אותם משתנים לגבי ישראל, שלה כ-7 מליון תושבים, נגיע ל-3.5 מליארד ש"ח, וזאת בהנחה כי הבריטים יותר טובים מאיתנו בניהול פרויקטי מיחשוב גדולים, והתחשיב שלהם מתאים יותר למציאות.
• נוסיף להנחה שלעיל את העובדה כי בישראל כבר קיים מנגנון של תעודות זהות ורישום, ואת העובדה כי לאזרחי המדינה יש כבר תעודות קיימות, כך שאין צורך בישום מהיר, נהיה אופטימיים עד מאוד, ונוריד את עלות הפרויקט ב-60%.

יותר ממיליארד ש"ח.

מופרך? חיזרו למאמר של יונתן קלינגר בו הוא מביא את דוגמאות לפרויקטים ממשלתיים אחרים.

ולסיום, השר שטרית הבטיח רמת הגנה של 11? לא ידעתי שהוא חסיד של ספינל טפ.

1. ניחוש לפי התחת

דרור פויר קורץ בעין ואומר כי "הרי כל מהות הפייסבוק היא ויתור על הפרטיות", והוא אינו היחיד, ושניהם טועים.

(עדכון: הנה עוד בת יענה).

כאשר כל אחד מאיתנו מפרסם (בעיתון או בבלוג), אנו עומדים על תיבת הסבון שלנו במודע ומופגן ופונים לקהל, אין לנו ציפיה לפרטיות. כאשר כל מי מאיתנו כותב דוא"ל לחבר או חברים, או משוחחים בטלפון, יש לנו צפיה מלאה לפרטיות.

פייסבוק התיימרה להיות פלטפורמת תקשרות בין חברים. לא במה. זו אחת הסיבות המרכזיות שהיא זכתה להצלחה גבוהה יותר מ-MySpace. השינוי והפרסום של הגדרות הפרטיות היו מטעים. משל היה ספק הדואר שלי מפרסם ברבים את כל הדואר שלי אם הייתי מבקש אישור מסירה.

נכון, ישנם משתמשים טיפשים. הדוגמה החביבה עלי היא אותם משתמשים שבתגובה לפרסום פומבי, שולחים תגובה "ניפגשים ביום ג'? אל תגיד לאישתי". אין מכאן לומר שעצם השליחה של הודעה ממני למאן דהו הופכת את ההודעה לפרסום. כאשר אני יושב עם חברים במסעדה, אני לא מצפה כי בעל המסעדה ישדר את העובדה שאכלתי בה (ואת תוכן השיחה) לכלל העולם.

ההכרזה "אל תשמשו בפייסבוק" משולה ל"אל תשלחו דואר לנמען ב-gmail או MSN. ישנם מספר דרכים לשפר את רמת הפרטיות בפייסבוק. פייסבוק עצמם מודים בכך, ואתרים נוספים מדריכים כיצד.

אין בכך לומר שאין צורך לבוא בטענות לפייסבוק. אך לעמוד מן הצד ולצקצק בלשון נראה לי טיפשי, ואולי אף מסוכן. אם אפילו Mozilla, עושה לנו פעולות מאחורי הגב, הבעיה היא במגמה, ולא במוצר. הכתובת הייתה על הקיר מאז 1999.

(עדכון: איתן כספי פרסם סרטון משעשע (?) על המידע שלנו וגוגל):

חשוד בשוד שוחרר לאחר שעידכון פייסבוק שעשה מבית אביו שימש כאליבי. עיון נוסף מעלה כי הוא היה עצור 12 יום. לא חשוב, העיקר הוא שהתשתית הראייתית מתבססת על רשת חברתית. זהו הסיפור בקצרה.
אבל אולי כדאי לקרוא קצת יותר לעומק, ולא להסתפק בתקציר:

מר ברדפורד, העומד למשפט על משעי שוד קודמים, טען שהוא בהארלם בזמן השוד ב-17 באוקטובר – טענה שנתמכה על ידי אביו של מר ברדפורד, רודני ברדפורד האב ואת אמו החורגת, ארנסטין ברדפורד, כך לדברי מר ראולנד.
מר ראולנד הודה כי, עקרונית, כל מי שידע את שם המשתמש והסיסמה מר ברדפורד של יכול היה לבצע את העדכון בפייסבוק, אבל הוא אינו רואה בה סבירות לכך.
"זה מצביע על רמה של גאון פלילי שלא היית מצפה נער צעיר כזה, הוא לא ד"ר רשע," מר ראולנד אמר, והוסיף כי כניסת פייסבוק היה רק "הדובדבן שבקצפת," היות ולקוחו עדים אחרים אשר סיפק אליבי.

אוקי. מבט מחודש. צעיר בן 19 מבלה 12 יום במעצר, למרות שיש לו שני עדי אליבי. עדכון הפייסבוק התקבל לא בגלל רמת אבטחת המידע המדהימה של פייסבוק, אלא כי הבחור יותר מדי אהבל לזייף את ההודעה.
אז מי האהבל? בחור שלא יודע לזייף הודעות פייסבוק ומסתמך על אביו ואמו החורגת לאליבי, או השוטרים, הפרקליטים והעיתונאים¹ שמאמינים בטכנולוגיה, ולא באדם.

1. והפוליטיקאים

ראש ממשלתנו, מתוך תבונה ושיקול דעת¹, החליט לדחות את ההצבעה על חוק מאגר המידע הביומטרי. מעבר לעובדה שזו דרכו העקבית להתמודד עם סוגיות מהותיות מתוך מחשבה לעתיד.
כאן נפתחת אפשרות לשוב ולהעלות את העוולות והטיפשות הקשורות בחוק זה.
על פניו, חוק חיובי, הנועד לפתור את סוגיות הזיהוי החד ערכי של אדם ולהתמודד עם נושא גניבת זהויות וזיופים ההופכים להיות קלים יותר. טביעות אצבע הן יחודיות לכל אדם, ולכאורה מהוות כלי מצויין לזיהוי. אבל, לא בכדי צריכים חוקרי משטרה להזהר בשימוש נמהר מדי בטביעת אצבע. טביעות אצבע מסביבה לא מבוקרת יכולות להטעות.
יתר על כן. החוק משלב תעודת זהות "חכמה" עם מאגר מרכזי. שילוב זה איננו מובן מאליו. ניתן ליצר תעודה חכמה שבה יהיה מידע ביומטרי שאיננו נכלל במאגר מרכזי. המידע הביומטרי יחתם על ידי מנפיק התעודה. כמובן, גם פתרון זה איננו מושלם, אך הוא עדיף על פני המאגר המרכזי. אי יכולתנו לשמר מאגר מידע מרכזי ללא דליפה היא עובדה, וזאת משום שמאגרים אלו נועדו, מעצם טיבם, לשיתוף, בדין, או שלא בדין. אם כאשר ידלוף מאגר המידע הזה, הוא יהווה מקור מצויין לזיוף זהויות ולפשעים:

וכעת לשאלה נוספת, פרטיות. בהנתן מאגר מרכזי, כל פעולה הדורשת זיהוי ניתנת גם למעקב. פעולות בבנק, חברת הביטוח, קופת חולים, עירייה ודואר. מידע זה לא יסולא בפז לגנבי הזהויות כמו גם למעסיקים, חברות ביטוח, בנקים וסתם נוכלים. וכל זאת בלי להזכיר את הממשלה.
תחום הביומטריה משתכלל ומשתפר על הזמן. מנעול ביומטרי בחדר השרתים או שעון נוכחות ביומטרי הם אביזרים היכולים לשפר את הפעילות בתוך רמת החברה. תעודות ביוטריות יכולות להקל בתחומים מסוימים (דרכונים הם דוגמה מוצלחת לכך). יש לזכור כי מאגרי טביעות האצבעות קיימים כבר למעלה מ-25 שנים, ועדיין מהווים רק חלק מתשתית ראייתית עליה מתבססות רשויות החוק. תחום אבטחת המידע עודנו תינוק בהשוואה לכך. אין פלא שחברות האשראי מתבססות יותר על תכנות המנסות לזהות פעילות עבריינית ועל ביטוחי סיכון מאשר על נסיון לאבטח את כרטיס האשראי עצמו.
קבלנו דחיה של שבוע. עד אז אולי הפריץ ימות, היהודי ימות או הכלב ילמד יידיש.

1. אימל'ה, ליברמן

היו"ר מקטר על קישורים מתים לאתר הארץ. אילנה ברודו מדברת על מות גאוסיטיס (הי"ד). מתבקשת השאלה, לאן הולך המידע והידע כאשר הענן מתאדה. השאלה עולה לא רק כאשר אתר או שרות נעלמים, אלא גם כאשר הם משתנים. אם תשנו את מבנה הקישורים באתר שלכם, כל הקישורים המפנים אליכם יכולים להפור ללא רלוונטיים.

אבל לא רק אתרי אינטרנט או שדרוגי גרסה עלולים להפות את המידע ללא נגיש. תוכנות המבוססות על תמחור שנתי יכולות להעלם אם אינכם יכולים לשלם את העלות השנתית. תוכנה ישנה עלולה להפסיק לתפקד היות והיא לא פועלת על חומרה חדשה. תוכנה מוגנת יכולה להפסיק לעבוד אם החומרה המשמשת להגנה מפסיקה לתפקד ואין לכם חוזה שרות או שהספק פשט את הרגל.

האם המידע שלנו יהיה נגיש עוד מאה שנים?

ואל תגידו שהכתובת לא הייתה על הקיר. בשנת 415 נשרפה הספריה של אלכסנדריה. רק בשנת 2002 היא הוקמה מחדש.

השפעת והחגים מרחיקים את העובדים מהמשרד. את מנהלי החברות, כנראה זה לא מטריד, למרות ש-30 עד 40 אחוז מכוח העבודה עלול להעדר עקב מחלה או מחלה של בן משפחה. פתרון חלקי הוא של עבודה מרחוק.

עבודה מרחוק איננה תפיסה חדשה. בארה"ב מעודדים אותה, בין השאר להוריד עלויות תפעוליות ופליטת חד תחמוצת הפחמן. אם אתם שוקלים התחברות מרחוק, הנה מספר דרכים אפשריות:

• התחברות למחשב בעבודה מהבית: על ידי התקנת תכנה כמו pcAnywhere אן VNC על המחשב השולחני והמרוחק. שיטה זו דורשת הגדרות ברמת ה-Firewall בחברה ושימוש בתקשורת מאובטחת.
• התחברות לשרת ישומים דרך ערוץ מאובטח. שרתי מסופים פופולרים אצל מנהלי IT¹, היות ומרבית השליטה נשארת אצל מנהל המערכת.
• התחברות דרך צד שלישי: ישנן מספר תכנות (או שרותים) מצד שלישי המאפשרים לשני מחשבים לתקשר אחד עם השני ללא צורך בהגדרות על ה-Firewall. רשימה חלקית ניתן לראות כאן.
• העברת ישומים או מידע למערכות מבוססות Web: מערכות אלו² יכולים להיות מותקנים בתווך בין הרשת הארגונים לרשת האינטרנט, או אצל ספקים חיצוניים, ונגישים באותה מידה מתוך או מחוץ לרשת.

בכל מסלול שיבחר יש לבחון מאיזה מחשב חיצוני נוצר הקשר:

• האם המחשב יכול להוות סיכון של דליפת מידע או גרימת נזק על ידי שימוש לא נכון³
• מי אחראי על התמיכה והשרות למחשב ולקישור שלו לאינטרנט
• האם יש צורך ברישוי תוכנה נוסף למחשבים החיצוניים
• מה קורה לתצוגה של המחשב שבמשרד? במצב של שליטה מרחוק, עובדים או אורחים עלולים לראות את הפעילות על מסך המחשב.

כפי שניתן לראות קיימים לא מעט פתרון ובמקביל לא מעט סוגיות. הסוגיה המרכזית היא, כמובן, האם יש ערך לארגון לאפשר גישה מרחוק.

1. ופחות אצל המשתמשים
2. כגון ניהול מסמכים או אפילו ישומים משרדיים
3. של בן משפחה למשל

מעבר להשרות בהלה, הייתה לי יומרה לנהל בלוג בנושא מערכות מידע ועסקים קטנים. אז מה יכול עסק לעשות לקראת ימי השפעת הקרבים. אינני מאמין כי נראה יוזמה ממשלתית שתתן הגנה לעסקים קטנים שיפגעו מאובדן ימי עבודה בעקבות שפעת.
ניקיון והיגינה.
מקלדות ומארזי מחשב הם מלכודות אבק וליכלוך. הדרך היעילה ביותר לנקותם היא על ידי לחץ אויר (בשאיבה או בדחיסה). בלוני האויר הדחוס הנמכרים בחנויות ציוד משרדי ומחשבים יקרות ואינן מחזיקות זמן רב. מדחס פשוט או שואב אבק חזק יעשו עבודה טובה יותר.
אם אתם עובדים עם נותן שרות חיצוני, העובד על מספר מחשבים בחברה באותו יום, השיגו לו כפפות חד פעמיות או ג'ל ניקוי לידיים.
עבודה מרחוק.
יש לזכור כי שפעת של בני משפחה של עובד יכולה להשבית את העובד לא פחות ממחלתו הוא. עם זאת עובד המטפל בבן משפחה חולה אינו חייב להיות מנותק ממקום העבודה. זה הזמן לברר אפשרויות של עבודה מרחוק. נושא זה מספיק מורכב לפוסט נפרד.
אוורור.
מזגנים וחניונים תת קרקעיים יוצרים מלכודות אויר. השתדלו לאוורר ככל האפשר.
מדיניות של דלתות פתוחות.
במרבית בניני המשרדים השרותים ממוקמים בקומה או בחדר המדרגות ולא במשרדים. מכאן שלהגיע לשרותים ולחזור דורש לעבוד שתים עד ארבע דלתות. התשתמשו במרפקים לפתוח דלתות דחיפה. אם אין לכם כרטיס קרבה לפתיחת דלתות השתדלו להנהיג מדינית של פתיחת דלתות על ידי היושבים בתוך האתר.

אזורים מספר 1!!!!! אזורים שולטטטטטת!!!

מדהים! ישנם ככל הנראה לא מעט (500) משקי בית שרכשו לפחות דירה אחת מכל חברת בניה (3 לפחות). ברור, אחרת איך יכלו הנסקרים לענות על השאלה מי החברה הטובה והאמינה ביותר? האם דירה היא המבורגר?

סקירת מוצרים או שרותים היא לא פשוטה. האם ניתן לסקור 100 מוצרים תוך 100 שעות, אפילו אם ישנם חמישה סוקרים? האם יש ערך בסקירה שכזאת מעבר לגימיק שיווקי?

סקירות וסקרים הם כלים חשוב לצרכן, ולכן יש לבחון לא רק את הסקירה, אלא את מקורה והמניעים לכתיבתה:

• אתרים המתמקדים בסיקור. אך תמיד יש לזכור את הפיאסקו של אוביקטיבי.
• ישנן סקירות אנקדוטליות, יתרונן הגדול הוא בעובדה כי מדובר באנשים שחיו את המוצר או השרות, חסרונם הוא בכך שאותם אנשים לא יכולים¹ לא רוצים לבלות את זמנם בסיקור מוצרים.
• סיקור באתרים מכירות. אמזון הוא דוגמה מובהקת לכך. אם כי תמיד יקנן החשש כי המשווק הוא גם בעל עניין.
• עיתונות מקצועית. לכאורה המקום המתבקש, אך ראו את הסקר אתו התחלתי את הפוסט.

כיצד אם כן לבצע בדיקה של מוצר או שרות. כל התשובות נכונות. אך ראוי להקצות לכל אחת מהן את המשקל הראוי.

1. ומן הסתם