בלוגים ששרון קוראת » חורים ברשת » האם כל אדם ראוי להיות מומחה אבטחת מידע?

Feeds

30784 items (16526 unread) in 102 feeds

• 2jk.org:: Intellect or Insanity (477 unread)
• Absolut Carmel (18 unread)
• AlleyMule
• ‫Connected (95 unread)
• ‫Morning Candy‬ (493 unread)
• ‫OMG (17 unread)
• ‫We CMS‬ (142 unread)
• ‫ברמה העקרונית (14 unread)
• ‫גם-שם (292 unread)
• ‫האויב הציני (3 unread)
• ‫הבלוג של אלית (35 unread)
• ‫הבלוג של רן יניב הרטשטיין / Ran Yaniv Hartstein's Blog (76 unread)
• ‫המכללה‬ (107 unread)
• ‫הסיפור האמיתי והמזעזע של‬ (175 unread)
• ‫הפנקס הפתוח‬ (80 unread)
• ‫הפרדוקס‬ (21 unread)
• ‫הצלחת המעופפת - לא מדע בדיוני‬ (96 unread)
• ‫יונית מוזס‬ (40 unread)
• ‫לא שומעים!‬ (266 unread)
• ‫מדע בזיוני (120 unread)
• ‫פרסום גרילה באינטרנט - ינאי הנגבי (65 unread)
• ‫רויטל סלומון‬ (208 unread)
• ‫תחשוב טעים, יהיה טעים.‬ (138 unread)
• Bitterness Inc. (37 unread)
• Candy's mini blog (60 unread)
• CityMule - 'Brief Mainstream Reviews for the Masses'
• Content / Interactive (3 unread)
• Hope is the thing with Feathers (26 unread)
• It's All About Causality
• Press REC & PLAY (9 unread)
• rez plz (4 unread)
• shuru HABITU oor oo (32 unread)
• The Collective Blog feed (10 unread)
• The Daily Dolly (73 unread)
• things.co.il (62 unread)
• Touching Is Not Permitted (89 unread)
• TumbLizard (1 unread)
• xslf.com
• Yellow Spot (2 unread)
• אלעד בבלוגלי (127 unread)
• אנחנו בדרך להיות פרה קדושה (13 unread)
• אנקדוטות (58 unread)
• אסכולת הכורסא (518 unread)
• בטחון בתנועה (67 unread)
• בלוג דמיוני (104 unread)
• בלוג זה לחלשים (48 unread)
• בלונדינית בעיר הקודש (12 unread)
• בצק אלים (50 unread)
• ברכה גולשת בבלוגלי (2 unread)
• גרבילים של תשוקה (31 unread)
• דברים קטנים (136 unread)
• דברים קטנים באמת (18 unread)
• דיליש
• הבלוג של אחי דקר (61 unread)
• החברים של ג'ורג' (697 unread)
• החיפוש אחר המשהו (14 unread)
• היתוך קר למפגרים (1373 unread)
• המרתף (87 unread)
• המשתה - אייל גרוס (40 unread)
• הרהורים של אבא (177 unread)
• ואן דר גראף אחותך (86 unread)
• וובסטר 3 - חנן כהן (225 unread)
• זו ש -.- .- -. (40 unread)
• חדל קשקשת ברשת
• חדר 404 (2154 unread)
• חומוס להמונים (192 unread)
• חורים ברשת (2802 unread)
• חיבור (19 unread)
• טייק 2 :: יעל הראל (16 unread)
• טל גלילי (138 unread)
• ישראלים באפלה (109 unread)
• כוסית עם אובססיית שואה
• כי וטרינר חייב להיות משוגע
• כרובית ירדה לעולם (7 unread)
• לא יפה, לא אופה ולא מוצצת
• לא רואה בעיניים (96 unread)
• לחתוך את הקיווי (11 unread)
• לטאת האמבט
• ללא אליבי (30 unread)
• מִלָּה (14 unread)
• מהדורה אחרונה (177 unread)
• מתעוררת למציאות (108 unread)
• נגיסה מהתפוח (1 unread)
• ניימן 3.0 (411 unread)
• נפלאות התלונה (11 unread)
• סטארטר (45 unread)
• סימן שאלה (29 unread)
• סינמסקופ (1104 unread)
• עוד בלוג תל-אביבי (164 unread)
• עומר קפלן (36 unread)
• עונג שבת (270 unread)
• עלילות נויפלד בעיר זרה
• עתיד מזהיר (19 unread)
• פיראנה קארינה (40 unread)
• צריכה לחשוב על זה (681 unread)
• קודח (2 unread)
• רק אי שפיות (60 unread)
• רק רשת (1 unread)
• שידורי ניסיון (147 unread)
• שתי האגורות שלי (1 unread)
• תודעה כוזבת (261 unread)
• תעשו לט גו

חורים ברשת

• January 17, 2012
• 

  האם כל אדם ראוי להיות מומחה אבטחת מידע?

  Posted: January 17th, 2012, 4:59pm MST by ד"ר נמרוד קוזלובסקי

  האם תחום אבטחת המידע פרוץ לחלוטין? האם אין כל כללי כשירות ואתיקה כדי להציע שירותים רגישים של אבטחת מידע רגיש או חקירות במידע? האם לגיטימי לעבור עבירות מחשבים חמורות ובמקביל או לאחר ריצוי העונש להמשיך ולפעול בתחום? למרבה הצער, התשובות לשאלות אלו מטרידות ובעיקר במציאות הימים האחרונים.

  בתחום אבטחת המידע בישראל אין היום כל הסדרה רשמית של הכשירות והכשרות לעסוק בתחום ואין כל מגבלה על מי שעומד לדין בפלילים בגין עבירות מחשב או מורשע בפלילים בעבירות על פי חוק המחשבים להמשיך ולהציע שירותיו בתחום תוך הסתרת הרקע “התעסוקתי”.

  קריאתם החוזרת ונשנית של הארגונים המקצועיים האמונים על התחום דוגמת האיגוד הישראלי לביקורת ואבטחת מערכות מידע ISACA והפורום הישראלי (לאומי) לאבטחת מידע ומר אבי וייסמן להסדיר את העיסוק המקצועי נותרת תקופה ארוכה בחלל האוויר וכל מי שמצוי בתחום יודע שהשחור, האפור והלבן מתערבבים בו בלי יכולת אבחנה. במציאות הימים האחרונים, בהם ניכרת החשיבות של אבטחת מידע מניעתית ובדיקות חדירות יזומות לאיתור ליקויים וחקר מקדים של אירועי אבטחת מידע והחקיקה מתקדמת בכיוון – חשוב לא לשכוח גם את הסדרת הכשירות והכשרות של העוסקים במקצוע. גיא מזרחי, מבכירי הענף, עמד על כך בוועדת המדע של הכנסת בהתייחסו ל”שוק הלימונים” בכוונו לשוק בו בידי הלקוחות אין כלים לעמוד על איכותם המקצועית ויושרתם של העוסקים בתחום.

  כל מי שמצוי בתחום מבין עד כמה רגיש העיסוק באבטחת מידע ובחקירות מידע. העוסק בתחום מנטר, מחלץ, מנתח ומעיין במידע אישי, עסקי חשאי ורגיש בשגרת יום עבודתו ונכנס למערכות מחשב מוגנות לשם אבטחתן ומיגונן והם לשם השגת מידע וחומרי חקירה. הקו האתי והמוסרי של העוסק בתחום והרתעת המשפט הם המגנים היחידים בפני שימוש ביכולות טכנולוגיות למטרות פסולות אף שהפיתוי לעשות כן רב, ויש שאינם עומדים בפיתוי.

  עבור העוסקים בתחום, פרשת הסוס הטרויאני (זו שהסעירה את המדינה בשנת 2005) הייתה קריאת אזהרה מפני שימוש לא ראוי ובלתי חוקי ביכולות של טכנולוגיות מידע לריגול עסקי והתחקות שיטתית אחר יעדים אטרקטיביים (בהם אנשי עסקים בכירים, וניסיונות כנגד עורכי דין ועיתונאים). התקשורת געשה, הקהילה העסקית הוכתה בהלם מפני חומרת התופעה ועומק חדירתה לתרבות העסקית בישראל דאז. היה נדמה שצלצול ההשכמה האמור ישנה את המציאות ויוביל לגל חקיקה, רגולציה, פיקוח ואכיפה, כדי להבטיח שלא ישנה כדברים האלה. והנה זה פלא – למרות הליך משפטי ארוך ומתיש (שנוהל במקצוענות מעוררת הערכה על ידי עו”ד חיים ויסמונסקי, ידידי מהפרקליטות) והרשעות של המעורבים, המציאות לא השתנתה.

  כל מי שמצוי בתחום ילמדנו עד כמה התרחב והועמק השימוש בכלים פסולים ובלתי חוקיים בחקירות מידע ובריגול מידע: מסוסים טרויאנים העומדים להשכרה, דרך SpyPhone בהמוניהם לטלפונים סלולאריים וכלה בדלף מידע בתשלום ממאגרים ציבוריים, והחשיפות האחרונות בנושא הן רק קצה הקרחון.
  קול מן העבר

  והנה זה פלא, לא רק שברמת המקרו לא השתנה דבר לטובה (וההיפך הוא הנכון), גם ברמת המיקרו חוזרים ה”גיבורים” של פרשות העבר האפל ומבקשים את אמון הציבור להפקיד בידיהם את מערכות המידע הרגישות והחשאיות אף שסרחו ולאחר שבית המשפט אמר את קולו בבירור על חומרת מעשיהם. וכפראפרזה על מאמר הרב, זה חוקי אבל מסריח.

  כך לדוגמה, בסערת האירועים של הימים האחרונים, חוזר אלינו קול מן העבר. מיכאל אפרתי שיחד עם אשתו רות הוסגרו לארץ והורשעו בפרשת הסוס הטרויאני ונדונו למאסר (היא לארבע שנים והוא לשנתיים) ולפיצוי כספי ניכר, חוזר אלינו כעת כמומחה אבטחת מידע.

  ונזכיר למי ששכח: מיכאל אפרתי ואשתו רות הורשעו בפרשת הריגול העסקי החמור ביותר שידעה ישראל. פרשת הסוס הטרויאני שהסעירה את ישראל בשנת 2005 וחשפה כי בכירי הקהילה העסקית שכרו שירותי חוקרים פרטיים אשר עשו שימוש בתוכנת סוס טרויאני לרגל אחר מתחריהם ולהשיג מהם שלא כדין מידע עסקי ותכתובות רגישות. הפרשה כללה גם מאמצעי ריגול בוטים אחר עיתונאים וניסיון לריגול אחר עורכי דין.

  בני הזוג על בסיס הודאתם הורשעו בעשרות עבירות בהן כלשון בית המשפט “עבירות מחשב, עבירות מירמה, עבירות שעניינן האזנת סתר, שימוש שלא כדין בהאזנת סתר; וכן, עבירות שעניינן פגיעה בפרטיות ניהול מאגר מידע בלתי מורשה ועוד” (גזר הדין בת”פ 40061/06) ובהחדרת התוכנה לכ-85 מחשבי קורבנות במצטבר. ובית המשפט עמד על חומרת העבירות בפירוט:
  

  “עניין לנו במעשי עבירה קשים, שבוצעו על ידי שני הנאשמים, כל אחד לפי חלקו, תוך בניית מערכת מתוחכמת של עשייה פלילית, שנכרכה בהתנהגות מירמתית, וברמיסת כל ערך של כבוד לזולת, ולפרטיותו. הנזק שנגרם לקורבנותיהם של הנאשמים, שהיו טרף למעלליהם, אינו ניתן להערכה במונחים של כסף.. הפגיעה שפגעו, איפוא, הנאשמים דנן בקורבנותיהם, היא, לא רק פגיעה בהם ובפרטיותם, אלא גם פגיעה חובקת זרועות עולם, המופנית כלפי הציבור בכללותו, בהציבה למולו איום מתמיד של פריצה לכל הסודות והמידע האצורים במחשביו, שמחסומיהם הוסרו.” בית המשפט עוד עומד על כך שהסדר הטיעון היה משיקולים של רשויות התביעה שנקשרה עימם (בעיקר לצורכי התיק למול החוקרים הפרטיים – נ.ק.) ולולי אותו הסדר, כמאמר בית המשפט, “היו צפויים הם לעונשים כבדים מאוד, אשר אמורים היו לעמוד על שנות מאסר ארוכות.”

  אשתו, רות, “פעלה בתחומי השיווק והתקשורת עם הלקוחות, וכן בתחום הפיקוח על העשייה בתוכנה בשוק המשתמשים” (מגזר הדין). כך, בפועלה למול משרדי החקירות שביצעו את הריגול העסקי ניהלה רות את הפעילות: “על מנת לוודא תוקפה של השליטה שרכשו הפולשים בשלב זה במחשב הנגוע, דאגו הנאשמת ומשרד החקירות, לסנן ולעבד את כל החומרים שהתקבלו בעקבות האמור בידי משרד החקירות, ולהעבירם לאחר מכן, אל לקוחות המשרד שהזמינו כאמור את השירות המתואר”.

  ראוי לציין כי פועלו של מיכאל אפרתי היה בפיתוח התוכנה והוא הורשע כמסייע לשלל העבירות ולא כמבצע עיקרי, הרשעה שיוחסה לאשתו רות, כחלק מהסדר הטיעון בתיק.

  בית המשפט אמר בפה ברור את דברו לגבי חומרת המעשה ושלח אותו ואת אשתו מאחורי סורג ובריח וחייבם בפיצוי ניכר.

  והנה זה פלא, מיכאל אפרתי חוזר אלינו ועתה מציג הוא את עצמו כמומחה אבטחת מידע. בפעולה מוצלחת של קידום עצמי בגוגל (אגב, שאפו על ההישגים בקידום בגוגל!), אפרתי הצליח למרק את עברו. מי שמחפש אחר מיכאל אפרתי יוצף בתוצאות חיפוש אודות האיש ופועלו משורה של אתרים המציגים מידע סדור ומפורט אודות האיש, אך אינם כוללים ולו אזכור מרומז אודות הפרשה או אודות עברו. המידע יספר על אביו ופועלו, על תחביביו של אפרתי ועל הישגיו הגדולים, אך אודות מעלליו המפורסמים – אין.

  יתר על כן, בהציעו את כישוריו בפיתוח תוכנה או בתחום אבטחת מידע, מוצג אפרתי באתר מומחים להעסקה כמומחה שנבדק ומקבל ציון של 5 כוכבים מתוך 5, הוא תו התקן באותו האתר לאיכות המומחה. רמז לא ניתן לגבי עברו או מהותה של הבדיקה שמצאו כי הוא ראוי לתו התקן והאמון. ואם בכל כך לא די, אפרתי מציג לראווה את שלל הפרויקטים בהם הציע את שירותיו ובהם, למרבה הפליאה, גם התוכנה שפיתח ומכר, Target Eye, ואשר בית המשפט הרשיעו בגין שירותים שנעשו באמצעותה (ויובהר, לא התוכנה נמצאה בלתי חוקית אלא השימושים שניתנו באמצעותה).

  עתה דומה כי פרשת ההאקר הסעודי הגיעה למיכאל אפרתי בעיתוי נפלא, שכן בימים אלה הוא מציג עצמו בגאווה כמומחה אבטחת מידע ומתראיין על הישגיו בחקירת מעלליו של ההאקר הסעודי. פרשני עיתונות הצמאים לכל פיסת מידע אודות הפרשה אף מוצאים לנכון לשבץ מאמרותיו של מומחה אבטחת המידע מיכאל אפרתי ואיש אינו בודק מי האיש ומה עברו. אגב, תמוהות גם פעולותיו לגופן, שכן כל מומחה אבטחת מידע יודע כי לעת קיומה של פרשת חקירה כנגד חשוד בפריצה לאתרים או בפעולת האקינג, חשוב לשמר ערוצי תקשורת עם המבצע ולנסות להתחקות אחריהם ולנטרם כדי להשיג מידע הקושר את האיש למעשה או לאסוף עוד פרטי התקשרות לניתוחם למול כתבי עבר קיימים, ואולם אפרתי החליט להתגייס לשורות כוחות החקירה (או שמא מישהו גייסו?!) ופעל ללא לאות לסגירת תיבת הדואר באמצעותה תקשר ההאקר הסעודי עם העיתונות, ובכך סיכל אפשרות חקירה שתכליתה להתחקות אחר עקבותיו.
  נקודות לזכות ולחובה

  גם למי שנפגע מהפרשה של ההאקר הסעודי הציג אפרתי עצות התמגנות וסיוע לקורבנות בבלוג שהוא כתב (שנסגר היום) והוא הבהיר כי הוא יכול לסייע לאנשים לברר האם הם נפגעי הפרשה. האם עלי למסור למר אפרתי את פרטי האישיים הרגישים ואפרתי יבדוק בעבורי במאגרים האם גם אני נפלתי קורבן?! האמנם מרצון היו מוסרים אנשים את פרטיהם לבדיקה בידיו האמונות של המסייע לעבירת המחשבים החמורה בתולדות ישראל? אני בספק.

  עמיתים מהתקשורת סיפרו לי על מאמציו הבלתי נלאים של מיכאל אפרתי לשווק את מרכולתו ואת הזעם שגאה בי למשמע הדברים אף אני לא אוכל להסביר. כנראה שבסופו של יום המשפטן שבי מוחה כנגד חולשתה של מערכת ההרתעה הפלילית וכישלונה לבער את הנגע מקרבנו ולסלק תפוחים רקובים מהסל. למרות שידולים ושכנועים רבים של ידידיי לרדת מהפרשה, רמיזות של עמיתים כי יש אף פוטנציאל עסקי בשיתוף פעולה עם מר אפרתי, ואף המלצות של חברים (“היית רוצה להסתבך דווקא איתו?!) החלטתי שהיושרה המקצועית שלי ומחויבותי האישית היא להצביע על הפרשה ושהציבור ישפוט. גם ניסיונותיה הרבים של רות אפרתי, במישרין ובאמצעות מקורבים, להשפיע עלי לא נשאו פרי, שכן מבית מדרשו של השופט חשין למדתי ש“מי שרחמן על אכזרים סופו להתאכזר על רחמנים”.

  ואודה, שיחות עם אנשים אודות הפרשה עוררו תגובות מעורבות. היו שעמדו על זכותו של אפרתי לעיסוק וזכותו להשתקם והבהירו כי הוא שילם חובו לחברה. היו אף שציינו כי לצד פועלו הפסול בפרשת הסוס הטרויאני, יש לאיש גם מניות זכות בתעשיית אבטחת המידע הישראלית ובכינונה ואף בסיוע לתעשיות הביטחוניות.

  מנגד, מומחי אבטחת מידע וארגונים בינלאומיים לאבטחת מידע עימם שוחחתי הציגו עמדה אחרת. לגישתם, מקצוע אבטחת המידע הוא מקצוע של אמון אישי ואתיקה ובו אדם מחויב לרף אתי שאינו פחות מזה של עורך דין או רואה חשבון. כשם שישנם כללי כשירות וכשרות להיות אדם עורך דין ונוהלי אתיקה המלווים אותו, כך ראוי שיוסדר גם מקצוע אבטחת המידע. שאם לא כן, כמילותיו של גיא מזרחי בוועדת המדע, אנו עתידים להיות בשוק של “לימונים” בו כל אדם מציג עצמו מומחה ואין מי שיכול לעמוד על תכונותיו של אותו מומחה. נראה כי הגיע העת להסדרת המקצוע ובה גם הסדרה של תנאי הכשירות למי שהורשע בפלילים ובעבירה שעניינה בתחום.

  מיכאל ורות האפרתי לא הגיבו לדברים שהועלו כאן.

  

  CC-by-2.0 altemark

  ראו גם: