security

כללי אצבע למניעת חרדה

Submitted by Gil Freund on Sat, 2010-07-24 11:00

האם יש מידה מסויימת של היסטריה ופרנויה במקרה של מעיין דק וצומת ספרים? גם יונתן קלינגר וגם אבנר פינצ'וק חושבים שלא. הם צודקים, אך הדיון, לדעתי מופנה מהר מדי לכוון השימוש בזיהוי ביומטרי ולא לסוגית איסוף המידע וסוגית האמון.

אם נביט במערכות נוכחות, עצם קיומם מצביע על בעית אמון בין עובד למעביד. האם לא די, בכל מקרה של תשלום המבוסס על שעות עבודה להגיש פיסת נייר או גיליון אלקטרוני בסוף היום, השבוע או החודש? למרבית מקומות בעבודה המשתמשים במערכת נוכחות יש גם אפשרות לקלט ידני, עבור עובד שהתחיל או סיים את יום העבודה במקום בו אין גישה לשעון נוכחות או במקרה של תקלה. מקומות העבודה עברו מכרטיסיות נייר לכרטיסים מגנטים משיקולים של נוחיות ויעילות. מרבית מקומות העבודה עברו למערכות ביומטריות מאותם שיקולים, פשוט משום שיש אלמט של חיסכון הנובע מעלות הכרטיסים המגנטיים. שיקול האמון בעובד לא בא לידי ביטוי, שכן, כפי שציינתי קודם עצם קיום שעון הנוכחות מצביע על בעית אמון.

בהנתן כי מערכות זיהוי ביומטריות אינן מושלמות בפני עצמן, הן עדיין פשרה, ולא בהכרח הגרועה ביותר. הבא נבחון מספר חלופות וההשלכות שלהן:

סר וזעף

Submitted by Gil Freund on Fri, 2010-07-23 03:27

כתבה של יניב פלדמן הותירה אותי כועס. לא על הכותב, אלא על המצב אותו הוא מתאר:

בשנים האחרונות בהם ביקרתי בתור יועץ בארגונים גדולים וקטנים בארץ, ראיתי איך בכל מקום, אנשי IT מצליחים למצוא דרכים כיצד לעקוף את המדיניות הארגונית ולהריץ תוכנת שיתוף קבצים כאשר הארגון חוסם זאת לכולם, להגדיל לעצמם את תיבת הדואר ולהוריד מגבלות על שליחת קבצים ובמקרה אחד אף הגדיל אחד ממנהלי הרשת להתגאות בכך שהוא הצליח לאתר את קובץ המשכורות של החברה והציג אותו בפני.

הייתי רוצה לומר כי הוא מגזים ואין בידיו נתונים אמיתיים, אך ההסתיגות היחידה שלי הוא מהשימוש בביטוי בכל מקום. אני רק יכול לומר את מה שהטפתי לאלו שעבדתי מולם, לאלו שניהלתי ונוהלתי על ידם.

עבודת ה-IT בעידן הנוכחי היא משרת אמון מהדרגה הגבוהה ביותר. אינני חושב שאגזים אם אציב אותה באותה רמה של פסיכולוג, רופא, עורך דין רואה חשבון או מנחה רוחני. אנשים מניחים בידנו מידע קריטי, ואין הבדל אם מדובר בתזרים המזומנים של חברת ענק או תמונות יום ההולדת של הילדים. ישנם מגנונים היכולים לשמור על מידע גם מפני אנשי IT חטטנים. ישנם אנשי IT שישאירו לעצמם דלת אחורית (לעיתים בידיעת הארגון), על כל צרה שלא תבוא. זהו מנגנון רע. לכל אורך הקריירה שלי הקפדתי על מידור: סירבתי לדעת ססמאות של משתמשים והשתמשתי באותם ערוצי גישה למערכת שדרשתי מאחרים. לא תמיד דרך זו הייתה הנוחה ביותר, משתמש שרצה שיטפלו במערכת שלו בזמן ארוחת הצהריים היה מעדיף לפעמים להשאיר את הסיסמה לצוות הטכני, אך אני תמיד התעקשתי כי גישה למידע של צוות ה-IT יהיה בנוכחות המשתמשים האחראים על המידע.

יש גם שיקול אנוכי. לאנשי IT אין את ההגנה של החוק בכל הנוגע למידע אליו יש להם גישה. לפיכך, כל איש IT ששכל בקודקודו יתרחק ככל האפשר מלגשת למידע שאינו חיוני לתפעול המערכות, לסיוע למשתמש או לפעילות החברה.

האינטרנט זה אמריקה

Submitted by Gil Freund on Tue, 2010-07-06 22:30

רוח משונה נושבת בארה"ב. הסנט מסמיך את הנשיא לנתק את האינטרנט וצוות הבטחון הלאומי יוזם מערכת זהות לאומית. דומה כי האמריקנים הם קרתניים לא פחות מאיתנו.

האינטרנט קמה במקורה להתמודד בדיוק עם הסכנה של כשל בנקודה מרכזית. הסכנה בזמן פיתוח האינטרנט הייתה של טילים או מפציצים סובייטים, כעת עליה להתמודד עם ממשלת ארצות הברית. מערכת הזהות הלאומית גם היא חסרת ערך, כאשר לא מעט מהפשיעה הקיברנטית נובעת מתוך הסחר הבין לאומי. האם מהיום נצטרך ויזה רק כדי לקנות ב-eBay?

Open Data, Open Process

Submitted by Gil Freund on Thu, 2010-06-17 22:00

Governments love data. Nothing new about this. Data collected for financial reasoning (at the time) is a very helpful tools for today's historians.

Now, however, we don't seem to want to wait 900-2,400 years for this data. This want of open data, can have unwelcome consequences, warn both Danah Boyd and Lawrence Lessig. While both are not opposed to transparency and open data, both quote examples where they feel individuals privacy and freedom might be compromised by exposure, due to bad openness policies. Both also note that the influx of data can be manipulated to provide misleading interpretations of the data.

I think this is an incomplete view of the benefits of open data. The value of open data is not only in the raw data researching tools such as gapminder or Worlfram Alpha, or for storing it in the internet archives for future historians. Access to this data also allows us to question the processes and policies leading to the collection and use of this data.

American, do you speak it?

Submitted by Gil Freund on Mon, 2010-04-26 00:54

I think Jeff Jarvis has answered his own question. It is the users who should be in control of their identity, and by being in control of their identity they not only control what they want to make public, but also what degree of publicity they allow on their private data.

In order to control identity, some sort of authentication is required. Identity and Security are the bases of privacy. In order to control my privacy, I, and only I, should have access to my data and with whom I want to share it. Security and Identity management, however, are complex. I have more then 60 accounts, from mail, social network tools and sites, banks and services. About half of those account relate to my public identity. Not everyone has the means to establish their own OpenID and Oauth servers and services. It is obvious that Facebook, Google, Microsoft, Apple and twitter are all more then happy to take this role for us. While we can make a case that entrepreneurs might need a IT expertise, can we make the same case for the consumer? If we see the future as one in which the entrepreneurs and the consumer can switch roles, or even be the same, then yes, I think we should.

כללי אצבע למניעת חרדה

סר וזעף

האינטרנט זה אמריקה

Open Data, Open Process

American, do you speak it?

Look ma, no evil

Open and Trust

Circle the wagons!