חופש הדיבור

שבוע של כנסים (2) , Infosec או מי צריך את IFIS ?

למי שהיה אתמול בכנס Infosec היה קצת קשה לפספס את ההקמה של IFIS שהוזכרה בערך בחצי מההרצאות.

אותי, לפחות , עניין לשמוע את שני הפאנלים (זה של מנהלי האבטחה וזה  של האנשים הטכניים) , ואת ההרצאה של אמיר בין יוסף ושל מיכה וויס וכמובן כמו בכל כנס טוב .. איך אפשר שלא לפגוש קולגות / חברים / מכרים / עמיתים / לקוחות וכו' .

בכל מקרה, אני שמעתי לפחות פעמיים בשני המושבים (משוב הכוונה למסלול) את הקריאה להצטרף ל IFIS , וההסברים למי שלא מכיר את IFIS .

אז לטובת אלו שלא היו , למה בעצם צריך את IFIS ?

למעשה, כבר בעבר נעשה נסיון (שלא צלח) להקים ארגון בלתי תלוי שיסייע ויטפל בכל הנושאים הקשורים לאבטחת מידע (או להגנה על מידע כמו שאני אוהב לקרוא לזה) , הכוונה בזמנו היתה להקים סניף של ISSA (וכרטיס החבר עדיין מסתובב לו בארנק שלי) – אולם לדעתי, וזוהי דעתי בלבד , אינטרסים שונים (עסקיים) בסופו של דבר גרמו לאי אמון ביוזמה מצידם של אנשי המקצוע (וגם שלי) ומרבית האנים לא רצו לקחת בארגון זה חלק .. כך שהוא די נמוג לו אל תהום הנשייה.

אבל למה בעצם צריך ארגון שכזה, למעשה, ולא חשוב איך יקראו לארגון, קיים היום בארץ פער מאד גדול בין הגדרות החוק, היכולות של מנגנוני האכיפה, היכולות של מנגנוני היעוץ ואחרים בכל הנוגע לשוק של ההגנה על המידע. וכאשר קיימים פערים או חסר , מי שממלא אותם הינם בעלי אינטרס עסקי – שזה אולי טוב לכיס שלהם, אבל לא טוב בהכרח לציבור הרחב ו/או למדינה עצמה.

רוצים דוגמה, בבקשה, לא מזמן פורסם כי ביהמ"ש המחוזי בתל אביב שיחרר (וזיכה) אדם שנחשד בהיותו מפיץ של חומר פורנוגרפי / פדופילי וצרכן של חומר שכזה, ככל שאני יודע לפחות צריכה של חומר פורנוגרפי אינה עבירה כל עוד היא מתבצעת בין בגירים , אך חומר פדופילי בגלל שמעורבים בו קטינים מהווה עבירה פלילית . בכל אופן בזיכוי כתב השופט כי לא הוכח שהקבצים נשמרו אצל הנאשם במחשב, וזאת כאשר צויין קודם לכן שהוא עבד עם תוכנת שיתוף קבצים כלשהיא (שמן הסתם בברירת המחדל כן שומרת את הקבצים במחשב) .

השופט כמובן לא אשם בטעות זו , אבל אני מניח שהוא לא קיבל את הייעוץ המקצועי בתחום המחשב לו הוא נדרש בעת כתיבת פסק הדין ..

אם כך, מי באמת יכול לייעץ לשופט בעיניין שכזה ? התשובה לכך אינה מסובכת , חוק המחשבים קובע כי יהיה זה "מומחה" מחשבים .. עכשיו נשאל את השאלה הפשוטה , האם מפתח בג'אווה הוא מומחה מחשבים , והתשובה לכך היא כן .

אם אותו מפתח ג'אווה , עובד ובזה ולמד את זה הוא מוגדר על פי חוק מומחה מחשבים – אבל כיודע לכם, בינו ובין הייעוץ אשר נדרש כאן אין ולא כלום .

אם יבוא מישהו לבית המשפט עם שלל של 7 תעודות הסמכה צבעוניות ממיקרוסופט – האם הוא מומחה מחשבים ? התשובה היא כן , MCSE על שלל התעודות שלו , יכול להרשים את ביהמ"ש – אבל זה לא אומר שיש לאותו אדם יכולת להבדוק ולהבין בנושאים של תפישת ראיות , בדיקות שונות וכיוצ"ב.

לא חסרות דוגמאות נוספות, לדוגמה, הצורה בה מתכננים ליישם זיהוי ביומטרי, העברת מידע בין הרשויות לאזרח על תשתית אינטרנטית ועוד.

דוגמאות זו רק באה להמחיש שיש פערים שונים בין הצרכים והמציאות . את הפערים הללו , לא רצוי שיימלאו גופים מסחריים , בגלל שלהם קיים אינטרס מובהק (או לאנשים שלהם ) וזה למלא את האינטרס של החברות בהם הם עובדים .

IFIS הינה נסיון להקים מעין גילדה מקצועית , תחת מעטה של עמותה, אשר תתפעל בתוכה וועדות שונות ותסייע לקביעת כללים מוסכמים בכל הקשור להגנה על מידע .

כמובן, האינטרס הראשוני צץ מכיוונם של חברות העוסקות בתחום – כלומר בערך אותה הבעיה אשר התקיימה בזמנו ב ISSA . לי אישית היו מספר שיחות עם גורמים ב IFIS , אשר קיבלו את עמדתי, שהוועדות המקצועיות השונות לא צריכות להיות מונחות או מובלות ע"י בעלי אינטרס עסקי, אלא ע"י אנשים העוסקים בהגנה על מידע בחברות (דהיינו מנהלי אבטחת המידע של חברות) , אין ספק שגם לספקים (חברות מסחריות המספקות מוצרים ושרותים) יש מקום ב IFIS אולם לא בהובלת הקבוצות המקצועיות.

אישית, הצטרפתי לקבוצה העוסקת בהדרכה וקיבלתי על עצמי את הנושא של קורסי לינוקס (ישנה כוונה להעביר קורסים בחינם או בעלות מינורית , כלומר כמה עשרות שקלים, לחברי העמותה) , קורסים אחרים מועברים ע"י אנשים נוספים העוסקים בתחום .

כמו כן הצטרפתי , על פי בקשה, לתת הועדה העוסקת בנושא של עבירות מחשב , forensics ורגולציה.

מציע למי שקורא , לחשוב האם הוא יכול לתרום, איך הוא הוא יכול לתרום – וכמובן להצטרף . ככל שיצטרפו יותר אנשים – הפרוייקט הזה יצליח.