פופולרי עכשיו:
Warning: current() expects parameter 1 to be array, null given in /home/holes/public_html/wp-content/themes/horim/functions.php on line 238
האם מלשינון בעלי הדירות המקוון אפקטיבי?

עדכונים במייל

פוסטים אחרונים מהבלוג

imageח”כ מירי רגב ומירי פסקל נגד הסודנים (וידאו)
תמונת אילוסטרציה, כנראה עבודת פוטושופהסיבה לגירושי זוג מהנגב: 550 חתולים
imageאילוסטרציה לסיפור אהבה ב-873 תמונות (וידאו)
s-MAOGENITALS-large.jpgבישל את אבר המין שלו והגיש לסועדים בארוחה (לא בעבודה)

ויראלי

default icon

האם כל אדם ראוי להיות מומחה אבטחת מידע?

מאת ד"ר נמרוד קוזלובסקי פורסם ב- 17.1.2012 בשעה 15:59

אהבתם את הפוסט?

האם תחום אבטחת המידע פרוץ לחלוטין? האם אין כל כללי כשירות ואתיקה כדי להציע שירותים רגישים של אבטחת מידע רגיש או חקירות במידע? האם לגיטימי לעבור עבירות מחשבים חמורות ובמקביל או לאחר ריצוי העונש להמשיך ולפעול בתחום? למרבה הצער, התשובות לשאלות אלו מטרידות ובעיקר במציאות הימים האחרונים.

בתחום אבטחת המידע בישראל אין היום כל הסדרה רשמית של הכשירות והכשרות לעסוק בתחום ואין כל מגבלה על מי שעומד לדין בפלילים בגין עבירות מחשב או מורשע בפלילים בעבירות על פי חוק המחשבים להמשיך ולהציע שירותיו בתחום תוך הסתרת הרקע “התעסוקתי”.

MUSIX - גישה חופשית למעל מיליון שירים, חודש ניסיון חינם ללא התחייבות

קריאתם החוזרת ונשנית של הארגונים המקצועיים האמונים על התחום דוגמת האיגוד הישראלי לביקורת ואבטחת מערכות מידע ISACA והפורום הישראלי (לאומי) לאבטחת מידע ומר אבי וייסמן להסדיר את העיסוק המקצועי נותרת תקופה ארוכה בחלל האוויר וכל מי שמצוי בתחום יודע שהשחור, האפור והלבן מתערבבים בו בלי יכולת אבחנה. במציאות הימים האחרונים, בהם ניכרת החשיבות של אבטחת מידע מניעתית ובדיקות חדירות יזומות לאיתור ליקויים וחקר מקדים של אירועי אבטחת מידע והחקיקה מתקדמת בכיוון – חשוב לא לשכוח גם את הסדרת הכשירות והכשרות של העוסקים במקצוע. גיא מזרחי, מבכירי הענף, עמד על כך בוועדת המדע של הכנסת בהתייחסו ל”שוק הלימונים” בכוונו לשוק בו בידי הלקוחות אין כלים לעמוד על איכותם המקצועית ויושרתם של העוסקים בתחום.

כל מי שמצוי בתחום מבין עד כמה רגיש העיסוק באבטחת מידע ובחקירות מידע. העוסק בתחום מנטר, מחלץ, מנתח ומעיין במידע אישי, עסקי חשאי ורגיש בשגרת יום עבודתו ונכנס למערכות מחשב מוגנות לשם אבטחתן ומיגונן והם לשם השגת מידע וחומרי חקירה. הקו האתי והמוסרי של העוסק בתחום והרתעת המשפט הם המגנים היחידים בפני שימוש ביכולות טכנולוגיות למטרות פסולות אף שהפיתוי לעשות כן רב, ויש שאינם עומדים בפיתוי.

עבור העוסקים בתחום, פרשת הסוס הטרויאני (זו שהסעירה את המדינה בשנת 2005) הייתה קריאת אזהרה מפני שימוש לא ראוי ובלתי חוקי ביכולות של טכנולוגיות מידע לריגול עסקי והתחקות שיטתית אחר יעדים אטרקטיביים (בהם אנשי עסקים בכירים, וניסיונות כנגד עורכי דין ועיתונאים). התקשורת געשה, הקהילה העסקית הוכתה בהלם מפני חומרת התופעה ועומק חדירתה לתרבות העסקית בישראל דאז. היה נדמה שצלצול ההשכמה האמור ישנה את המציאות ויוביל לגל חקיקה, רגולציה, פיקוח ואכיפה, כדי להבטיח שלא ישנה כדברים האלה. והנה זה פלא – למרות הליך משפטי ארוך ומתיש (שנוהל במקצוענות מעוררת הערכה על ידי עו”ד חיים ויסמונסקי, ידידי מהפרקליטות) והרשעות של המעורבים, המציאות לא השתנתה.

כל מי שמצוי בתחום ילמדנו עד כמה התרחב והועמק השימוש בכלים פסולים ובלתי חוקיים בחקירות מידע ובריגול מידע: מסוסים טרויאנים העומדים להשכרה, דרך SpyPhone בהמוניהם לטלפונים סלולאריים וכלה בדלף מידע בתשלום ממאגרים ציבוריים, והחשיפות האחרונות בנושא הן רק קצה הקרחון.

קול מן העבר

והנה זה פלא, לא רק שברמת המקרו לא השתנה דבר לטובה (וההיפך הוא הנכון), גם ברמת המיקרו חוזרים ה”גיבורים” של פרשות העבר האפל ומבקשים את אמון הציבור להפקיד בידיהם את מערכות המידע הרגישות והחשאיות אף שסרחו ולאחר שבית המשפט אמר את קולו בבירור על חומרת מעשיהם. וכפראפרזה על מאמר הרב, זה חוקי אבל מסריח.

כך לדוגמה, בסערת האירועים של הימים האחרונים, חוזר אלינו קול מן העבר. מיכאל אפרתי שיחד עם אשתו רות הוסגרו לארץ והורשעו בפרשת הסוס הטרויאני ונדונו למאסר (היא לארבע שנים והוא לשנתיים) ולפיצוי כספי ניכר, חוזר אלינו כעת כמומחה אבטחת מידע.

ונזכיר למי ששכח: מיכאל אפרתי ואשתו רות הורשעו בפרשת הריגול העסקי החמור ביותר שידעה ישראל. פרשת הסוס הטרויאני שהסעירה את ישראל בשנת 2005 וחשפה כי בכירי הקהילה העסקית שכרו שירותי חוקרים פרטיים אשר עשו שימוש בתוכנת סוס טרויאני לרגל אחר מתחריהם ולהשיג מהם שלא כדין מידע עסקי ותכתובות רגישות. הפרשה כללה גם מאמצעי ריגול בוטים אחר עיתונאים וניסיון לריגול אחר עורכי דין.

בני הזוג על בסיס הודאתם הורשעו בעשרות עבירות בהן כלשון בית המשפט “עבירות מחשב, עבירות מירמה, עבירות שעניינן האזנת סתר, שימוש שלא כדין בהאזנת סתר; וכן, עבירות שעניינן פגיעה בפרטיות ניהול מאגר מידע בלתי מורשה ועוד” (גזר הדין בת”פ 40061/06) ובהחדרת התוכנה לכ-85 מחשבי קורבנות במצטבר. ובית המשפט עמד על חומרת העבירות בפירוט:

“עניין לנו במעשי עבירה קשים, שבוצעו על ידי שני הנאשמים, כל אחד לפי חלקו, תוך בניית מערכת מתוחכמת של עשייה פלילית, שנכרכה בהתנהגות מירמתית, וברמיסת כל ערך של כבוד לזולת, ולפרטיותו. הנזק שנגרם לקורבנותיהם של הנאשמים, שהיו טרף למעלליהם, אינו ניתן להערכה במונחים של כסף.. הפגיעה שפגעו, איפוא, הנאשמים דנן בקורבנותיהם, היא, לא רק פגיעה בהם ובפרטיותם, אלא גם פגיעה חובקת זרועות עולם, המופנית כלפי הציבור בכללותו, בהציבה למולו איום מתמיד של פריצה לכל הסודות והמידע האצורים במחשביו, שמחסומיהם הוסרו.” בית המשפט עוד עומד על כך שהסדר הטיעון היה משיקולים של רשויות התביעה שנקשרה עימם (בעיקר לצורכי התיק למול החוקרים הפרטיים – נ.ק.) ולולי אותו הסדר, כמאמר בית המשפט, “היו צפויים הם לעונשים כבדים מאוד, אשר אמורים היו לעמוד על שנות מאסר ארוכות.”

ראוי לציין כי פועלו של מיכאל אפרתי היה בפיתוח התוכנה והוא הורשע כמסייע לשלל העבירות ולא כמבצע עיקרי, הרשעה שיוחסה לאשתו רות, כחלק מהסדר הטיעון בתיק.

בית המשפט אמר בפה ברור את דברו לגבי חומרת המעשה ושלח אותו ואת אשתו מאחורי סורג ובריח וחייבם בפיצוי ניכר.

והנה זה פלא, מיכאל אפרתי חוזר אלינו ועתה מציג הוא את עצמו כמומחה אבטחת מידע. בפעולה מוצלחת של קידום עצמי בגוגל (אגב, שאפו על ההישגים בקידום בגוגל!), אפרתי הצליח למרק את עברו. מי שמחפש אחר מיכאל אפרתי יוצף בתוצאות חיפוש אודות האיש ופועלו משורה של אתרים המציגים מידע סדור ומפורט אודות האיש, אך אינם כוללים ולו אזכור מרומז אודות הפרשה או אודות עברו. המידע יספר על אביו ופועלו, על תחביביו של אפרתי ועל הישגיו הגדולים, אך אודות מעלליו המפורסמים – אין.

יתר על כן, בהציעו את כישוריו בפיתוח תוכנה או בתחום אבטחת מידע, מוצג אפרתי באתר מומחים להעסקה כמומחה שנבדק ומקבל ציון של 5 כוכבים מתוך 5, הוא תו התקן באותו האתר לאיכות המומחה. רמז לא ניתן לגבי עברו או מהותה של הבדיקה שמצאו כי הוא ראוי לתו התקן והאמון. ואם בכל כך לא די, אפרתי מציג לראווה את שלל הפרויקטים בהם הציע את שירותיו ובהם, למרבה הפליאה, גם התוכנה שפיתח ומכר, Target Eye, ואשר בית המשפט הרשיעו בגין שירותים שנעשו באמצעותה על ידי אחרים (ויובהר, לא התוכנה נמצאה בלתי חוקית אלא השימושים שניתנו באמצעותה).

עתה דומה כי פרשת ההאקר הסעודי הגיעה למיכאל אפרתי בעיתוי נפלא, שכן בימים אלה הוא מציג עצמו בגאווה כמומחה אבטחת מידע ומתראיין על הישגיו בחקירת מעלליו של ההאקר הסעודי. פרשני עיתונות הצמאים לכל פיסת מידע אודות הפרשה אף מוצאים לנכון לשבץ מאמרותיו של מומחה אבטחת המידע מיכאל אפרתי ואיש אינו בודק מי האיש ומה עברו. אגב, תמוהות גם פעולותיו לגופן, שכן כל מומחה אבטחת מידע יודע כי לעת קיומה של פרשת חקירה כנגד חשוד בפריצה לאתרים או בפעולת האקינג, חשוב לשמר ערוצי תקשורת עם המבצע ולנסות להתחקות אחריהם ולנטרם כדי להשיג מידע הקושר את האיש למעשה או לאסוף עוד פרטי התקשרות לניתוחם למול כתבי עבר קיימים, ואולם אפרתי החליט להתגייס לשורות כוחות החקירה (או שמא מישהו גייסו?!) ופעל ללא לאות לסגירת תיבת הדואר באמצעותה תקשר ההאקר הסעודי עם העיתונות, ובכך סיכל אפשרות חקירה שתכליתה להתחקות אחר עקבותיו.

נקודות לזכות ולחובה

גם למי שנפגע מהפרשה של ההאקר הסעודי הציג אפרתי עצות התמגנות בבלוג שהוא כתב (שנסגר היום). עמיתים מהתקשורת סיפרו לי על מאמציו הבלתי נלאים של מיכאל אפרתי לשווק את מרכולתו ואת הזעם שגאה בי למשמע הדברים אף אני לא אוכל להסביר. כנראה שבסופו של יום המשפטן שבי מוחה כנגד חולשתה של מערכת ההרתעה הפלילית וכישלונה לבער את הנגע מקרבנו ולסלק תפוחים רקובים מהסל. למרות שידולים ושכנועים רבים של ידידיי לרדת מהפרשה, רמיזות של עמיתים כי יש אף פוטנציאל עסקי בשיתוף פעולה עם מר אפרתי, ואף המלצות של חברים (“היית רוצה להסתבך דווקא איתו?!) החלטתי שהיושרה המקצועית שלי ומחויבותי האישית היא להצביע על הפרשה ושהציבור ישפוט. גם ניסיונותיה הרבים של רות אפרתי, במישרין ובאמצעות מקורבים, להשפיע עלי לא נשאו פרי, שכן מבית מדרשו של השופט חשין למדתי ש“מי שרחמן על אכזרים סופו להתאכזר על רחמנים”.

ואודה, שיחות עם אנשים אודות הפרשה עוררו תגובות מעורבות. היו שעמדו על זכותו של אפרתי לעיסוק וזכותו להשתקם והבהירו כי הוא שילם חובו לחברה. היו אף שציינו כי לצד פועלו הפסול בפרשת הסוס הטרויאני, יש לאיש גם מניות זכות בתעשיית אבטחת המידע הישראלית ובכינונה ואף בסיוע לתעשיות הביטחוניות.

מנגד, מומחי אבטחת מידע וארגונים בינלאומיים לאבטחת מידע עימם שוחחתי הציגו עמדה אחרת. לגישתם, מקצוע אבטחת המידע הוא מקצוע של אמון אישי ואתיקה ובו אדם מחויב לרף אתי שאינו פחות מזה של עורך דין או רואה חשבון. כשם שישנם כללי כשירות וכשרות להיות אדם עורך דין ונוהלי אתיקה המלווים אותו, כך ראוי שיוסדר גם מקצוע אבטחת המידע. שאם לא כן, כמילותיו של גיא מזרחי בוועדת המדע, אנו עתידים להיות בשוק של “לימונים” בו כל אדם מציג עצמו מומחה ואין מי שיכול לעמוד על תכונותיו של אותו מומחה. נראה כי הגיע העת להסדרת המקצוע ובה גם הסדרה של תנאי הכשירות למי שהורשע בפלילים ובעבירה שעניינה בתחום.

מיכאל ורות האפרתי לא הגיבו לדברים שהועלו כאן.

443580023_9e8aa864ae

CC-by-2.0 altemark

ראו גם:

תגיות: , , , , , , ,


ד"ר נמרוד קוזלובסקי

מאת: ד"ר נמרוד קוזלובסקי

ד"ר נמרוד קוזלובסקי מספק שירותי ייעוץ טכנולוגי-משפטי עם התמחות בדיני מחשבים, טכנולוגיות מידע והגנת הפרטיות

  1. אורן
    17.1 בשעה 17:31

    הדברים נכונים אך לא כה פשוטים. ראשית למי שיש הסמכה בינלאומית (CISSP; CEH) מחויב לקוד אתי, וראוי שעסקים ישכרו בעלי תעודות רשמיות; שנית, אין פיקוח גם על רופאים, מהנדסים, שיפוצניקים וכדומה, וחיינו גם בידיהם. אדם בעל אינטליגנציה בסיסית שמחפש מומחה אבטחה (כמו אדם ששוכר רופא או עו”ד) ראוי שישאל חברים, יבדוק באינטרנט וכדומה. נוכלים קיימים בכל מקצוע, וגם פדופילים עובדים בבתי ספר…

  2. רותם גז
    17.1 בשעה 17:37

    נמרוד, הדרך הטובה והיעילה ביותר להגן מפני האקרים טובים היא להעסיק אותם.
    זו שיטה שעובדת מעולה בכל חברות הענק בעולם
    פרצו לך ? גלה מי זה ותעסיק אותו
    אני לא מאמין שמעסיקי אפרתי לא יודעים על עצם היותו ה”סוס” אבל אני כן מאמין שזה אחלה של כרטיס ביקור עבורו.
    דבר נוסף, כדאי להבדיל בין מישהו שפורץ לחומרי מחשב על מנת לשדוד כספים לבין מישהו שביצע עבודה בהזמנה

  3. ישי
    17.1 בשעה 19:41

    אני מסכים שהסדרת העיסוק בתחום חשובה (וגם הייתי בין אלה שפעלו לכך), אבל אני חושב שדווקא הפרשה של האפרתי מוכיחה שהסתמכות על דעת הציבור עזרה לתקן את הרושם שיצר האפרתי.
    תרבות שמקדמת דיון ציבורי באמצעים “אלטרנטיביים”, כמו פוסט זה עצמו, עוזרת לתקן את מה שההסדרה הרגילה עלולה להיכשל בו, כך שכנראה שני הדברים יחד משלימים אחד את השני – הסדרה פורמלית, ואמצעי דירוג לא פורמליים (כמו אתרים שבהם לקוחות ממליצים על המומחה).

  4. עומר
    17.1 בשעה 20:22

    לא כל דבר אפשר להסדיר או צריך להסדיר. ההשוואה למקצועות חופשיים אחרים מתעלמת מפרקי הזמן הארוכים בהם המקצועות קיימים ומעולם התוכן המקצועי והמגובש שקיים בהם. עולם אבטחת המידע עדיין לא בשל להסדרה ובשלב זה כל מי שרוצה להסדיר אותו חשוד בעיניי כמי שיכול להרוויח משהו. ההסדרה הכי הכי היום היא CISSP וגם היא לא שווה יותר מדי ורק דועכת.
    בלאו הכי כל הדברנים מטעם עצמם שחדשות לבקרים מופיעים כמומחים הם אלו שבבוא ההסדרה יוכרו כמומחים. אלא שלא זו המומחיות לה אנו מפללים.

  5. אלי הדס
    19.1 בשעה 16:48

    אם התוכנה target eye חוקית אז חלקו של אפרתי (שידוע כמי שפיתח תוכנה זו) הוא מינורי, ומי שצריך לעצור זה את אותם חוקרים פרטיים שמכרו שירותי ריגול עסקי ללקוחות שכלל לא מוצה עימם הדין, ולגבי אפרתי, הרי שהטעות שלו הייתה למכור כלי כזה לחוקרים מושחתים.

  6. שלמה
    19.1 בשעה 17:47

    האפרתי לא “הופיע פתאום” אלא היה מומחה אבטחת מידע הרבה לפני אותה פרשה. לדוגמה נכתב שהוא מכר מוצר שפיתח ב1994 לאלאדין (חפש AmigaHASP בגוגל). האם זה באמת לא עניין אישי כלפיו? שהרע אחרת מדוע לא מוזכרים אותם חוקרים פרטיים שרכשו את Target Eye ועשו בה שימושים בלתי חוקיים (כל אותן האזנות לקורבנות כאלה ואחרים, לרבות עיתונאים ועורכי דין). לפחות אחד מהם, ממודיעין אזרחי, נותן הרצאות בכנסים בנושאי אבטחת מידע ולא שמעתי שזה הפריע למישהו… מוזר…

  7. כוכב"י
    11.2 בשעה 18:02

    חשוב מאד כי ייעשה מיסוד בנושא זה. לא כל זב חוטם ממחלקת מחשבים בגדנ”ע ראוי להקרא “מומחה”.
    ובהזדמנות זו אבקש להוסיף:
    הבנת המושג “מדיניות ארגונית של אבטחת נכסי המידע” לקוייה מאד בישראל, למיטב ידיעתי. פתאום כולם מתחילים לירות ואז מסמנים את המטרה.

    כוכב”י

אהבתם? תעשו לנו לייק ולא תפספסו אף סיפור מעניין בפייסבוק שלכם
Performance Optimization WordPress Plugins by W3 EDGE
Google Analytics Alternative