אבטחת מידע – זכויות המשתמש

ישראל היא אחת מהמדינות היחידות (אם לא היחידה) בה יש מאבטח בגן ילדים, בבית הספר, בנסיעה באוטובוס (לא ביטלו את זה עוד פעם ?), רכבת כניסה למסעדה וכו'… כאשר אנחנו משתמשים בשירותים הללו, אנחנו מודעים פחות או יותר לאבטחה במקום.

כאשר אנחנו מפקידים כסף נגיד בבנק, רובנו לא בודקים את מי שמזין את המידע אל המחשב, אנחנו לא בודקים פיזית איך הכסף שלנו מאוכסן (ולמי יש גישה למידע), ואנחנו ממש לא יודעים מה קורה עם המידע עלינו.


כאשר אנחנו משתמשים בשירותים המקוונים של קנייה, רוב (אם לא כל) האתרים מפרסמים שהם משתמשים בטכנולוגיית SSL. אבל אני לא באמת יודע מה האבטחה באתר, מה מבטיח לי שהפרטים שלי לא יחשפו, שהמידע שלי באמת הולך לגופים הנכונים ? להגיד לי שיש SSL, זה כמו להגיד שאני מדבר רק עם אדם אחד במקום הומה אדם, גם אם אני נכנס ל open space שלו… הרי תמיד יש אוזניים לכותל …

למעשה SSL אומר בסה"כ שיש מנהרה ישירה ממני אל מחשב כלשהו, כאשר אני מקווה שהמחשב שאליו יש לי מנהרה, הוא המחשב שאני רציתי, ולא מחשב של משהו אחר, אשר כל מה שהוא עושה, זה התקפה מסוג של אדם באמצע (men in the middle), דבר שאומר שהטכנולוגיה לא הצילה את זליגת המידע שלי.

אם אני אנסה לגלות באותו אתר אם יש לו אבטחה נאותה, כדוגמת בדיקות של SQL Injection, או Cross Site Scripting ואחרים, ובאמת אצליח לשבור משהו, הרי עוד יאשימו אותי בנסיונות פריצה, וזה למרות שהבעיה היא אצל בעל האתר ולא אצלי.
הרי גם אם יגרם נזק לאותו אתר, הוא בגלל תכנות לא תקין, ולא בגלל השימוש שלי, הרי האתר צריך בעצם להיות חסין מנסיונות כאלו.

אם ניקח את האבטחה הקונבנצילנית (קרי שומרים), הרי שאני לא אבדוק את פגיעות המקום ע"י ניסיון פריצה אליו, אבל אוכל לבקש לקבל מידע מה צורת ההגנה על המקום בו אבחר אם לבצע עסקאות או לא, אבל באינטרנט, אני לא יכול לקבל סקירה אמיתית של טכנולוגיה. בד"כ האתר יפרסם שהוא מוגן ע"י טכנולוגיית SSL, או מוגן ע"י חברה ידועה, או שום דבר אחר, אבל זה לא אומר שום דבר לגבי האבטחה האמיתית של האתר.

לדעתי כאשר ישנה פריצה לאתר ע"י בעיות ידועות, כדוגמת SQL Injection, Cross Site Scripting או ניצול בעיית אבטחה ידועה של השרת, האשם היחיד חייב ליפול על בעל האתר, ולא על המבצע. במידה ונגנב מידע, אז ורק אז ניתן להאשים את ה"פורץ" בגניבה, אבל לא בפריצה. כך שרק ניצול רע של בעיות באבטחת מידע חייבות להעניש את המבצע שלהם, בעוד שבשאר המקרים הבעלים יהיו חייבים לתקן את את דרכיהם, או שלעד יסבלו מבעיות וחוסר אמינות.

2 מחשבות על “אבטחת מידע – זכויות המשתמש

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.