הירשמו
  1. ראשי
  2. בארץ

באבטחת מידע, שקיפות היא שם המשחק

האמריקנים והבריטים כבר למדו שכאשר נגנבים מחשבים ניידים המכילים מידע רגיש – יש לדווח על כך ולפרסם מדי תקופה דו"ח המפרט את התופעה, בין היתר כדי לעקוב אחריה ולנסות לצמצמה
יונתן קורפל |

בשבוע החולף קיבלנו דיווח מקיף על 160 המחשבים הנישאים שאבדו או נגנבו מארגון ה-FBI במהלך ארבע השנים האחרונות. ידיעות שכאלה מעוררות תמיד עניין מציצני; המופקדים על הגנת הציבור בפני הפשיעה, מסתבר, אינם מוגנים בעצמם. לא פעם חולשת אנוש מובילה להגיב לידיעה שכזו בחיוך ואולי אף בקורטוב של שמחה לאיד.

אצלי, הדו"ח עורר כבוד רב. כולנו בני אדם, אפילו סוכנים חשאיים, וכולנו עלולים לשגות או ליפול קורבן. ארגון נאור חייב להכיר את מימדי הבעיה, ללמוד את הנסיבות, להבין את הנזקים הכרוכים ולחפש את הדרכים האופטימליות לצמצום מרבי של התופעה השלילית. כאשר הנתונים תמיד חסויים, כאשר לציבור אסור לדעת כיצד מטפלים במידע סודי, כאשר אף אחד לא נדרש ממש לדווח ולהסביר, מובטח שהבעיה לא תיפתר ומימדיה לא יודעו לעולם. באבטחת מידע, שקיפות היא שם המשחק.

בארבעת השנים הנדונות נגנבו בארה"ב כמיליון וחצי מחשבים נישאים. מתוכם כ-160 של הארגון הנדון, כולל אבדות. בשביל משרד המשפטים האמריקני - זה היה יותר מידי. אשר על כן, עוד בשנת 2002 חקר מפקח המשרד את הבעיה. כעת חזר ובדק, בכדי לברר האם המגמות משתפרות. אין זה מפתיע שאכן נמצא שיפור אבסולוטי מסוים, למרות הגידול הטבעי הוודאי במספר המחשבים מסוג זה. חרף השיפור, אני מוכן להסתכן ולקבוע כי המפקח לא ירפה ובעוד שנים ספורות יבצע בדיקה נשנית.

אובדן מחשבים ובהם מידע בטחוני רגיש איננו נחלתם הבלעדית של האמריקניים. בבריטניה נערכה בשנת 2001 בדיקה בלחץ הפרלמנט המקומי, בעקבות 35 מקרים של העלמות מחשבים רגישים בתוככי הממלכה ומחוצה לה. בעקבות זאת, פרסם הסנדיי טיימס כי במשך ארבע שנים - מאז 1997 - איבדו יחידות צבא ומודיעין של הכתר הבריטי לא פחות מ-204 מחשבים.

אצלנו מתפרסמות מדי פעם ידיעות אודות מקרים בודדים, בזכות עיתונאים חטטנים הנוברים בתיקי מערכות המשפט. בהקשר זה, זכור למשל המקרה משנת 2005, של קצין בכיר מחיל-האוויר שמחשבו האישי - ובו חומר סודי - נגנב ממנו. שנה קודם לכן, פקד גורל דומה את מחשבה הנייד של פסיכולוגית משטרתית שהכיל מידע רגיש על סוכנים והושאר בביתה הפרטי.

אז מה בעצם המצב אצלנו ומהי רמת האבטחה? על רקע היעדר נתונים מסכמים רשמיים, מרשה אני לעצמי להניח כי המצב קשה והוא אף ילך ויחמיר אם לא נשנה את הגישה. יש אצלנו התייחסות לא רציונלית בקשר לנתונים מסוג זה. "אסור לדווח לציבור, הואיל ומדובר לכאורה בדברים סודיים", גורס הכלל. אין טיפשי מכך. מי שגנב או מצא ולא החזיר - יודע. מי שיצא עם מחשב מהמשרד וחזר בלעדיו - יודע גם יודע. רק לנו, האזרחים, אסור לדעת מה המצב. ברור שבנסיבות מסוימות אפשר לעכב את עיתוי הפרסום... משיקולים טקטיים - לא חייבים במקרים מוגדרים לפרסם איזה מידע בדיוק נעלם. אבל את האמת בכללותה, גם אם היא מרה, חובה לגלות.

שקיפות היא חיונית בכל הנוגע למאבק בכשלי אבטחת מידע. בסקטור הפרטי היא נחוצה לא פחות מזה הציבורי. אף ארגון לא יכול למנוע שיקולים מוטעים או לנקות החברה האנושית כליל מעברייניה. שקיפות יכולה לקצץ במופעי רשלנות, למנוע הישנותם של שיקולים מוטעים וליעל המלחמה במשיגי הגבול.

לנו, כאזרחים, השפעה קטנה יחסית על הנעשה בחברות הפרטיות. שם, לעיתים משיקולי יוקרה עסקית, מעדיפים בינתיים להסתיר מקרים של חשיפת מידע רגיש. על הסקטור הציבורי, לנו האזרחים יש יכולת השפעה רבה יותר. אנחנו צריכים רק להבין, כי זוהי זכותנו ואף חובתנו ולעמוד על כך.

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה