הירשמו
  1. ראשי
  2. בארץ

מתי נהיה ככל הגויים?

רק בארץ אין גופי איסוף מידע ומחקר כלליים להתמודדות עם נושא אבטחת מחשבים. מתי יהיו?
יונתן קורפל |

בכל העולם המפותח פועלים מכוני מחקר ששוקדים על איסוף נתונים אודות סיכונים ופגיעות במערכות ממוחשבות. אשר על כן, בכל הארצות בקטגוריה זו אפשר לדעת מה המצב לאשורו, להכין מנגנוני נגד ולקבוע מדיניות מבוססת. בארצנו, למרבית הצער, המצב שונה: אין מחקר כלל ארצי, אין מידע וקשה מאוד לטפל בבעיות - שאפילו היקפן נותר עלום.

שלושה גורמים, או צירופים שלהם, יכולים להוליד מחקר בתחום עיסוקנו: אקדמיה, ממשל והסקטור הפרטי. אחד הגופים המוכרים בעולם במחקר פשעי מחשב ונטרולם הנו מכון המחקר CERT, הממוקם באוניברסיטת קרנגי-מלון, שבארה"ב ופועל עם זיקה לשירות החשאי האמריקני. בדרך דומה פועלת אוניברסיטת ג'ון הופקינס מבולטימור, שהקימה את ISI (מכון אבטחת מידע), תוך זיקה ידועה למשרד לביטחון לאומי. ההצלחה, כידוע, מזמינה חיקוי ולכן לא מפתיע כי ממש השבוע התבשרנו על מכון לאבטחה קיברנטית שנפתח באוניברסיטת טקסס. לא מן הנמנע שמכון זה יחבור בהמשך אף הוא עם גוף ממסדי כלשהו.

במחקר קיימים שיתופי פעולה שאינם כוללים צלע אקדמית. SCI (המכון לאבטחת מחשב), אחד הגופים היותר מוכרים בתחום, הנו איגוד אמריקני שפועל תוך שיתוף פעולה עם ה-FBI. גוף המחקר השוויצרי המתמחה - ZURICH ISC, הוקם על בסיס שיתוף פעולה בין המכון הטכנולוגי של הממשלה הפדראלית לבין חברות מענפי הפיננסים והטכנולוגיה. המכון הפאסיפי לאבטחת מחשבים, הממומן על ידי לקוחות פרטיים ונותני חסות, משתף פעולה עם משרד ההגנה בארה"ב. ישנן גם אופציות אחרות, כמו למשל חטיבת אבטחת המחשבים במכון הלאומי לתקנים טכנולוגיים בארה"ב או מכון המחקר לפשעי מחשב, שהנו גוף מחקר ללא מטרות רווח וללא תמיכה ממשלתית. גוף זה, המנסה לזכות בהכרה בינלאומית, ממוקם באוקראינה. באנגליה קיימת מזה שנים רבות חברה מסחרית בשם mi2g, העוסקת בניהול סיכונים במערכות ממוחשבות. גוף זה מבצע בין היתר מחקרים ומפרסם דו"חות, אם כי ללקוחותיו בלבד.

בכ-20 מדינות לפחות מתקיימים ארגונים הנושאים את השם CERT, בווריאציה זו או אחרת. אלו הן ראשי התיבות הלועזיים של צוות מוכנות למקרי חירום במחשב. ארגונים שכאלה קיימים בין היתר באיטליה, הולנד, קנדה, גרמניה, אוסטרליה וספרד. בכל מדינה יש ליישות זו זיקות מעט אחרות, אולם התכלית תמיד דומה: מחקר שממנו נובעות מסקנות, כלים, הדרכה, מודעות וכדומה. אפילו ארגון גג בינלאומי יש לארגונים הללו. בכל הגופים הללו מתקיימים מחקרים לאומיים וענפיים.

גם אצלנו עושים שימוש במושג CERT, אולם התואר מוענק לארגונים השונים במהותם מאלה שתוארו עד כה. בישראל יש צוות שהוכתר בתואר זה, בפרויקט מרכב"ה הממשלתי. את התואר העניקו גם לצוות בפרויקט מחב"א, הבין-אוניברסיטאי. אולם אלה גופים קטנים ומוגבלים שבכל מקרה תוחמים עצמם לאינטרסים הצרים של הארגונים אותם הם מייצגים. קוראי העיתונים גם מכירים את דבר קיומה של הרשות לאבטחת מידע בשב"כ ואולי קיימות פעילויות נוספות בממסד הביטחוני, אולם הן כולן חסויות ובוודאי אינן מתייחסות לכלל הסקטורים.

הזירה בארץ נותרת לעשייה קלושה של יצרני פתרונות בתחום האבטחה. הממצאים שהם מפרסמים מעת לעת חלשים למדי מהיבט דרישות המחקר. מיותר להסביר שפרסומים מסוג זה הנם מגמתיים ונועדו לעודד מכירה. הגיעה אולי העת שגם אנחנו נהיה ככל העמים. במדינה המדגישה את קידמתה בטכנולוגית המידע, יש מקום למכון מחקר רציני. המימון יכול לבוא מהממשלה או מחברות הטכנולוגיה. אלה האחרונות רק ירוויחו אם אבטחת המחשבים תגדל. קרקע נוחה להנביט מחקר שכזה קיימת במוסד אקדמי. אך במחשבה שנייה, יתכן שאפשר לוותר על התקציבים הממסדיים. לא מן הנמנע שגוף כזה, אם ינוהל היטב, יצליח להחזיק את עצמו ואף להרוויח. הממשלה, כלקוח, תמיד מוכנה תמיד לשלם יותר.

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה