מחשבות מהירות על אבטחת מידע
כמה מחשבות מהירות על אבטחת מידע.
היום הייתה לנו הרצאה מאוד מעניינת על אבטחת מידע. באופן אישי, אני יכול לחלק אופי ההקשבה שלי לשני חלקים – עשר הדקות הראשונות של הקשבה טכנולוגית ושעה שלמה של הקשבה למה שעומד מאחורי המילים.
למה אני מתכוון? ההרצאה התחילה בחלוקת נושא האבטחה לשלוש שכבות:
1. רמת הרשת – מתייחסת לאנשי הסיסטם, הקמת פיירוולים וכיוב’.
2. רמת שרת – גישה לשרת, מתן הרשאות כתיבה וכיוב’.
3. רמת האפליקציה – שנוגעת ישירות למשתמש ולא לשרת עצמו וכוללת בין היתר את האפשרות לתמרן את המשתמש ולגרום לו למסור נתונים אישיים ללא ידיעתו.
פה נגמרו עשר דקות ההקשבה הטכנולוגית כשמיד לאחריהן התחלתי להרהר ביני לבין עצמי על המשמעות של הדברים. התחלתי להקשיב לא למה שאומר המרצה אלא למה שעומד מאחורי המילים, והגעתי לתובנה מעניינת. שמתי לב שהשיח שבו הוא משתמש מנותק לגמרי מהרמה של השיח היומיומי והממוצע – מפוצץ במילים שאין להן שום משמעות מעבר למהותן הטכנית – Post, Java Script , SQL, XSS, Stored Procedure. זאת אומרת, יש פה שיח שמכיל מונחים שבכלל לא רלוונטיים לשיחים אחרים. אבל זה לא נגמר רק פה, משום לשיח הטכנולוגי הזה יש משמעות נוספת, הוא גם ממדר בין אלו שיודעים ומכירים אותו לבין אלו שלא. במילים אחרות, נוצר פה מצב מעניין, האדם שבקיא בידע ולכן הוא חזק לעומת האדם שלא מכיר את הידע ולכן הוא חלש. אבל החלש שותף לידע הזה גם מבלי שהוא יודע, הוא נכנס לפייסבוק, הוא קונה דיסקים וספרים באמזון וכל זאת תחת מטריית אבטחה מקוונת – אבל המשתמש לא לגמרי מודע לכך וכך נוצרת בינו לבין השיח הטכנולוגי מערכת יחסים סמויה.
השיח הטכנולוגי הזה לא נולד מהאוויר אלא מצרכים מסוימים. במילים אחרות, השיח משרת תפקיד מסוים. אני אקצין ואומר שהוא לא בא אך ורק לתת פתרון מעשי לבעיות האבטחה אלא גם למדר, למתוח גבול בין האנשים שיודעים לבין אלו שלא יודעים, בין בעלי הכוח לחסרי הכוח. התיחום הזה נועד לבטא באופן מעשי את הרצון למנוע מהפרטים גישה לידע גולמי שלא נתון לפרשנויות – הבנק מאבטח את עצמו מפני פריצות מחיצוניות, אבל האם זו לא זכותו הטבעית של הלקוח לדעת באופן בלתי אמצעי מה בדיוק הולך בבנק שמחזיק בכספי הפנסיה שלו? אז נכון, זו שאלה גסה ולא הוגנת כי יש אלף אחד ושיקולים נוספים לאבטחת המידע של הבנק אבל באותה מידה אפשר להשתמש בדוגמה אחרת – גוגל. גוגל יצרה את שפת ה-SEO שלה שמשפיעה על תוצאות החיפוש ומכאן שגם על הידע של הפרטים. שתי הדוגמאות הללו ממחישות מצב בו ישנו פרט שנמצא במעמד כוח נחות כיוון שהשיח הטכנולוגי מכוון את רמת הידע שלו באופן כזה שמשרת את בעלי הכוח.
נו, אז עכשיו אפשר לשאול – הרי בסופו של דבר הפרט מקבל את מבוקשו בין אם כשהוא מחפש מידע בגוגל או בין אם כשהוא בודק את המצב העו"ש באתר המקוון של הבנק, אז בעצם כל כך רע בזה?
אז זהו, אני חושב שאין פה עניין של רוע או של טוב כמו תמונה מעניינת של תפישת הכוח. בסופו של דבר הכוונה היא להראות שהשיח הטכנולוגי הזה יוצר מעמדי כוח שמשפיעים על החלש ומכאן גם על הידע שמגיע לו, אבל המרתק בכל הסיפור הזה שהכוח המגולם בשיח הטכנולוגי נותן גם את האפשרויות להתנגד לו. אותם הפורצים מבעד לשכבות האבטחה של הבנק הינם פרטים שבקיאים ומתמצאים בשיח הזה אך עושים בו שימוש "רע" ותוך כדי כך חושפים את תחתוניו. אפשר לבוא ולומר, נכון, אבל רוב הפריצות לא נובעות ממניעים אידיאולוגיים שבאים להראות שהמלך הוא עירום אלא באות מתוך אינטרסים צרים גרידא, אז מה כל הקשקוש הזה? הקשקוש הזה חשוב משום שהוא נותן לנו לראות כי הכוח מסוגל גם לתקוף את עצמו, הוא נותן אפשרות להתנגד לו. הקשקוש הזה מאוד לא מובן מאליו ואותי, באופן אישי מאוד הוא מספק. בעבודה, הוא מכניס אותי לפרספקטיבה וגורם לי לשאול לא איך דברים נעשים אלא למה הם נעשים, מה מפעיל אותם ומה ההיגיון להם. הפער הזה שבין ה’איך’ ל’למה’ הוא משמעותי במיוחד כשבאים לפתח רעיון חדש והוא זה שיכול לעשות את ההבדל בין תוצר עבודה טוב לבין תוצר עבודה רע.
זה הכל.
4 תגובות לפוסט “מחשבות מהירות על אבטחת מידע”
1 נדב 12 בדצמבר 2008 בשעה 0:14
מעניין ביותר! נהנתי לקרוא
2 קלי 12 בדצמבר 2008 בשעה 13:39
אבל אתה עושה בדיוק את מה שאתה מטיף נגדו – אני, למשל, לא הבנתי מלא מילים שהשתמשת בהן ואת הניסוחים המורכבים שלך – המאמר שלך שם בעמדת נחיתות את כל מי שהוא לא פילוסוף דגול.
עם זאת, אהבתי את העובדה שהקשבת ל-10 דקות בלבד מההרצאה מתוקף היותך אדם חכם ועמוק שחושב על המשמעויות הסמויות של דברים – ולא סתם מתוך שעמום / חוסר רצון להתעמק בנאמר.
3 יהונתן לרנר 12 בדצמבר 2008 בשעה 15:42
נדב – תודה.
קלי – אני משתדל שלא להטיף. אני יודע מעט מדי מכדי שאוכל להטיף.
אני מבין למה את מתכוונת וזה הרושם שהשתדלתי להמנע מליצור. תראי, אני שאני לא חושב שהניסוחים מורכבים כמו שהם דורשים קצת תשומת לב והתעמקות. סך הכל יש פה טיעון שאני רוצה להסביר בצורה הגיונית שכנראה דורש קצת יותר מרפרוף רגעי כמו בכתבות של ynet למשל).
אם תוכלי לומר מה לא הבנת אני אודה לך מאוד. איכשהו יש לי הרגשה שדווקא עלית על הפרינציפ.
4 לאה (מתכנתת בצוות כליקיט) 14 בדצמבר 2008 בשעה 12:25
וואו. לא להאמין שהייתי באותה הרצאה
קודם כל זה ממש מעניין לשמוע את המחשבות שלך, אדם שההרצאה הזו היתה רחוקה מהשיח היומיומי שלו. בשבילי כמובן המלים הללו הן לחלוטין חלק מהיומיום, וכך כל הנושא עצמו.
לעצם הענין – אני חושבת שבכל מקצוע נמתח גבול בין האנשים שיודעים לבין אלו שלא יודעים: החל מרפואה וכלה בתיקון מכוניות (כשהמוסכניק שלי מציג לי שתי אלטרנטיבות, אני לא תמיד מרגישה שיש לי הידע להכריע ביניהן, ועפ"י רוב אני שואלת לדעתו). כך, לדעתי, גם בענייני אבטחה או אופטימיזציה למנועי חיפוש.
עם זאת, נדמה לי דווקא שתחומים אלה פתוחים גם לאנשים שלא רכשו השכלה בנושא (בניגוד לרפואה או תיקון מכוניות), ובכך אני חולקת על המסקנה שלך שהשיח הזה נועד למנוע מהפרטים גישה לידע גולמי שלא נתון לפרשנויות. אמנם אמרת שאין כאן טוב או רע, אבל אני כן מעדיפה להיות חלק מתחום הפותח את שעריו לכל מאן דבעי.
אבל מה שהכי אהבתי בפוסט שלך זה את העובדה שלקחת נושא והסתכלת מאחוריו. מאד מעורר מחשבה. תודה לך!
השארת תגובה