×–×•×›×¨×™× ×ת פי×סקו שירותי ברי×ות כללית ×•×ª×•×›× ×™×ª× ×™ HP? ××– מסתבר ×©×’× ×œ×ž×©×¨×“ הברי×ות ×ין בעיה לתת למל×-×ª×™× ×ž×™×“×¢ ×מיתי לעבוד ×יתו, ×•×œ×”× ×‘×ª×•×¨× ×ין בעיה לתת ×ותו ×œ×›×ª×‘×™× ×”×˜×›× ×™×™× ×©×œ×”×, ×•×œ×”× ×ין בעיה ×œ×”×›× ×™×¡ ×ותו למדריכי השימוש ×©×”× ×›×•×ª×‘×™×, ולמשרד הברי×ות ×ין בעיה להעלות ×ת ×–×” לרשת.
×× ×©×™× ×‘×¡×•×¤×• של דבר ×”× ×œ× ×ž×•×©×œ×ž×™×, ×× ×©×™× ×œ× ×ž×•×©×œ×ž×™× ×ž×˜×¤×œ×™× ×‘×›×œ המידע ×”×ישי ×©×œ× ×• היו×, ×× ×©×™× ×“×•×ž×™× ×™×˜×¤×œ×• ×’× ×‘×ž××’×¨×™× ×”×‘×™×•×ž×˜×¨×™×™× ×©×œ משרד התחבורה ומשרד ×”×¤× ×™×. ×›×©×‘× ×ž×™×©×”×• ו×ומר לי ש×× ×™ ×¡×ª× ×ž×ª×¨×’×© בלי סיבה ×›×™ על הממשלה ×©×œ× ×• ×פשר לסמוך, ו××– ×× ×™ רו××” ש×פילו על משרד הברי×ות ××™ ×פשר לסמוך ×‘× ×•×©× ×‘×¡×™×¡×™ של ×תיקה רפו×ית, × ×’×ž×¨×•×ª לי המילי×. ×× ×™ פשוט מרגיש ש×× ×©×™× ×§×˜× ×™× ×ž×“×™ ×ž× ×”×œ×™× ×¤×” ×ž×“×™× ×” ×¢× ×‘×¢×™×•×ª שגדולות ×¢×œ×™×”× ×‘×›×ž×” מידות. ×× ×™ רוצה ×× ×©×™× ×ž×§×¦×•×¢×™×™× ×ž××™×™×©×™× ×ת ×”×ž× ×’× ×•× ×™× ×”×לו. ×× ×™ רוצה ×©×œ×©× ×©×™× ×•×™ משרתי הציבור ישרתו ×ת הציבור וטובתו. ×–×” יותר מדי לבקש?
רגע, אתה מדבר בעצם מה שאני כתבתי אז בנושא. רק הפעם אתה כן מסכים עם המסקנה שלי…
עדו, יש כאן אנשים שמפיצים מידע פרטי בתפוצה רחבה מדי ללא פיקוח. יש הבדל בין אאוטסורסינג לא אחראי (מה ששנינו בוכים עליו) ובין העובדה שצריך אאוטסורסינג (שעל זה אנחנו כנראה לא מסכימים).
בכל מקרה, כמו שאתה יודע, דעתי די החמירה והתקצנה בנושא בשנה האחרונה, או שלא עקבת אחרי הבלוג הזה? 🙂
ערא איפה ראית שאני לא מסכים למיקור חוץ ? הבעיה היא בשימוש של מיקור החוץ. לא כל דבר שעובר מקור חוץ צריך להגיע לשם. דוגמא אחת היא הצבא, דוגמא נוספת היא שירות בתי הסוהר, עוד דוגמא זה שירותי בריאות (תאר לך שמחר יעשו מיקור חוץ למידע שלך – רגע כבר אתמול עשו את זה), במקום שבו הבטיחות יכולה להיפגע על חשבון רווח גם שם אין מקום למיקור חוץ. כלומר אם אני יכול למכור לכל דורש רשיון נהיגה בלי שהוא למד אפילו יום אחד לנהול (כאילו שהלימודים האלו עוזרים בהרבה מההתחלה), אז לעשות מיקור חוץ לזה מן הסתם לא רעיון טוב. וכך גם המידע המאוד אישי ופרטי שלך לא צריך לקבל מיקור חוץ.
שים לב שגם אני ולא רק אתה מתפרנסים ממיקור חוץ – גם אני מספק שירותי מיקור חוץ בתחום שלי.
העניין הוא שאני מדבר על בעיה יותר חמורה, בה כאשר היה מיקור חוץ שחורג מהקריטריון שלי, או סתם נפל בידי המידע שלך בזכות מיקור חוץ והפיתוחים של חברות שונות. למשל כולם מדברים על המאגר הביומטרי וכמה הוא רע אם הוא ידלוף, אף אחד לא מזכיר שאם יש לך תעודת זהות "חכמה" גם בלי מאגר, אני יכול ליצור מאגר משל עצמי של זהויות שונות. למעשה אין דרך להימנע מליצור מאגרים כאלו בכלל למי שזה חשוב לו. ולכן במקום להקל על זה, צריך להקשות על זה ותעודת זהות "חכמה" או עוד מידע ביומטרי עליך שנשמר לא גורם להקשות על דברים. וזה כבר לא משנה אם זה מאגר ביומטרי או מאגר רפואי, או כל דבר אחר.
אני מבולבל… אתה בעד או נגד מיקור חוץ במקומות רגישים?
ואני לא מבין את הטיעון שלך לגבי תעודה חכמה. אתה אומר שאם אנימסתובב עם התעודה שלי, שמכילה הצפנה של רשומה אחת מתוך מאגר מבוזר (שבתקווה אין מאגר מרוכז שמכיל את כולו), זה גם בעייתי?
אדם שיגנוב היום תעודה חכמה לא אמור להיות יכול להוציא ממנה יותר מידע ממה שאפשר להוציא היום מהתעודה הישנה והדפוקה שלנו, או מה שמודפס על הכרטיס עצמו. מקובל עלי שיש מינימום שממנו ישראל כבר לא תרד (ביטול תעודות הזהות למשל, כמו שבאנגליה ומקומות אחרים).
אני בעד מיקור חוץ במקום שהפגיעה שיכולה להתרחש תהיה נמוכה עד לא קיימת.
במקומות בהם הכסף משחק משחק מרכזי (שזה בערך כל מקום) – שבו המידע שלך יהיה נגיש לכל דורש עם מספיק כסף להציע, מיקור החוץ בעייתי מאוד ולא צריך להיכנס בכלל. יש מספיק דוגמאות בארץ ובעולם מה קורה כאשר המיקור של דברים רגישים דולף איכשהו (או סתם סתכל על מקרה הולילנד על איך כסף משנה את המימשל עצמו)…
כל מידע שנגיש בשבילי (אם זה "רק מה שכתוב", או פס מגנטי, או מעגל מיוחד וכו') יכול לשמש כנגדי.
גם אם יש לי hash חד חד כיווני של זהות של אדם אחר, אני יכול להשתמש בו בשביל לגנוב לאותו אדם את הזהות. כיצד ? אני אפיק תעודה זהה לחלוטין עם אותם נתונים נגישים ולא נגישים, וב99% מהמקומות זה יעבוד הרבה מעבר למה שתצפה. למה ? כי המידע לא נגיש לבדיקה. אז שיטרית אמר "אני רוצה להגן על המידע הזה שלא תוכן לגנוב את הזהות". אבל אז שוב פעם אתה נכנס לבעיות.
כלומר למרות שיש ניסיון להגן על המידע, עצם הניסיון הזה פוגע ומסכן יותר את המידע.
איך מתגוננים נגד זה ? אין לי תשובה ברורה, כשאני אראה את זה, אני אדע להגיד שזה זה. זה לא כזה פשוט כמו שזה נשמע.
לגבי מיקור חוץ או לא – אני מסכים שיש מצבים שכאשר סומכים על כ"א פנימי אז מדובר ברשימת שמות יותר קבועה שאתה מכיר ויכול לפקח עליה, אבל מה עושים כאשר הטמטום מסריח מהראש? הנתונים בחוברת ה-SAP של מלם שוחררו לצוות הפיתוח שלהם ע"י משרד הבריאות. גם אם הם לא היו צריכים להופיע בסוף בחוברת, מה הם עשו אצל אנשי הפיתוח של מל"ם-תים מלכתחילה?
לגבי תעודת הזהות – מדובר בצ'יפ חכם ולא רק מידע מוצפן על אוזבקי פאסיבי. הכרטיס ישחרר את המידע רק אחרי challenge response ממכשיר שיוכל להוכיח שהוא מכשיר רשמי של הממשלה, ויותר מדי נסיונות חדירה יגרמו לנעילת הצ'יפ. אם אפשר להאמין לאינפיניון שזה באמת עומד בהאקינג לוגי ופיסי, זה אמור להיות מוצלח. עדיין זה לא קשור לזה שאני לא רוצה שהכרטיס הזה יחתום לי ויצפין לי וכולי.
זה מטורף!
ממש לקרוא ולא להאמין. זה ממש מפחיד.