:: Concept : Arspoetic: על סוסים ואנשים

על סוסים ואנשים

פרשת "הסוס הטרויאני" אשר נוצל לריגול תעשייתי, המלווה אותנו זה זמן וזוכה לסנסציות סלבריטאיות, לצהלתה של התקשורת, מעלה תהיות נוקבות בדבר ההתנהלות וההתנהגות של גופים ויחידים בעניינים חשובים הקשורים למחשב ולרשת. תהיות אלו אינן דווקא מהמין הרכילותי או החקירתי, אלא נוגעות במהות העניינית של אבטחת מידע בעל חשיבות רבה לפרט ולחברה גם יחד. למרות שהפרשיה הנוכחית מתמקדת במידע עסקי, הרי שעניין אבטחת הסודיות והפרטיות תופס גם לגבי מידע מסוגים אחרים ורגישים לא פחות, ואולי יותר, בתחומי הרפואה, הביטחון, הכספים, הנפש, או החינוך. ריגול וגניבת מידע בתחומים אלו עשוי להזיק לא רק בפרמטרים עסקיים אלא באושיות חייהם של אנשים ולהביא לפגיעה אישית וחברתית הרסנית ששיקומה, אם בכלל, יהיה כרוך במחיר כבד מאד. רק לאחרונה "התבשרנו" על שימוש ב"סוס טרויאני" לריגול הנוגע לזוג המצויים בתהליכי גירושין. לך תדע אם אין שימוש בסוס טרויאני במחשבי מורים להעתקת מבחנים על-ידי תלמידים, במחשבי מדענים וממציאים השוקדים על פיתוחים מדהימים, ועוד ועוד...

המגוחך והמדאיג הוא שהמוקד המדובר בשיח הציבורי בהקשר לפריצה למכמני המחשבים וגניבת מידע סודי בעל חשיבות עסקית רבה מתייחס לאמצעי האבטחה שננקטו, או שלא, על-ידי החברות הנגזלות. החברות המייצרות אמצעי אבטחה למיניהם זועקות "אמרנו לכם!" תוך כדי חישוב מחוייך של ההכנסות הצפויות עקב ההיסטריה ההמונית. כתבי המחשבים הנחשבים מדווחים ומפרטים לגבי תוכנות ואמצעים טכניים שיש להתקין במחשב כדי להגן על המידע שבו. טכנאי מחשב מהנהנים ונהנים אל מול התורים המשתרכים אל מול מעבדותיהם.

אבל מעטים רואים שהמלך הוא עירום, או לכל היותר זהו סוחר המתחפש למלך. מעטים מבחינים בכך וזועקים שגם עם התוכנה המתקדמת ביותר, ואמצעי החומרה העדכניים והמשוכללים שיצאו זה עתה מפס היצור – הם חסרי-ערך ממשי כל עוד מי שמפעיל מחשב ומחליט לגבי הפעולות שנעשות בו הוא בן-אדם. חוזקה של שרשת, אמרו כבר מזמן חכמים, לא נמדד לפי חוסנה של החוליה החזקה, או של אוסף החוליות, אלא לפי חוזקה של החוליה החלשה ביותר שבה. אין ערך ואין חשיבות למצוינות של תוכנה או של פלאג שבאים לחסום פריצה למחשב כל עוד אדם – בתמימותו, בבורותו, או בטיפשותו – הוא זה ששולט באותם כלים ואמצעים וברצותו, או בהתעלמותו מאותות מסוימים, יאפשר פריצה זדונית או לא יזהה שהייתה כזו. הטעות הבסיסית של מומחי האבטחה היא שהם משקיעים רבות בחוליות החזקות אך מעט – עד כדי כלום – בחוליה החלשה. למה זה כך? ניתן להניח שזו תערובת של חוסר-הבנה בהתנהגות אנושית, המתובלת בתמימות, עצלות ותאוות בצע.

אכן, אך לפני זמן קצר צוין בארץ "היום הלאומי לאינטרנט בטוח" שלווה בתופים, מצלתיים וחגיגות רעשניות בתקשורת. החגיגה הראוותנית לוותה בחסויות מעוצבות של משטרת ישראל, מיקרוסופט-ישראל, בזק, אינטרנט זהב, הכנסת, איגוד האינטרנט הישראלי, עמותת אשנ"ב, משרד החינוך, אגב התקשוב בצה"ל, גלי צה"ל, החברה למתנ"סים, וצ'קפוינט. פעילויות שהושקעו בהן ממון ומאמץ רב נערכו בבתי-ספר ובמתנ"סים רבים ברחבי הארץ, במקביל לפעולות הסברה באמצעי התקשורת. המטרה המוצהרת של "היום הלאומי" הייתה להעלות את המודעות לסכנות הטמונות במחשבים וברשת ולהביא את המשתמשים לפעולות מניעה. זוהי אכן מטרה ראויה שמתייחסת ומתמקדת, כביכול, באותה חוליה חלשה – האדם המשתמש במחשב.

למרבה האירוניה, במיוחד לנוכח ההשקעה וההכנה הרבה ב"יום" רעשני זה, פרשיית "הסוס הטרויאני" הנוכחית מלמדת שמטרתן של יום זה לא הושגה, לפחות בקרב משתמשי מחשב רבים שאפשרו לאותם "סוסים" כניסה ופעולה במחשבים שעליהם היו אמונים. אפילו אם התוכנה הזדונית הוחדרה למחשבים עוד לפני קיומו של "היום הלאומי" – לא הביא יום זה בעקבותיו לבדיקה מוקפדת של התוכנות הזדוניות השוכנות כבר במחשב. נשמעו אמירות שה"יום הלאומי" כוון מלכתחילה כלפי ילדים ונוער ולא מבוגרים, אך אין זה עומד במבחן ההצהרות בפרסומים אותו "יום" או בהופעות המתוקשרות.

הכישלון הצורב שטפח על פני אותם גופים ואנשים המעורבים ב"יום הלאומי" היה, בעצם, צפוי מראש. הכתובת הייתה על הקיר כי ככה לא מחנכים, ככה לא מלמדים, ככה לא מונעים וככה לא מגבירים מודעות. פעולות הסברה המוניות, מודעות בעיתונים וראיונות ברדיו ובטלוויזיה, מצגות משוכללות המלוות בהרצאות מרתקות המועברות לקבוצות רבות של בני-נוער ומבוגרים – משרתות מטרות כלשהן בצורה מצוינת, אך לא מטרות של מניעה. את הכלל הפשוט הזה ניתן למצוא בספרי מבוא העוסקים בחינוך מונע או בהקניית ידע בשינוי דפוסי התנהגות אישיים. "יום לאומי" – במלחמה בתאונות הדרכים, בחינוך לסביבה ירוקה, במניעת שימוש בסמים, במניעת מחלות, או במניעת אלימות – עשוי להביא שירות טוב למדי לנותני חסויות ולמארגנים. הכותרות והסנסציה עשויים להביא לרייטינג לא רע. ההדים הציבוריים יירשמו אי-שם בדפי ההיסטוריה הלאומית. אך האם הם יביאו לשינוי בהתנהגותו של הפרט, אותה חוליה חלשה? לשינוי אמיתי? לשינוי באורח חשיבה, בהתנהגויות, בתפיסות ואמונות, ברגישות ובהבנה? הסיכוי לכך זעום! מאמר מקצועי מעניין, שפורסם לפני כשנתיים, סקר מחקרים רבים שעסקו בתוכניות מניעה בתחומים שונים ובחן את השאלה: מה בעצם הכרחי על-מנת שתוכנית כזו תצליח? החוקרים זיהו מספר גורמים כאלו, כגון: עיתוי רלוונטי ומתאים (ה"יום" נקבע בתאריך שרירותי), הפעלה מספר רב של שיטות התערבות (ה"יום" הסתמך בעיקרו על שיטה אחת), ומינון מספיק ("היום" היה אירוע חד-פעמי וההתערבות הייתה קצרה ביותר). הכישלון, אם כך, היה כתוב על הקיר.

אם המטרה היא חינוך הפרט – הפעילות חייבת להתבסס על שיטות וגישות שהוכיחו את עצמן כיעילות. למשל: התערבות חינוכית צריכה להיות מותאמת לאפיונים של הלומד ופעילות שאמורה להביא להקניית ידע ומיומנויות צריכה ללוות את הלומד, תוך תרגול, מערכת משוב, סימולציות, הערכה ויישום. כשמטרת התערבות חינוכית היא הקניית דפוסי התנהגות – חינוך חייב להיות אישי, פעלתני, משתף, אינטנסיבי ומתמשך. למרבה הצער, פעולות ההסברה שננקטות בנושאים הקשורים לסכנות הקשורות לשימוש במחשב, כגון אלו של "היום הלאומי", משמשות מטרה אחרת – שיווקית ותדמיתית בעיקרה – של גופים אינטרסנטיים אלו או אחרים. אין להן אימפקט משמעותי עם הגברת מודעות או שינוי בדפוסי התנהגות. באנלוגיה: זוהי אשליה תמימה שניתן להרצות לציבור על אלימות ומניעתה ובכך להביא למניעת אלימות. זוהי אשליה שאם נדבר ללא הרף על נהיגה פרועה או על תאונות הדרכים נביא בכך לשינוי בהרגלי נהיגה. אשליות אלו גורמות נזק בכך שהן מטעות את הציבור ומנהיגיו שכאילו נעשים דברים נכונים על-מנת למנוע אלימות או תאונות דרכים, בעוד שמה שצריך להיעשות לא נעשה, או נעשה מעט מדי.

כדי ללמד התנהגות בטוחה במחשב וברשת יש להביא לשינוי מן היסוד בהדרכה בשימוש במחשב, החל מגיל צעיר ביותר. יש לשים את הדגש לפיתוח מודעות אישית ובהקניית הרגלים אישיים. יש לפעול תוך שינוי מהותי של השיטות ושל הדגשים של ההתערבויות. עיקרון זה תופס לגבי תחומי התנהגות רבים, כמו שמירת בריאות או נהיגה נכונה, והוא תקף וישים גם לגבי התנהגויות הקשורות למחשב. נכון, זה פחות משרת את התדמית, זה גם הרבה יותר מסובך ויקר – אך זו הדרך היחידה להקטנה משמעותית בנזקים צפויים מסכנות המחשב והרשת.

שולמית הרציג בתאריך 8/7/2005 5:02:52 AM

מאמר משעמם שלא אומר דבר

גיבוב של מילים

e-magine [אתר] בתאריך 8/7/2005 9:30:41 AM

לשלומית הרציג

זה שאת לא מבינה את הטקסט לא אומר שהוא לא אומר שום דבר, זה אומר שאת לא מבינה אותו, זה הכל.

מיליו בתאריך 8/7/2005 4:24:49 PM

לא רק שלומית

גם אני כנראה מאותגר טקסטואלית

יובל [אתר] בתאריך 8/7/2005 8:11:40 PM

ללא מושג

מה היתה המטרה המוצהרת של היום?
לא נראית לכם מטרה קצת גרנדיוזית ליום אחד?
נראה לי שגם החבר מעלי חברים בדעה ללא ידיעתם.
כולם היום יודעים (שוב) שיש סוסים באינטרנט ושהרעים רוכבים עליהם.
וואו.
נורא חשוב.
מי יודע איך נלחמים בהם?
גיקים של מחשבים טכנאי פיסי מיוחדים ואנשי אבטחה.
אני מאד בעד הכותב אבל עם גישה יותר פרקטית.
מערכות ההפעלה היכונו.
סביבה בטוחה לא תגיע ממודעות של המשתמש הפשוט כי הוא לא מבין גם ככה בשום עניין טכני וגם אין לו שום רצון לדעת.
מפתחי מערכות הפעלה ותוכנות צריכים לאתר את ההזדמנות הכלכלית ולאחד פתרונות למכשיר (תכנה) יחידה שתפתור את נושא האבטחה ויכפה על המשתמש הציבורי שימוש בה.
מעין הרחבה של כל כלי האבטחה הפזורים היום.
וכך נחסוך חטיפה ופריצה.

Momentum בתאריך 8/9/2005 5:09:00 PM

כדי ללמד התנהגות בטוחה במחשב וברשת

יש להביא לשינוי מן היסוד בחינוך.

בני אדם רגישים לדברים שנראים להם מחשידים, עם שיקול דעת טוב מספיק כדי להעריך בני אדם שפונים אליהם באינטרנט (ופנים אל פנים) ולהשתמש באיזו אינדיקציה כדי לדעת על מה ללחוץ ועל מה לא ללחוץ ("לחצו כאן וזכו במליון דולר בלי הגרלה, רק תשאירו לנו את מספר חשבון הבנק כדי שנדע לאן לשלוח אותם")
לא צריכים "ימים לאומיים לאינטרנט בטוח".

Momentum בתאריך 8/9/2005 5:11:14 PM

וכן, ברמה הכללית

שקשורה למערכות מידע גדולות וכד' - מן הסתם צריך פיתוח תוכנות ומערכות מתקדמות ובטוחות יותר, כמו שאמר יובל ^.

רוני [אתר] בתאריך 8/17/2005 11:45:17 PM

אנשים הם החוליה החלשה

בהקשר הזה אני ממליץ בחום על ספרו של סטיבן מיטניק, "אמנות ההונאה" - The Art of Deception, איני יודע אם תורגם.

בספרו מסביר מיטניק בדיוק איך אנשים נופלים לפחים שנוכלים מתוחכמים טומנים להם, איך בתור נוכל אפשר לטמון את הפח הזה ואיך בתור מנהל אפשר להשגיח שהעובדים שלך יהיו חכמים מספיק כדי לא לעשות טעויות קריטיות שנראות קטנות ממבט ראשון.

יסעור בתאריך 9/3/2005 12:06:33 PM

כמה נכון!

בתור מי שהכיר את הפרויקט מקרוב - אני יכול להעיד שכל מילה כאן נכונה. פספוס ענק!
תודה פרופ' ברק שאתה פוקח עיני עיוורים!

בתאריך 4/2/2006 11:38:39 PM

ללא נושא

טיגכיכגיגכיג



		שם:
		דואר:
		אתר:
		כותרת:



		שם:
		דואר:
		אתר:
		כותרת: