h1

איך הבעיר הבגצ את מדינת ישראל

יוני 17, 2010

היום תתקיים הפגנת ענק של הציבור החרדי. מי שלא מכיר את הפרטים חושב לעצמו, מן הסתם: "עוד הפגנה של חרדים. אתמול ביפו ובאשקלון, והיום בבני ברק ובירושלים". אז זהו שממש לא.

בשונה מהמאבק של הקבוצה המכונה "העדה החרדית", שעסוקה כל היום במלחמות עם כל מה שאפשר, ומקבלת גיבוי קטן מהציבור החרדי, מדובר הפעם בכלל הציבור על גווניו. בשונה מהפגנות של קבוצה של "קנאים" שגם ההנהגה לא עומדת מאחוריהם, הפעם מדובר בהפגנה עם כל הרבנים והמנהיגים.

מדוע יוצא כל הציבור להפגין בשל כליאה של כארבעים ומשהו אבות ועוד ארבעים ומשהו אמהות? מדוע אפילו מפלגת ש"ס משמיעה קולות של תמיכה, אם המאבק הוא על זכות הגזענות?

ידוע, מקור העניין הוא הפרדה בין כיתות בבית ספר של חסידות "סלונים" בעימנואל. כמו בחסידויות אחרות, לחסידות בית ספר משלה, שלומדים בו גם בנות מקבוצות אחרות. בית ספר חסידי, בדרך כלל, הינו בית ספר למשפחות של החסידות עצמה. בבתי ספר כאלה לפעמים מלמדים באידיש, מתפללים בנוסח של החסידות ועוסקים גם בנושאים שמעיינים מאוד את משפחות התלמידים, אבל לא ממש משפחות אחרות. במקרה של עמנואל, נוצרה בין קבוצה זו לקבוצה אחרת הפרדה מכוערת – גם ההפרדה בין קבוצות תרבותיות שונות.

אנשי החסידות טוענים שבית הספר מקבל ל"מגמה החסידית" רק בנות שמשפחותיהן עומדות בקריטריונים מסוימים. חשוב לומר שבכיתה זו גם בנות ממוצא מזרחי. במקומות אחרים בארץ בתי ספר כאלה הם נפרדים לחלוטין, ומי שלא עומד בקריטריונים (לדוגמה: משפחה שיש לה בבית מחשב המחובר לאינרטנט) בכלל לא מתקבל לבית הספר.

כך או אחרת, התעקש הבגצ שהבנות תלמדנה יחדיו וההורים לא הסכימו. האם הסיבה היא גזענות או בדלנות אחרת? זה כבר לא משנה.

מאז קומה של המדינה ישנו מאבק על דמותה של מדינת ישראל. יהודית או דמוקרטית או שני הדברים יחדיו. בדרך כלל, הציבור החרדי בוחר שלא להאבק על דמותה של המדינה. היא פחות מעניינת אותו (דווקא האדמור הקודם של חסידות סלונים עצמה נחשב לאחד מיוצאי הדופן המשמעותיים, וספרו "נתיבות שלום" המקורי והדי-ציוני נלמד בישיבות ציוניות רבות). רבים בציבור החרדי מתייחסים למדינה כאילו היו חיים באנגליה או ארה"ב. אולם במשך השנים מצב זה נשחק, וההשתלבות של הציבור החרדי בנעשה במדינה הולכת ועולה. הציבור החרדי נאבק בעיקר על זכותו לנהל את חייו כמו שהוא רוצה. אם זה על ענייני איכות חיים ("אל תסעו לי ברחוב שלי בשבת"), אם זה על שלא יכריחו אותו לשרת במסגרת מעורבת עם בנות בצבא, על הזכות ללמוד בישיבה בשנות הבחרות, ועל היכולת לשמור מצוות ולחנך בדרך שהם רוצים.

יתכן ומקורה של ההפרדה בבית הספר בעמנואל אינה תרבותית-דתית אלא גזענית, כפי שטוען הבגצ, אולם כאשר הבגצ מתעקש להכריח את ההורים להכניס את בנותיהם לבית ספר שאינם רוצים בו – ההורים לא יוותרו, ואף יקבלו לכך גיבוי מההנהגה שלהם. במקרה כזה הם ישלמו בשמחה מחיר של ישיבה בכלא.

כל מי ששומר מצוות גדל על האתוס של הקרבה אישית לשם שמים, הקרבת החירות האישית לשם שמירה על מצוות השם. במדינת ישראל של היום די קל לקיים מצוות, ביחס לאלפיים שנות גלות, והנה עכשיו יש לכמה עשרות הורים הזדמנות להקריב בשביל לעמוד על זכותם לחנך כפי שהם רוצים. בודאי שההנהגה תתמוך בהם. גם אני תומך בהם. ומה אם מחר יכריחו אותי לשלוח את בנותי לבית ספר שאינני רוצה בו? בודאי שאלחם על זכותי.

המצב שיצר הבגצ בהתעקשותו, הצליח לגייס גיבוי של כל הציבור החרדי (ושלא במפתיע גם נציגי שס משמיעים קולות תמיכה) משום שיצר מצג מושלם לעימות בין דת ומדינה. מיהי הסמכות העליונה – הבגצ או המנהיג הרוחני? האם הבגצ יכול להכריח אותי לחנך את ילדי בשונה מאמונתי?

אין לי ספק שעל ההבדלים בין הציבור החרדי לציבור החילוני אפשר לגשר בדרכים רבות. אין לי ספק שגם את הבעיות הקשות כמו השתתפות בכוח העבודה ואפילו השירות הצבאי אפשר לפתור, ופתרונות לבעיות אלו הולכים ועולים. אבל חידוד של סוגיות כמו זו שעולה עכשיו באופן שמאפשר לכל צד לא להקשיב בכלל לצד השני הוא מתכון מושלם לאסון.

פורסם באידיאולוגיה, חרדים, ציונות | 5 תגובות »

h1

טיוטת תקנות אבטחת מידע של משרד המשפטים – חומר עזר והערות

ינואר 17, 2010

ב-10 בינואר פרסם משרד המשפטים נייר עמדה הכולל טיוטה של תקנות אבטחת מידע להגנת פרטיות. המשרד קורא למעוניינים להגיע ליום עיון שיתקיים ב-20.1.10 ולהעביר הערות עד ל-15.2.10.

מצורף לינק לנייר העמדה ולטיוטה, וטבלת עזר הממפה את חלות הדרישות על המקרים השונים של מאגרי מידע:

סעיף

תיאור

רמה גבוהה

רמה בינונית

רמה נמוכה

בעלות יחיד

2

אחריות כוללת לאבטחת מידע

כן

כן

כן

(ג),(ד)

3

ממונה על אבטחת מידע

כן

כן

כן

 

4(א)-(ג),(ה)

נוהל אבטחה

כן

כן

כן

 

4(ד)

נושאים נוספים בנוהל

כן

כן

 

 

5(א)

מיפוי מערכות (רשימת מצאי)

כן

כן

כן

כן

5(ב)

סקר סיכוני אבטחת מידע

כן

 

 

 

6(א)

אבטחה פיזית וסביבתית

כן

כן

כן

כן

6(ב)

בקרה ותיעוד גישה לאתרים

כן

כן

 

 

7(א)-(ג)

א"מ בניהול משאבי אנוש

כן

כן

כן

 

7(ד)

הדרכה תקופתית

כן

כן

 

 

8(א)-(ב)

ניהול הרשאות גישה

כן

כן

כן

 

8(ג)

מידור פנימי

כן

 

 

 

9(א),(ג)

זיהוי ואימות

כן

כן

כן

(א)

9(ב)

מדיניות סיסמאות

כן

כן

 

 

10

מנגנון תיעוד גישה אוטומטי

כן

כן

 

 

11(א)

תיעוד אירועי א"מ

כן

כן

כן

 

11(ב),(ג)

דיווח לבעל המאגר על אירועים

כן

כן

 

 

11(ד)

דיון רבעוני באירועי א"מ

כן

 

 

 

12(א)-(ג)

התקנים ניידים

כן

כן

כן

(א)

12(ד),(ה)

רשימת מצאי של התקנים

כן

כן

 

 

12(ו)

תיוג מידע לצורך מעקב

כן

 

 

 

13

אבטחת תקשורת וניהול מרחוק

כן

כן

כן

כן

14

מיקור חוץ

כן

כן

כן

 

14(א)(2)(ז)

פיקוח על פעילותו של גורם חיצוני

כן

כן

 

 

14(4)

בקרה על העמידה בהסכם ובתקנות

כן

כן

 

 

15

מחיקת מידע

כן

כן

כן

כן

16

ביקורות תקופתיות

כן

כן

 

 

17

גיבוי שחזור והתאוששות

כן

כן

כן

 

17(א)

נהלי גיבוי והתאוששות

כן

כן

 

 

17(ה)

שמירת גיבוי מחוץ לאתר

כן

 

 

 

ישנן לא מעט הערות עקרוניות שצריך לדון בהן, אך בטרם אכתוב משהו מסודר, אני מצרף הערות נקודתיות:

  1. התקנות מזכירות "התקנים ניידים" – לא ברור מה דינן של מדיות כגון DVD.
  2. בתקנות עולה דרישה לביצוע "סקר לאיתור סיכוני אבטחת מידע". מניסיון של יישום דרישות המפקח על הבנקים בנושא עולה שאין בהירות מספקת לגבי ההבחנה בין "סקר סיכונים" "סקר בטיחות" "מבחני חדירה" ודומיהם. יש לחדד האם הדרישה היא Risk assessment, Vulnerability assessment או שמא גם וגם.
  3. סעיף 8(ג)(2) דורש הפרדת תפקידים שקשה לאכוף – בין מתן הרשאות ובין האפשרות להעתיק נתונים.
  4. סעיף 10(א) דורש תיעוד ניסיונות גישה. רמת הגרנולריות של זה הינה מהותית – קל יחסית לייצר לוג ברמת המערכת, וקשה ליצור לוג ברמת הפעולה. הסעיף מדבר על "רכיב המערכת שאליו בוצע ניסיון הגישה", ההבהרות מדברות על "המשאב הספציפי". למה בדיוק הכוונה?
  5. סעיף 13(ג) מדבר על "שימוש באמצעי הצפנה" – יש להתייחס בפירוש להצפנת התקשורת או הצפנה אחרת.
  6. סעיף 13(ד) מדבר על גישה מרחוק למאגר, ודורש "לזהות באופן סביר" את זהות המתקשר. בדרך כלל מקובל לדרוש "הזדהות חזקה" לדברים מסוג זה – לא ברורה הדרישה לפי התקנות.
  7. בתוספת, סעיף 2(3) ישנה התייחסות לכך שאם מספר המועסקים אינו עולה על 10, לא יחולו הדרישות של רמת אבטחה בינונית. מה לגבי חברה קטנה שמנהלת מאגר ענק וכל זאמת באמצעות מיקור חוץ?

הערות נוספות יתווספו בהמשך…

פורסם באבטחת מידע, הגנת הפרטיות, משרד המשפטים | לכתוב תגובה »

h1

באנו למילואים

דצמבר 16, 2009

אני עכשיו בעיצומו של שירות מילואים בחברון. כמעט חמש עשרה שנות מילואים, שבסך הכל היו בסדר – פלוגה טובה, שירות שקט. בסך הכל די מספק.

לקראת "זקנתי" בפלוגה, הפכתי להיות הפקיד של הפלוגה, מה שאומר בעצם שאני אחראי על כח האדם של הפלוגה, על שיבוצים במשימות ועל החשוב מכל – חופשות ויציאות הביתה. תפקיד זה נותן לי נקודת מבט מסוימת על גישת המילואימניקים השונים לשירות המילואים.

ראשית, יש לומר שבדרך כלל שירות המילואים אינו נוח לאף אחד. הוא מגיע תמיד בזמן לא נוח, עוקר אותך מהשגרה הנורמלית, מעיק על כל המשפחה (במיוחד על מי שנשארת עם הילדים), וגם אינו נוח במיוחד.

במקרים נדירים ישנם כאלה ששמחים על שירות מילואים. יתכן שמישהו שמח לברוח מהשגרה המעיקה שלו, מובטל ששמח על קצת משכורת צבאית או מי שממילא משרת בכוחות הבטחון ושמח להחליף שגרה.

ובכל זאת, אחרי שכבר מתרגלים לרעיון שצריך לצאת למילואים, לא מעט חיילים נהנים לצאת לשירות. הסיבה העיקרית היא כמובן החבר'ה. גם חיילים שלא מכירים את מי שמשרת איתם מימיהם בשירות הסדיר, מוצאים חברים קרובים במילואים ושמחים לבלות איתם את התקופה. למעשה, נדמה שזה הפרמטר העיקרי ששומר על היציבות של היחידה האורגנית. זה מה שמביא אנשים להמשיך ולהתנדב למילואים גם כשהגיע הגיל שלהם לפרוש, וזה מה שיוצר יחידה שפועלת באופן מקצועי וממלאת את המשימות שלה. בעיות חברתיות יכולות לפורר את היחידה ולגרום לכך שהחיילים ימאסו בשירות ולא יתפקדו כחיילים.

במהלך שירות המילואים אני מבלה זמן עם חברים שביומיום הסיכוי שאפגוש אותם קטן ביותר. הם באים מאזורים שונים בארץ, בגילאים שונים משלי, ומרקע סיוציו-אקונומי שונה. יש אצלנו: דוקטורנט לפיסיקה, מאמן כלבים, מנהל מחלקה בחברת תקשורת גדולה, בנקאים, אנשי הי-טק, בסטיונר, הרבה סטודנטים, בלש במשטרה, כלכלן, פועל במפעל, ביולוג, ועוד רבים.
בשונה מיחידה סדירה, קשה להעניש חיילי מילואים. לכאורה, ניתן להפעיל כל מיני סנקציות – במקרה קיצוני אפילו להענישו בכלא או קנסות, אבל סנקציות כאלו יגרמו לכך שהחייל לא ימשיך עם היחידה בסופו של דבר, ולכן סנקציות כאלה לא מופעלות.

אצלנו ביחידה אנחנו נוהגים לומר שמי שבא זה רק מי שרוצה לבוא ולעבוד כמו שצריך. מי שלא רוצה – אנחנו גם לא רוצים אותו. כאשר ישנם חיילים בעייתיים, אנחנו נדאג שהם לא ימשיכו עם הפלוגה – עדיף לוותר על חייל ולהתמודד עם עומס המשימות מאשר להתמודד עם המרמור שחייל בעייתי יגרום אצל החיילים האחרים.

צריך לזכור שלא כל החיילים הם טיפוסים צייתנים ונורמטיביים שמקבלים כל מרות של המערכת. יש בפירוש מיעוט של כאלה שלא אכפת להם לשקר למערכת בחיי היומיום שלהם, ובכל זאת, כאשר הם איתנו בצבא, הם עושים את העבודה כמו שצריך ומתפקדים באופן נורמלי. אולי זה בגלל שהתרגלו שבצבא עושים מה שאומרים לך, אולי בגלל שהם פשוט מוכנים לשלם את המחיר כדי להיות חברים מתפקדים בקבוצה.

בתקופת השירות הנוכחית יש לנו כמה חיילים שעושים פסיכומטרי, כאלה שהם באמצע סמסטר, אחד שאבא שלו נפטר לפני זמן קצר, אחד שמחזיק את הבית שלו אחרי שאביו נפטר ואמו לא מתפקדת (וגם מנסה ללמוד ולעבוד), וכמה שלמעשה פטורים משירות מילואים אבל מעוניינים לבוא ולתרום כמה שהם יכולים. המפגש עם אנשים שכל כך מתאמצים בשביל לתרום לחברה ולזולתם ממש מחמם את הלב.

בשירות המילואים הזה, קלטה הפלוגה שלי יותר מעשרים חיילים חדשים, שזה להם שירות המילואים הראשון. לוקח כמה שנים עד שמתרגלים לרעיון שצריך לצאת מהשגרה, ולהפוך לחייל, כך באמצע החיים, הלימודים, העבודה והמשפחה, גם לפעמים לא קל להתמודד עם פערי גילאים של לפעמים 15 שנה. אבל בסופו של דבר, למעט כמה חריגים, קיבלנו בחורים צעירים שכיף יהיה לשרת איתם, לעבוד איתם, לצחוק איתם, ואולי גם הם ירגישו שפה הם מוכנים להמשיך לסבול את העול הזה לחמש עשרה השנה הבאות…

פורסם בחברות, מילואים, תרומה | לכתוב תגובה »

h1

שיג ושיח של דמעות

ספטמבר 26, 2009

דב נהג לשבת שני כסאות ממני בבית הכנסת. הוא היה בחור שקט, צעיר ממני, ולכן לא יצא לנו לדבר הרבה.

בשנה שעברה נגזרה עליו שתיקה מסוג אחר – נתגלה אצלו גידול ממאיר בלשון, ולאחר ניתוח קשה, נגזר עליו שלא לדבר.

הקושי שלא לדבר, בהיותו בעל משפחה, היה קשה במיוחד ביום הכיפורים, שבו לא יכל להתפלל.

במוצאי יום הכיפורים כתב דב את חוויתו מאותו יום במכתב.

מכתב זה פורסם לאחר מותו, לאחר כמה חודשים של מאבק רצוף ייסורים. יהיו דברים אלה לזכרו של דב אייזנבך, ולהצלחתו של עם ישראל בדין של מעלה.

בס"ד מוצאי יוה"כ תשס"ט

שיג ושיח של דמעות

אין לך שעה שדמעותיהן של ישראל עולות ומתקבלות כשעת נעילה, שכשנסגרים שערי שמים עדיין מובטח לישראל שכל הנושא קולו בבכי תפילתו נכנסת להיות עם תפילות יום הכיפורים, לרחמים ולכפרה. ויש לך מישראל שבכיין מצוי, וצרותיהן גדולות ובוכים בכי של דמעה, ויש לך מישראל שאין דמעתן מצויה, ואף אלו לטובה כוונתן לקיים מצוות שמחה תמיד, ולמרות זו ככשומעים אחיהם בבכי מצטרפים אף הם בבכי שעיתים הדמעה עימו ועיתים רק קול הבכי. ומהשמים רואים שכולם אגודה אחת, ומצרפין דמעותיהן של אלו עם קולם של אלו, ובעל הרחמים שם דמעותינו בנאדו להיות, כל דמעה ותפילתה עימה.

אף אני הייתי מן הכת השנייה ולא היתה הדמעה מצויה בי, ונסתמכתי על דמעותיהן של כלל ישראל, אלא שבאותה שנה קפצו עלי הצרות, וזכיתי להיות מבני עליה שמסתמכין על דמעות עצמן. אשרי המקום שכל שעושה לטובה.

אך בגלל אותה צרה גם לדבר לא יכולתי שאסרו עלי הרופאים באיסור חמור, וכל תפילותיי רק מכוון הייתי לשמוע ולצאת ,ואף זו לטובה הייתה, שהייתי שומע לחזן ומכוון, והייתי שומע לציבור ומכוון, וכפלתי תפילתי וגם שמחתי שמחה גדולה שהיה הציבור באותו בית כנסת מקפיד להשמיע בפיו את תפילתו, בחיתוך משובח ובקול נאה והייתי בורר לי תפילתו של מי נשמעת ומכוון עימו. אשרי המקום שהביאני ביניהם באותה שנה.

כסבור ומאמין הייתי שמשהגיעו דמעותיי ליעדן פעלו כדרך תפילותיהן של ישראל ביום הכיפורים. אלא שבשמיים בוקה ומבולקה. דמעות ללא תפילות. מי שמע ומי ראה. והיה סניגורן של ישראל אוסף הדמעות ומעלן מלפני כיסא הכבוד, כל דמעה ותפילתה עימה, וכך היה ר' לוי יצחק מברדיצ'ב שואב ועולה, חוזר ושואב, ורק דמעותיי שלי גלמודות מבלי תפילות. והיו מתדיינין הצדיקים מה יעשה בהן,ואמרו נשאל לבעל הלכות תשובה. ובא לו ר' משה בן מימון אצל דמעותיי, וראו בו ששותק, שסבור היה לכבוש תורתו, אלא שאמת מארץ תצמח ועלתה תורתו בפיו, שאין התשובה שלמה עד שיתוודה בפיו.

והיו באין צדיקי סיפורי החסידים ומעלים עלי סנגוריה ור' ישראל בעל שם טוב ותלמידיו מעידים בסיפוריהם כי אמת הדבר. זה בא ומספר דברו שנתקבלה תפילתו אף שכל שידע לומר היה אלף בית, ואפילו עשר אותיות ראשונות היה די בהן, ולא עלתה לי. וזה סיפר כי צעק כתרנגול ביום כיפורים ונתקבלה תפילתו, ולא עלתה לי אף זו. ועוד זה הולך וזה בא ומספר על תפילתו שהיתה בשריקות. ואחרון סיפר בעצמו , שמסר סידורו לשמיים, ובשמיים נוצרו תפילותיו. וכולם לא עלו לי, שלא הרי סיפורם כסיפורי. שהיה כח תשובה שלהם גדול ממני, שכולם תינוקות שנשבו, ולא יכולתי לעמוד במקום בעלי תשובה כאלו.

והיו רואים כולם את ר' משה בן מימון שאף הוא בוכה עימי ולא מצא מנוח שאהבת ישראל שבו גדולה כאהבת אמת שבו. ולפתע אורו עיניו והלך וחזר כהרף עין, ועימו יהודי נוסף וניכר בהם שאהבה גדולה ביניהם, אלא שלא ידעתי מיהו, כי דיוקן דמות הרמב"ם ידוע ומפורסם ואותו לא הכרתי. והיה קורא ר' משה בן מימון – השג השגותיך. והיה היהודי עורם השגות ומפלפל פלפולים על דברי הרמב"ם, כי יש להשמיע וידוי בפה ממש.

וידעתי כי הוא ר' אברהם בית דין, בעל ההשגות. אשרי המחלוקת שהיא לשם שמים ואשרי תלמידי חכמים שמרבים שלום בעולם.

או אז היה רץ לו ר' לוי יצחק, ואוסף דמעותיי שהיו אחרונות להיות, ושם בדלי קטן שנותר עימו בתום מלאכתו, ואף שגם שערי דמעות היו ננעלין באותה שעה, מפתח מסור לו לר' לוי יצחק מריבון העולמים, שכמה וכמה דמעות מכניס הוא בכל יום ויום בעזרת מפתחותיו, ועיתים אף שוכח השערים פתוחים, עד שבא לשם מלאך שאחראי עליהם וסוגרם. ואם מתרעם המלאך על פיזורו של ר' לוי יצחק, מיד זה מפייסו בחיוך של אהבת ישראל והמלאך- משתתקין טענותיו. אף באותו יום הכניס דמעותיי אחורי שערי דמעות, אלא שבאותו יום לא שכח לנעול השער, שהיו המלאכים עומדים היטב על משמרת שעריהן, שאף צבא מרום בא לפני ריבון העולמים בדין, ומקפידין ביום זה על משמרתם. ובאו דמעותיי עם דמעות כל עם ישראל להיות בנאדו של בעל הרחמים לדעת מה יעשה ומה יחתם בהן.

כבר אמרו חכמים : עלמא הדין עלמא דשיקרא. אלא שמי שזוכה ורואה בצרות, זוכה לקורטוב של אמת כבר בעולם הזה.ברוך המקום שריחמני, ואף אני, שאיני הגון וכדאי לכך, זיכוני צרותיי וראיתי צל של אמת , וחשתי באותה שעה קורת רוח של תפילה שעלתה למרום. ואף שלא יודע אדם אנה ילכו תפילותיו, ידעתי באותה שעה כי יפעלו משהו, ולו גם לצרותיהם של אחרים. ושמחתי שמחה גדולה, ואף שאר הציבור חש שמחה, שבעת יציאת היום הקדוש, באה שמחה של נקיות לעולם, שישראל זכין מעברותיהם, ומצוות רבות מחזרות לפניהן להיעשות על ידם.

יזכני המקום לעוד שנים רבות של דמעות נעילה, לכל השיטות ולכל הדעות.

דב איזנבך

פורסם בדמעות, יום כיפור, תפילה | 2 תגובות »

h1

שנה טובה – החלטות טובות

ספטמבר 17, 2009

כבר שנים רבות אני חוגג את ראש השנה. אני תופס אותו כיום דין, שבו אני נבחן על מעשי, ולכן מרגיש חשיבות רבה בלקבל על עצמי החלטות של שיפור עצמי. בשנה הבאה אשפר משהו. עם השנים  אני לומד ששיפורים שאפשר לעמוד בהם הם כאלה שאינם גדולים במיוחד, אבל גם שיפור קטן יכול להיות משמעותי כאשר מצליחים להתמיד בו.
ובכל זאת, ישנן לא מעט אכזבות. לא מעט החלטות שלא יושמו ושוב אני מבטיח אותן לעצמי. עוד שנה ועוד שנה.
התהליך הזה, של הבטחה ואי-יכולת לממש אותה, מטילה בנו מורך. מייאשת. "עוד פעם אבטיח משהו שלא הצלחתי לממש במשך שנים. לא עדיף לוותר על זה?"

ראש השנה , על פי אמונתנו, הוא יום בריאת האדם. כמו חגים ואירועים יהודיים אחרים, אנחנו לא מתייחסים לאירוע שקרה לפני אלפי שנים אלא דווקא לאירוע שקורה עכשיו. אנחנו מאמינים שביום זה, בכל שנה , ישנה התחדשות של בריאת האדם. אנו מגיעים לנקודת ההתחלה ומקבלים כוחות להמשיך הלאה ולהיות בני אדם.

כאשר נברא האדם נוסף לבריאה עניין חדש. משהו שיש באדם ואין בבעלי החיים. הרצון. נוצר אדם שיכול לעשות טוב אך יכול לעשות גם רע. שיש לו בחירה לעשות כרצונו ואינו רק מוציא לפועל של התכונות המולדות שלו. יצור כזה יכול להתחדש, להשתנות. לקבל החלטות ולבצע אותן.

לכן, ביום זה של ראש השנה אנחנו חוגגים את היותנו אדם. את היכולת לקבל את ההחלטה שאנחנו רוצים לשנות את עצמנו ואת העולם. אנחנו לא נוותר על היכולת הזו, נחגוג את הרצון שלנו ונמשיך לרצות, גם דברים שנראים גדולים וקשים במבט ראשון.
אני מאחל לכולנו, שנקבל החלטות טובות ושנזכה לממש אותן, שנזכה לשנה מוצלחת במיוחד, שמחה, בריאה, שנה של הגשמת כל שאיפותינו.

חג שמח

פורסם בחגים, כללי, קבלת החלטות | 2 תגובות »

h1

פאנל בנושא המאגר הביומטרי – לייב בלוגינג

אוגוסט 12, 2009

הבוקר מתקיים דיון במרכז הבינתחומי בנושא המאגר הביומטרי – למעשה דיון ציבורי רציני ראשון בנושא, למרות שהיה כבר ניסיון להעביר את החוק…

הפאנל מכובד ומכיל שני שרים ואת הח"כ שטרית, יחד עם פרופ' ביהם וד"ר קרין ברזילי-נהון והאלוף במיל עמידרור ששייך לפורום הישראלי לאבטחת מידע.

עמידרור פתח בכמה משפטי "פרווה" שעוקפים את הדיון ומדברים באופן כללי על אבטחת מידע, כאילו הבעיה אינה החוק, פרטיות ונושא הדיון הציבורי עצמו.

לאחריו מדבר פרופ' שוקן (מהבינתחומי) שנכנס חזיתית בבעיה, מדבר באופן ברור על הבעייתיות שבניסיון להעביר את החוק ללא דיון ציבורי ומקצועי.

ד"ר קרין ברזילי נהון מציגה נתונים שקיבלה מעמיתים בלונדון סקול אוף אקונומיקס. ראשית היא אומרת שאין אף מדינה דמוקרטית בעולם בה יש מאגר ביומטרי חובה.

במדינה אחת יש מאגר שמטרתו הנפקת תעודות זהות, זאת הונג-קונג, ובה המאגר הוא מאגר זמני שמיועד להנפקת התעודות בלבד, והנתונים נמחקים מייד.

ישנן מדינות בהן ישנם מאגרי רשות. למשל צרפת, בה ישנו מאגר שמלכתחילה יועד לגישה לרשויות השונות, אולם הגישה של הרשויות בוטלה לאחר לחץ ציבורי. ההנחה היא שרק אחוז קטן מהאוכלוסיה יתנדבו לנושא.

הפרויקט האנגלי, שגם הוא רשות, מניח שההצטרפות תהיה זעומה, בשל האופי הוולונטרי של המאגר.

בנושא דרכונים – לכאורה יש צורך בדרכונים בעלי תמונה, ישנם סטנרדטים בינלאומיים הדורשים זאת. יחד עם זאת, הסטנדרטים אינם מחייבים כלל מאגר.

ד"ר קארין מזכירה גם נתונים שהוצגו בוועדה לגבי מדינות שיש בהן מאגר, ושבעצם אין בהן בכלל מאגר! היא חוזרת ואומרת שהנתונים שהוצגו בוועדה היו לא נכונים, וכנראה מגמתיים.
היא מצטטת את דברי שטרית שאמר שאנחנו לא מדינה יחידה בנושא בעולם, ומוסיפה שאנחנו בעצם היחידים בעולם שמעוניינים לעשות את המהלך הזה.

מי שמפתיע אותי הוא האלוף עמידרור, שבדברי הקישור שלו עסוק בלטשטש את דבריה של ד"ר קארין ("באף מדינה גם אין שירות חובה"). כנראה שהוא רואה בתפקידו כמרכז הפורום, לשכנע שהחוק נחוץ והכרחי, לא משנה מה יאמרו חברי הפורום. אני תוהה אם עמדתו מייצגת את "הפורום הישראלי לאבטחת מידע" שהוא (וגם אני) חבר בו.

שטרית מדבר. ראשית הוא תוקף את שוקן. לאחר מכן הוא עסוק בהפרחת העשן הרגיל – אפשר לזייף תעודות זהות בארץ, יש סכנה בטחונית.

שטרית, כהרגלו, תוקף בחוסר סובלנות כל הערה מהקהל. אין חדש בדבריו.

לסיכום, הנקודה העיקרית היא: "הקמת המאגר היא חיונית לבטחונה של מדינת ישראל".

פרופ' אלי ביהם מדבר. הוא בפירוש לא מדבר רק כמדען אלא בודאי גם כאזרח מודאג.

ביהם מדבר על הדוגמה של מאגר טביעות הידיים הצה"לי (לצורך זיהוי חללים), מאגר שהיה בזמנו מיושן מאוד ובאמת לא איפשר לחפש לפי טביעת אצבעות אלא לבדוק מהן טביעות האצבעות של חייל ידוע. גם ממאגר זה לקחו נתונים שלא לצורך שלשמו הוקם המאגר.

לאחר התייחסות נרחבת לנושא הסכנות שבקיום המאגר, ביהם מתייחס לכיצד ניתן ליישם תעודות חכמות גם ללא מאגר ביומטרי. הטיעון העיקרי הוא שהנושא הביומטרי מוסיף קצת מאוד לאבטחה ומנגד מהווה סיכון גדול.

עמידרור, שוב היה עסוק בלקעקע ולטשטש את דבריו של ביהם. יש לי תחושה חזקה שכל הפאנל הזה הוא הצגה שמטרתה אישור החוק כמות שהוא, תוך הצגה כי היה דיון ציבורי בנושא.

עכשיו מדבר עו"ד חיים רביה ,כהרגלו הוא מדבר כמשפטן מצוחצח. הוא מחדד את הנקודה: "המאגר הוא עובדה מוגמרת וכל מה שאנחנו מנהלים כעת הוא דו שיח של חרשים".

הנושא העיקרי הוא האם בכלל צריך מאגר, האם הוא הדרך היחידה והמידתית לשם השגת המטרות שלו.

רביה מסביר בצורה מלומדת עד כמה החוק "מחורר", עד כמה לא היתה התייחסות רצינית לנושאים חשובים מאוד.

עכשיו מדבר השר מיקי איתן. ראשית, השר אומר שהעניין עדיין לא אבוד, ואפשר עוד להשפיע על החוק. השר מדבר בצורה ישירה על תהליך החקיקה של החוק הזה. הוא מזכיר ששטרית הגדיר מראש שהוא יעביר את החוק עד הפגרה, מה שלא יהיה.  איתן טוען ששטרית לא היה יכול להעביר את החקיקה בעצמו, משום שהוא לקח את כל הצדדים וכל השיקולים על עצמו, מבלי שיהיה גורמים מאזנים. איתן מביא ציטוטים של שטרית מתהליך הדיון בועדה שמראים ששטרית בעצם ראה את הכל כסגור מבלי לאפשר דיון אמיתי.

איתן מספר על כל שלבי ניסוח החוק והדיונים בו. העובדות שהוא מביא מציגות את הכל כפארסה אחת גדולה. אדם אחד מציג את החוק והוא יו"ר הועדה, כל הנציגים האזרחיים מציגים עמדה מתנגדת ואין כל איזון.

איתן דיבר ברצינות, נדמה שהוא מהיחידים שיכולים באמת להציל קצת את המצב.

עמידרור שוב עסוק בלהסביר איזו עבודה רצינית נעשתה בשלבי יצירת החוק. חבל שאי אפשר לזרוק ביצים.

לאחר שסיימו הדוברים את דבריהם, ניתנה הרשות לקהל לשאול שאלות, אבל לאחר שאלה אחת יצאו השר ישי וחה"כ שטרית מהאולם והשאירו את הציבור על מנת שידבר עם עצמו. נציג ממשלה היחיד שנותר הוא השר איתן, שהתייחס ברצינות ובכנות לכל השאלות, גם לאלה הקשות.

לסיכום,

אין ספק שטוב שהתקיים הדיון היום בנושא, דיון ציבורי כמעט אמיתי,למרות שזה קורה לאחר הדרך הקלוקלת בה התנהלה עבודת הוועדה. יחד עם זאת, אני לא יכול להימלט מהתחושה שהדיון שהתקיים נועד בעיקר לשרת את המחוקק (בלשון יחיד…), על מנת שיראה לעם כי הוא "מקשיב" להערות.

לכאורה המאבק בנושא נוסח החוק אבוד, שהרי לממשלה "לא כדאי" להחזיר את החוק לועדה לתיקונים, וכל מה שנותר זה להצביע על החוק, ובאין חלופה אחרת שתאפשר הנפקת תעודות זהות "חכמות", תאלץ הממשלה לקבל את החוק כמות שהוא.

יחד עם זאת, יש לקוות שהלחץ הציבורי יוצא הדופן, שסחף אחריו את מיטב המוחות האקדמאיים בנושא, יצליח לשכנע את הממשלה שצריך לשנות משהו.

אני מקווה ששר הפנים, שהנושא בשלב זה נמצא לפתחו, יקשיב לדעה הציבורית, הכמעט אחידה, נגד הקמת מאגר ביומטרי, ויבחן את החלופות המוצעות לנושא מניעת ה"הרכשה הכפולה" (יצירת תעודות מזויפות).

פורסם באבטחת מידע, המאגר הביומטרי, ניהול סיכונים, פוליטיקה, פרטיות | תגובה אחת »

h1

האם רשויות הביטחון יכולות לעזור לאבטחת המידע?

יוני 25, 2009

בהמשך לידיעה כי הפנטגון יקים מטה ללחימה בטרור ובפשיעה המקוונת שבראשו יעמוד חנון עם משקפיים גדולים, ובהמשך למכתב של המפקח על הבנקים אל הנהלות הבנקים המבקש מהם לאשר לו להעביר נתונים לרשות לאבטחת מידע של השב"כ, ולדיון אצל איתן כספי בנושא.

כנראה שהנשיא אובאמה חושב שבמלחמה על בטחוןן הסייברספייס, האמריקאים מפסידים במלחמה. בעקבות זאת הוא יצא בהצהרה (מאי 2009) על הקמת משרד בבית הלבן שיטפל בנושא, והקמת המטה עכשיו היא אחד הצעדים בנושא. כדאי גם לקרוא כמה מילים של יאיר רודיאקוב בנושא.

סוגיה חשובה שנידונה כבר מזמן בנושא היא מחיר חירויות הפרט שמהלך כזה ידרוש – ניטור אבטחת מידע ברמה לאומית, כפי שכבר עושה ארה"ב, גובה מחיר מפרטיות האזרחים, וכבר כתב קורי דוקטורוב בספרו Little Brother, על ה"פרדוקס של ה-False positive", שמסביר מתמטית, שכמות הזיהויים השגויים של מערכות ניטור מסוג זה, יכול לאמלל את חיי האוכלוסיה באופן משמעותי, תוך מתן תוספת שולית ביות רלרמת הביטחון. (חפשו את המילים false positive בספר Little Brother).

סוגיה אחרת לגמרי היא – האם בכלל המעורבות של רשויות הביטחון בנושא אבטחה ברשת יעזרו לביטחון של האזרחים או של הרשויות האזרחיות.

אמנם, בישראל, הרשות לאבטחת מידע היא גורם מנחה ומבקר של התשתיות הלאומיות הקריטיות של המדינה, אולם במקרים של תשתיות אזרחיות שלא הוגדרו כקריטיות (מערך הבנקאות למשל…), לא נראה שניטור התקפות על אתרי הממשלה תעזור להגנתן.

במכתב להנהלות הבנקים מציין המפקח כי העברת מידע לרשות יוכל להוביל לשיפור היערכותם של התאגידים הבנקאיים בתחום אבטחת מערכות המחשב.

אצטט מתוך הכתבה של אנשים ומחשבים שהזכרתי:

בעקבות ההודעה נשמעה בוושינגטון ביקורת על כך שגוף צבאי יטפל בהגנה על רשתות מיחשוב אזרחיות. ביקורת נוספת נשמעה גם מהכיוון ההפוך. מבקרים אלה אמרו, כי המטה החדש ידאג בראש ובראשונה להגנה על רשתות המיחשוב הצבאיות, ורק לאחר מכן – על האזרחיות. מארן ליד, מומחית לאבטחה מקוונת, אמרה ש-"השאלה היא האם משרד ההגנה, המגן על רשתותיו הוא, יוכל להגן גם על הרשתות האזרחיות בצורה יעילה. התשובה היא שלילית". ליד עבדה בפנטגון בין השנים 2005-2008.

פורסם באבטחת מידע, האקרים, סייבר טרור, פרטיות | תגובה אחת »

h1

כמה אבטחת מידע?

יוני 15, 2009

אחת השאלות הנצחיות במקצוע שלי הוא "כמה?"

כמה אבטחת מידע צריך לעשות? כמה בקרות יספיקו כדי לצמצם את הסיכון לרמה מתקבלת? כמה משרות יספיקו כדי ליישם את אבטחת המידע שהארגון קבע לעצמו?

אנשים שעוסקים באבטחת מידע, אך אינם מנוסים מספיק, נוטים דווקא לדרוש יותר מידי. מתוך חשש שהם אינם רואים את האיום הנכון.
אלה המנוסים יותר נכשלים גם הם לפעמים בלעשות פחות מידי – הם רגועים ויודעים שעשו את מה שעשו אתמול. אבל אולי מפספסים את האיום הבא (אני רוצה לקוות שחלק מהניסיון שלהם הוא לחפש את הדבר הבא).

בחינות אמפיריות לא עוזרות כל כך. אם בוחנים את הארגונים הגדולים בישראל, קשה לומר שדווקא אצל אלו שהשקיעו יותר באבטחת מידע קרו פחות אירועים. מספיק להסתכל על הבנק שקיבל הכי הרבה כותרות בנושא של תקלות אבטחה, ולדעת שהוא זה שהשקיע הכי הרבה בנושא.

גם את המחשבה שאחד חכם ומשקיע בכיוון הנכון ואחד מבזבז בכיוונים לא נכונים קשה לי לקבל. לא שאין בכך כלום, אבל אני לא מוכן לקבל את זה שאין אנשים מוכשרים ומקצועיים בתעשיה.

צריך לזכור שבשביל שאירוע אבטחת מידע יתממש, לא מספיק שתהיה חשיפה, צריך גם שמישהו, או משהו יממש אותה. יתכן וארגון אינו מאבטח את הנתונים הרגישים ביותר שלו, אבל אף אחד לא ניסה (עדיין) לגנוב אותם. ארגון אחר יכול להשקיע את כל מרצו, אבל גורמים רבים מנסים לפגוע בו, ובסופו של דבר חשיפה קלה תגרום להתממשות אירוע.

אני נוטה לחשוב שההשקעה בנושא אבטחת מידע היא בדרך כלל Design to budget, ואת הסיכונים שנותרו – ההנהלה נאלצת לקבל.

ומה על מנהל אבטחת המידע? הוא באמת צריך ללהטט ולהשקיע את מה שיש לו בכיוונים הנכונים.

ומי יציל את המצב? הרגולטור?

פורסם באבטחת מידע, ניהול, ניהול סיכונים, קבלת החלטות | לכתוב תגובה »

h1

"סיכמנו שלמחלקת מערכות מידע יש הרשאה, לא?"

יוני 2, 2009

כבר כתבתי בעבר על הסכנה שבמידתיות באבטחת מידע, מתוך הבנה שמידתיות היא כורח המציאות. בסופו של דבר, ניהול אבטחת מידע, ניהול סיכונים, דורש גם לקבל החלטות לא מתמטיות.

הרי לכם שיעור שלא לומדים בקורס לניהול אבטחת מידע:

(מסיבות מובנות, את הדוגמאות שבפוסט זה בחרתי כדי שלא ישקפו ארגון שאני עובד בו, אולם בעיות אחרות מאותו טיפוס מאתגרות גם אותי… )
בארגון שלכם הונהג שלא משתמשים ב-webmail, משום הסיכונים הכרוכים בכך. בשל צרכים ואילוצים מסוימים, מספר עובדים קיבלו בעבר הרשאה לשימוש ב-webmail. לאחרונה בוצע שינוי מסוים שגרם לאחד מאותם עובדים לאבד את ההרשאות שהיו לו, ופתאום הוא חסום.

העובד בא אליך ומבקש שתאשר לו את ההרשאה האמורה. למעשה, הוא לא באמת צריך את ההרשאה היום, אולם כבר שנים הוא משתמש בג'ימייל האהוב עליו וזה פתאום נחסם.

לכאורה, אם אין צורך – הרי שאין סיבה לקבל את הסיכון האמור. אולם, הסיכון של הרשאה לאדם בודד לשימוש בג'ימייל הארור הנ"ל נמוך יחסית, וכבר שנים הוא משתמש בו, ובשביל מה עכשיו לעשות עניין…

ועכשיו לשאלה אחרת מסגנון דומה, שלשמה נתכנסנו פה היום:

הארגון שלכם מקיים דיון מדיניות חשוב בנושא הרשאות. ישנם צרכים מסוימים שמכתיבים צורך בהרשאות מיוחדות, המגלמות בתוכן סיכונים מסוימים (אישור לשימוש בהתקנים ניידים, למשל. אישור לגישה מרחוק למערכות הארגון, למשל) .

ישנה אוכלוסיה מסוימת אשר למען צרכיה  המיוחדים, תסכים ההנהלה לקבל את הסיכונים האמורים, ולתת לה את הפריבילגיות המדוברות.

אולם, ישנה אוכלוסיה נוספת, שנוהגת לקחת לעצמה פריבילגיות דומות. לא בגלל שיש לה צורך חשוב ומיוחד (יש לה צורך פחות) אלא בגלל שהיא יכולה. ואני מדבר כמובן על אנשי מערכות המידע, ירום הודם, היקרים לי מפז.

בשניה שהמערכות יוקמו ויפעלו, תגיע אלי קבוצה של אנשי מערכות מידע ויסבירו לי שיש להם צורך מיוחד, שהם תומכים במערכות, שהם קדושים מעונים, וגם, שהם תומכים  במערכות שלי …

פורסם באבטחת מידע, התנהלות ארגונית, ניהול, קבלת החלטות | 5 תגובות »

h1

שוטרים וגנבים – מישהו מתחבא במחשב שלי – חלק ב'

פברואר 5, 2009

 סיסמאות חד-פעמיות

בפוסט קודם דיברנו על התקפות פישינג, וגניבת פרטי הזדהות, וסיפרנו שאחד האמצעים הנפוצים להתמודד עם התקפות הקשורות לגניבת סיסמאות, הוא סיסמאות חד פעמיות, מתחלפות.

ישנן דרכים רבות לממש סיסמאות מתחלפות. כמה מהן עמוסות בטכנולוגיות מורכבות, ויש גם כאלה פשוטות להפליא. Hard Tokens למשל, שהם חתיכות פלסטיק קטנות עם מסך (מישהו אמר טמגוצ'י?) שמציגים סיסמה שמתחלפת כל דקה, או כרטיסי נייר עם שורות של סיסמאות, שכל פעם משתמשים באחת אחרת לפי סדר.

כך או אחרת (או אחרת, או אחרת, או אחרת), הסיסמאות החד-פעמיות גורמות לכך שגם אם נגנבת הסיסמה, לא יוכל הגנב לעשות בה שימוש, מכיוון שהסיסמה שברשותו כבר אינה מעודכנת.

אבל, כמו שכבר הבטחתי, הסיפור ממש לא נגמר. יותר מידי כסף נמצא שם, מחכה לגנבים…

Man in the browser

במאמר משנת 2006, כותב Philipp Guhring על התקפות מסוג חדש יחסית. התקפות שבהן התוקף מצליח להכניס רכיב מסוים לתוך הדפדפן (Browser) של הקורבן, ובעזרתו מצליח לשלוט בתקשורת הנכנסת והיוצאת מהדפדפן.

כבר לפני שנתיים, בביקור שלי בפולין, הראו לי חברים התקפה על לקוחות של בנקים בפולין, שבה התקינו התוקפים לא רק רכיב שמקליט את כל התקשורת ממחשב הלקוח לבנק, אלא גם העבירו את התקשורת לאתר מזויף, בהתבסס על זיהוי מספרי חשבון מסוימים על פי רשימה. כלומר – כאשר לקוח מסוים, שזוהה מראש לפי רשימת חשבונות, ניסה לגשת לאתר הבנק שלו, הרכיב העוין שהותקן אצלו במחשב שלח אותו לאתר מזויף, כך שחשב שהוא מחובר לבנק שלו. התוכנה העויינת גם טרחה לבצע שינויים במחשב המשתמש, כך שלא ישים לב לכך שהוא גולש לאתר מזויף – בדרך זו זיהוי האתר לפי התעודה הדיגיטלית (שהבנקים כה אוהבים להפנות אותכם אליהם) אינו אפקטיבי, מכיוון שהמחשב יציג אתר מזוייף כאילו הוא אתר אמיתי ותקין.

לאחר שמופנה הלקוח לאתר מזויף, נוכל לנתב את התקשורת לאתר האמיתי, תוך ביצוע שינויים קלים, כגון שינוי חשבון היעד של פעולת העברת כספים…

למעשה, הפניית הלקוח לאתר מזויף אינה נדרשת בכלל. כיום ישנן תוכנות שיודעות לבצע שינויים בתקשורת עם הבנק, כך שהלקוח גולש לאתר, מכניס סיסמה, מבצע פעולות באופן תקין, רק שבמקביל המחשב שלו מבצע העברת כסף לחשבון זר מבלי ידיעתו.

בשנים האחרונות התגלו מספר רב של "חורי אבטחה" במערכות המפעילות מחשבים אישיים של לקוחות הבנקים. עשרות חורי אבטחה נתגלו במערכות Windows ובדפדפן הנפוץ של חברת Microsoft, והפשיעה המאורגת (וגם זו הבלתי מאורגנת) למדה לנצל את כל אלה, יחד עם שיטות רבות ומגוונות, כדי להתשלט על עשרות ומאות אלפי מחשבים של  לקוחות בנקים. העסק הפך לתעשיה המגלגלת מליונים רבים, וההצלחה הביאה את כל אלה להמשיך ולהשקיע בפיתוח כלים משוכללים. קצת על התעשיה הזו ניתן לקרוא במאמר שכתבתי בעבר – גניבת זהות – מבט מבפנים.

ועל זה כבר אמר (בשנת 2004) ברוס שנייר – Two factor authentication – too little, too late. זיהוי הלקוח הינו בלתי מספיק לחלוטין. הגיע הזמן לוודא את אמיתות הפעולה עצמה, את דיוק הסכום והיעד של העברת כספים, ואת כל זה צריך לבצע מול הלקוח באופן שלא ניתן לזייף.

איך עושים את זה? נספר בפעם הבאה…

פורסם בכללי | לכתוב תגובה »

« רשומות ישנות יותר
Follow

Get every new post delivered to your Inbox.