די מזמן לא כתבתי ולא עדכנתי את הבלוג, בגלל עניינים אישיים ומשפחתיים חשובים שדרשו ממני את מיטב המשאבים והזמן. אשתדל לחזור בקרוב לבלוג ולתת לו יותר יחס חם.
בהתאמה, משהו אישי הפעם.
מזה מעט מעל שלוש שנים אני עובד כשכיר בתחום אבטחת המידע באותו מקום עבודה. חברה ישראלית גדולה, אלפי עובדים, באזור המרכז. רוב הזמן היה מעניין טכנולוגית ובנוסף החברה גם הלכה לקראתי ואפשרה לי שימוש חורג במנגנון ימי המחלה בזמן של משבר משפחתי קשה לאורך מספר חודשים.
אולם, לאחרונה אני מרגיש צורך בשינוי, גם כי אני מרגיש שאינני יכול עוד להתקדם במקום הנוכחי, לא היררכית ולא טכנולוגית וגם כי אני רוצה למצות את היכולות האישיות והטכנולוגיות שלי, שאני מרגיש שאני עדיין רחוק ממיצוי שלהן.
לכן, אני רוצה להיעזר בפלטפורמה של הבלוג הזה, ובכם הקוראים כמובן, בכדי לבדוק אפשרויות שונות לדרך מקצועית חדשה: תחום עיסוק: אבטחת מידע כמובן אבל גם ניהול תשתיות/IT רצוי מבחינתי כי לפני שהתחלתי לעסוק באבטחת מידע באופן עיקרי – ניהלתי במשך ארבע שנים תשתיות של בנק בינוני בעל פריסה ארצית (כולל אבטחת מידע). תפקיד: בעדיפות ראשונה תפקיד ניהולי. לא ניהול פרויקטים אלא ניהול במובן ההיררכי – לנהל מחלקה/צוות או מנהל IT בחברה קטנה עד בינונית. אני מעוניין לקדם לא רק את הצד הטכנולוגי אלא גם את הצד העסקי, האנושי והתקציבי של העבודה.
בעדיפות שנייה תפקיד טכנולוגי בכיר כגון ייעוץ/הנחיה או ניהול פרויקטים (אגב, יש לי אהבה (ויכולת) גדולה למידענות, אבל אני לא יודע כמה פרנסה יש בזה). אין בעיה עם Hands On (וזה גם חשוב לדעתי, לשמור על קשר עם המציאות הטכנולוגית), אבל לא אינטגרציה.
בנוסף, אני פתוח לשמוע הצעות מקוריות לתפקידים אחרים שאולי לא חשבתי עליהם. מעסיק: בעדיפות ראשונה חברה גדולה שמשקיעה ותשקיע באבטחת מידע ותשתיות (אין דבר מתסכל יותר מלרצות לעשות ולשפר אבל בולמים אותך) ובעדיפות שנייה חברה בינונית-קטנה. אין העדפה של ממש לתחום העיסוק של החברה, אולי קצת להייטק כי בחברות כאלו טרם הזדמן לי לעבוד. אזור גיאוגרפי: במידה ומדובר במיקום קבוע רוב הזמן, אז אתחום את המרחב בנתניה בצפון, לוד במזרח וראשון לציון בדרום, אך אין לי בעיה עם נסיעות מדי פעם ללקוחות/סניפים ברחבי הארץ, דבר שנפוץ בדרך כלל בייעוץ. חו"ל אפשרי כל עוד מדובר בגיחות לתקופות קצרות שלא יעלו על 30%-20% מזמן העבודה הכולל. שיטת העסקה: נכון להיום אני שכיר ובהחלט אשמח להמשיך להיות כזה אולם להפוך לעצמאי זו גם אפשרות שאני מוכן לשקול במידה ומדובר בהתקשרות ארוכת טווח ועם תכולה מספקת של עבודה.
כל זאת על קצה המזלג ומי שרציני ומוכן להציע עבודה תואמת מוזמן לפנות אלי באמצעות טופס כתבו אלי בבלוג זה, ומי שאתקדם איתו בתהליך – יישלח אליו כמובן קובץ קורות חיים מלא.
(איזה מצחיק, בדיוק דיברנו היום בעבודה על כך שמשתמשי לינוקס ומק מסתכלים מלמעלה, שלא לומר בהתנשאות, על משתמשי חלונות. בצדק או לא, זה דיון, שלא לומר ויכוח, שלא יסתיים לעולם, וזה לא המקום להמשיך בו…)
חדשה קצרה וטובה:
Eset, פתחה תכנית בטא לתוכנת ה-AV המשובחת שלה, NOD32, עבור דסקטופים של לינוקס מההפצות הבאות:
Debian, Fedora, Mandriva, RedHat, SuSE, Ubuntu and other RPM and DEB package manager based installations. Both 32-bit and 64-bit (AMD64/EMT64) architectures are supported)
Mac OS X 10.5.x and 10.6.x both 32-bit and 64-bit (AMD64/EMT64) architectures are supported (where applicable).
כן אני יודע, אלו מערכות הפעלה חסינות בפני הכל (למעט קריפטונייט) ואין בהן קוד זדוני, אבל סתם, לידיעה, זה עולם אכזר, אתם יודעים. לכו תדעו מתי משתמשי "חלונות" יחטפו קריזה ויתחילו לתקוף בחזרה… (-;
אגב הפוסט האחרון, חזרתי היום ל"זירת האירוע" לראות אם השתנה משהו, והסתבר, מעשה כשפים, שדווקא היום, יום שישי, 6/11/2009, פג תוקף התעודה הדיגיטלית של אתר מזרחי-טפחות שבו מתארח טופס
"שכחת / נחסמה סיסמתך", אליו הם מפנים את הלקוחות שלהם.
(תקליקו על התמונות להגדלה)
ועוד משהו לפני פרידה, שימו לב שגם התעודה של האתר הראשי של מזרחי-טפחות (שמשום מה מתאימה רק ל-www.mizrahi-tefahot.co.il אבל לא ל-mizrahi-tefahot.co.il (שנותן הודעת שגיאה על נושא זה), כאשר שני האתרים זמינים ופעילים לקהל הרחב) פגה בקרוב, ב-26/11/2009. כדאי להזמין מראש.
(כעיקרון אני ממליץ על תזכורת באאוטלוק, ככה, חודש לפני. זה מונע אי-נעימויות)
(שום דבר אישי, מזרחי-טפחות, אני סתם תמיד משועשע מחדש מזה שארגונים לא שמים לעצמם תזכורת מוקדמת לרכישת תעודה חדשה)
(הכותרת היא פרפרזה על משפט ממערכון של "הגשש החיוור": "דייג אוהב דגים? אם אוהב אותם למה הוא מוציא אותם מהמים?")
קיבלתי מ"מזרחי-טפחות" מייל. פרסומי. לא זכור לי שנרשמתי לקבל מהם פרסומים, אבל נגיד שנרשמתי, כי הייתי (עדיין?) לקוח עקיף שלהם.
המייל, בתבנית HTML, הגיע משולח בעל השם "מזרחי-טפחות" וכתובת של donotreply@umtb.co.il (UMTB הוא דומיין של "מזרחי טפחות" שגלישה אליו תנתב אתכם לאתר באנגלית של הבנק).
בדיקת ה-Header של המייל הראתה שבפועל הוא נשלח מדומיין בשם mymarketing.co.il, מפיצי מיילים מסחריים (יש כאלו שיכנו זאת אחרת, אבל זו לא הנקודה כאן), וכלל גם קישור לצפייה בתוכן המייל (שייתכן ולא יהיה זמין לאחר פרסום פוסט זה) באתר של הדומיין web-view.net, שניסיון להגיע לשורש שלו יעביר אתכם לאתר של mymarketing.co.il הנזכר לעיל.
בכל מקרה, לטובת ההיסטוריה, אני מצרף כאן את התמונה שהיא הרקע של המייל (הקליקו להגדלה) וגם את הפרסומת המקורית כקובץ MHT בתוך ZIP (קובץ ה-MHT ייפתח באופן תקין ב-IE):
- הקלקה על פס הקישורים העליון (שנראה שפשוט הועתק מאתר מזרחי-טפחות) תפתח חלון חדש שיעביר אתכם לאתר הבית של מזרחי-טפחות, שאמנם הוא ב-SSL אבל כולל טופס שם משתמש וסיסמא לצורך כניסה ישירה לחשבון.
הקלקה על המקטע הבא, "כל יתרונות שירות האינטרנט" או על אחד משלושת הריבועים שמתחתיו – תפתח לכם חלון חדש ישירות לטופס ייעודי בשם "כניסה לחשבונך" (שקישור "אבטחת מידע" אשר בתחתיתו אינו תקין…). (הקליקו להגדלה)
המקטע הבא, בעל הרקע האפור אינו כולל קישור, אבל המקטע התחתון, "שכחת/נחסמה סיסמתך? הקלק כאן!" פותח חלון חדש אל טופס ייעודי לשחרור סיסמא (שימו לב למקטע המסומן בריבוע אדום בתמונה המצורפת (הריבוע הזה הוא תוספת שלי)).
אז מצוין. הבנק, בטופס הזה מזהיר את לקוחותיו מפני פישינג. אם מקליקים על הקישור המדובר, מגיעים לדף המסביר את תופעת הפישינג וכיצד להיזהר ממנה, בייחוד הטקסט הבא:
אז כן, נכון, בנק מזרחי-טפחות לא מבקש מלקוחותיו במייל נתונים אישיים אודות חשבון הבנק, או סיסמאות גישה למערכות הבנק.
הוא רק מרגיל אותם שבתוך פרסומות מיילים שלו הוא מערבב נושאי שיווק עם נושאי תפעול/אבטחת מידע ונותן קישורים ישירים לניהול סיסמאות באתר שלו.
בגישה הזו, לדעתי, בנק מזרחי-טפחות מכין את הקרקע לביצוע פישינג נגדו, אמנם פישינג יותר עדין ועקיף מהמֻכָּר אבל בכך הבנק יורה לעצמו בכיס באופן ישיר ובאופן עקיף מחבל במאמצי שאר הבנקים לחנך את הלקוחות שהמיילים מהבנקים מכילים רק מידע שיווקי ולא תפעולי/אבטחתי, וזאת במטרה לגרום ללקוחות להיות מודעים לפישינג ולא להתפתות לו.
דרך האתר law.co.il של עו"ד חיים רביה, העוסק בצד המשפטי של החיים הדיגיטליים (יש אתר דומה של עו"ד אביב אילון, netlaw.co.il), ואליו אני מנוי, נודע לי כי בימים אלו באה לסיומה פרשת גניבת נתוני ההזדהות של לקוחות הבנק הבינלאומי על ידי עובד אבטחת המידע של הבנק, דן טירספולסקי, נתונים אשר הועברו לאנשים נוספים אשר בתורם גנבו כספים מהחשבונות שפרטיהם נגנבו.
טירספולסקי נידון, במסגרת עסקת טיעון בין הפרקליטות לעו"ד של טירספולסקי, לשנת מאסר אחת, מאסר על תנאי למשך 10 חודשים לתקופה של 3 שנים (והתנאי הוא כי לא יעבור כל עבירת רכוש, מרמה או הונאה) וקנס בסך 10,000 ₪ או 60 ימי מאסר תמורתו.
הפרשה, אשר נחשבת למעילת האינטרנט הבנקאית הראשונה בישראל, נחשפה בשנת 2005 (ראויה לציון תגובה 11), אז נחשף כי טירספולסקי, עובד במחלקת אבטחת המידע של הבנק הבינלאומי, אשר היתה לו גישה לפרטי החשבונות של לקוחות הבנק, כולל פרטי ההזדהות שלהם באתר האינטרנט של הבנק, מסר נתונים של ארבעה לקוחות של הבנק, תושבי חוץ, לידי אנשים נוספים שפרטיהם לא מוזכרים, והם בתורם, בעזרת הפרטים שקיבלו מטירספולסקי, גנבו סך של 103,700 ש"ח מלקוחות אלו.
בכתבה שפורסמה ב"גלובס" בעת גילוי הפרשה נטען כי טירספולסקי לא הצליח להחזיר חוב לקרוב משפחה (שגם נעצר) ובשל כך נסחט על ידי גורמים עבריינים במאפיה הרוסית.
לטענת העו"ד של טירספולסקי, על פי גזר הדין, הוא ביצע את המעילה לא עבור עצמו אלא כי נסחט באיומים על ידי אותם גורמים אליהם העביר את פרטי הלקוחות (מה שלא ממש נכון לדעתי, כי הוא השתמש בנתונים שגנב כתחליף להחזר חוב, ומי שבעצם "החזיר את החוב" הם אותם לקוחות של הבנק).
באופן מעורר שאלות, בגזר הדין רשום לגבי באת כוח התביעה (כלומר פרקליטות המדינה) ש"בנוסף היא מאשרת כי נעשו ניסיונות להשיב את הכסף שנגנב, אולם הבנק לא הראה נכונות לקבלו". גישה מעניינת של הבנק.
אז מה אנו למדים ממקרה זה?
- אל תיקחו הלוואות מקרובי משפחה.
- אם כבר אתם לוקחים הלוואה מקרובי משפחה. תבדקו שאין להם קשר לגורמי פשיעה או שהם לא מסוכנים אם לא מחזירים להם את הכסף.
- אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן, כי ברור שלא ניתן למנוע גישה אליהן כי הן מטופלות על ידי עובדי מחלקת המחשוב של הבנק (אנשי סיסטם, מפתחי האתר, DBAים, אנשי הגיבוי והאחסון וכן הלאה). פעולה זו היתה מכשילה בוודאות גבוהה את האפשרות לאירוע מסוג זה להתרחש.
- חשוב שנבין שעיקרון המידור ועקרון ה-Need to know (והצפנה למעשה משלבת את שניהם) מגינים לא רק על בעלי המידע שכן מורשים לגשת אליו ולעשות בו שימוש אלא גם עלינו, אנשי אבטחת המידע (וה-IT בכלל), שיכולה להיות להם גישה למידע, אפילו באופן לא מכוון או מודע, כחלק מעבודתם. העקרונות הללו מפחיתים את רמת הידע שלנו אודות מידע רגיש ובכך מפחיתים את הסיכון שלנו לפיתויי שימוש ברעה על ידינו או לחצים להעביר מידע זה לידי גורמים חיצוניים.
לכן, אם בעבודתכם אתם שמים לב שקיימים מצבים שבהם אתם (או אחרים) יודעים או יכולים לדעת יותר מדי, או יכולים לעשות יותר מדי – תפנו למנהלים הרלוונטיים ותתריעו בפניהם על כך.
תמיד עדיפה מניעה מראש על פני תיקון בדיעבד (שלא תמיד אפשרי).
זה קשור רק חלקית למקרה הנ"ל, אבל מזמן רציתי להגיד את זה: המקצוע שלנו הוא לא חד וחלק, לא ברור ולא מתוחם. לטוב ולרע. ולפעמים יש רע. ואסור לשכוח זאת ואסור להתעלם מכך.
רוצים שנשמור על הארגון, על המידע הרגיש והסודי, אבל שלא נחשף אליו ולבטח לא נעשה בו שימוש לרעה. זה הגיוני, זה דורש אמינות, זה דורש כוח רצון ועמידה בפיתויים ובלחצים, וזה דורש לוליינות טכנולוגית ואישיותית. המקצוע דורש ממך ללכת על חבל דק, על הגבול, ולעולם לא לקבל החלטה שגויה. והקביעה האם ההחלטה שגויה או לא יכולה להיות לפעמים תלוית מקום, זמן, מערכת, מידע, יחסים, פוליטיקות ואין סוף פרמטרים. לפי הצורך והמטרה של המחליט. ולא תמיד אתם הם המחליטים…
ככל שהעולם נכנס יותר ויותר למחשוב, לתקשורת ולאינטרנט – כך בהתאמה מתגברת המשפטיזציה של התחום הזה ושל אבטחת מידע בכלל, כמקבילה הדיגיטלית של תחום הבטחון הפיזי, ובהתאמה העובדים במקצוע (ולא רק באבט"מ, גם אנשי סיסטם, DBAים ועוד) עוסקים בתכנים שהם קריטיים לארגונים ועל כן בקלות יכולים למצוא עצמם בסיטואציות משפטיות שונות, מדיונים עם עורכי הדין של החברה לגבי אירועי אבטחת מידע, דרך איתור תכנים לכתבי תביעה (Forensic) ועד עדות או כנאשמים במשפטים מסחריים ו/או פליליים.
ולדעתי המצב היום הוא שאין לעוסקים במקצוע מספיק מודעות וידע משפטי לגבי המותר והאסור, ואין להם עם מי להתייעץ כיצד לנהוג במצבים מיוחדים, במצבי קצה, ויש כאלה לא מעט במקצוע שלנו. את המצב הזה לדעתי צריך לשנות.
שעת ייעוץ של עו"ד יכולה בקלות להגיע למאות ש"ח/דולר, שלא לדבר על הדרכות/הרצאות משפטיות תקופתיות – מה שמן הסתם גורם לרבים שלא לפנות לייעוץ משפטי אלא לסמוך על השיפוט האישי שלהם בלבד.
אני מקווה ש-IFIS ישימו לב לעניין זה וייזמו הדרכות משפטיות על ידי חברי הפורום בעלי השכלה משפטית בנושא ואולי גם ישיגו תעריפי ייעוץ מופחתים לחברי הפורום אצל משרדי עורכי דין בעלי התמחות מתאימה. יכול להיות שצריך גם לשקול השגת תעריפים מופחתים לביטוח אחריות מקצועית (אם כי אני לא בטוח אם קיים ביטוח כזה בישראל בנוגע לאנשי מחשבים בכלל ואבטחת מידע בפרט).
בינתיים, תשימו לב ותשמרו על עצמכם, ואם אתם לא בטוחים – תשאלו חברים או בעלי מקצוע ותיקים שאתם יכולים לסמוך על דעתם. תמיד עדיף לשמוע כמה דעות לפני שמקבלים החלטה חשובה.
כן, אני יודע, אני נודניק, אבל היו כאן ובדוא"ל אנשים (אני יודע מי הם ואיפה גרים) שהבטיחו שהם יקנו חולצות (אפילו got root יצרתי לפי דרישת הקהל), והם לא קנו.
כנראה שהמחיר של 69 ש"ח (ללא דמי משלוח) היה יקר לכם. בסדר, אז מזל, יש ל"לופה" יום הולדת 3 והם נותנים 30% הנחה על כל המוצרים באתר, ולכן כרגע, עד ה-15 בספטמבר – החולצות הן ב-48 ש"ח בלבד.
קדימה, תוכיחו שיש לכם לב חם ומתגמל, ובדרך גם תרוויחו חולצה שתוכיח יותר מ-CISSP שאתם במקצוע הנכון!
(אחת הכותרות ההזויות (אך המשעשעות) ביותר שיצא לי לתת בחיי)
רברס עם פלטפורמה הוא אתר פודאקסטים שהם למעשה ראיונות שמבצעים רן תבורי ואורי להב מחברת הסטארט-אפ Outbrain (שיצרה את וידג'ט רייטינג הכוכבים שיש בסוף כל פוסט באתר זה).
יש גם הסבר לשם המוזר הזה.
הראיונות, או סוג של תכנית אירוח רדיו אינטרנטית אם תרצו, עוסקים באספקטים מגוונים ורבים של עולם הטכנולוגיה.
הדרך שלי אל הראיון הזה מתחילה בעצם השימוש בוידג'ט של החברה שהוספתי אותו לבלוגים שלי, דרך הערות שונות ששלחתי לחברה על בעיות או הצעות שיפור שונות למוצר הזה של החברה, ועד להערה האחרונה שנגעה לחסימה של הוידג'ט על ידי תוסף אבט"מ ל-Firefox בשם NoScript שחסם את התוסף ובכך פגם במראה ובשימושיות של הבלוג. לפני שפניתי אליהם בנושא פניתי למפתח התוסף הזה בטענה שיכול להיות שיש בעיה בתוסף שלו אך הוא בדק ומצא ש-Outbrain לא הגדירו נכון ערך זיהוי כלשהו ובהמשך הוציא גרסת תיקון (1.9.7.1). אני פשוט יידעתי אותם על השגיאה שהוא הצביע עליה, בכדי שיתקנו את מה שצריך.
לאחר שיידעתי אותם על כך, באופן מפתיע הם שלחו אלי קופון מתנה של אמזון (בערך של 40$. אם חס וחלילה לא יהיה להם אקזיט, אז כנראה זה בגללי). זה מאוד הפתיע אותי והיה נחמד לדעת שמעריכים מידע מסייע שאתה מעביר מבלי לצפות לתמורה ובכל אופן הצד השני מרגיש צורך להגיד תודה מעבר לרגיל.
קצת לאחר המקרה הנ"ל, פנה אלי רן, הציג לי את אתר רברסים והציע שאבוא לראיון. הסכמתי מייד כי זו חוויה חדשה עבורי, מעולם לא התראיינתי עד היום בשום צורה וחשבתי שזו יכולה להיות התנסות מעניינת.
אז מהמפגש (שבו אורי לא היה יכול להשתתף והחליף אותו בהצלחה אלעד סלים, גם הוא מ-Outbrain) יצא "פודקאסט מספר 33 – אבטחת מידע", שעסק במגוון מאוד רחב של נושאי אבטחת מידע שהספקנו בקצת יותר מחצי שעה. אני מאוד מרוצה מהתוצאה. אני חושב, ואני בדרך כלל מאוד ביקורתי, שהראיון היה שוטף ומאוד מוצלח (אבל אני אובייקטיבי, כמובן).
אפשר לשמוע את הראיון גם באתר עצמו וגם להוריד משם קובץ MP3.
בראיון גם דיברנו קצת על חוק המאגר הביומטרי המתבשל. הייתי בפאנל ש-IFIS ארגנו השבוע בנושא ואני מכין פוסט בנושא, אבל זה ייקח קצת זמן כי תמיד עדיף קצת לקחת מרחק מהאירוע וללמוד קצת יותר על העניין בטרם מגיבים (וגם אין לי זמן…).
בכדי לא להשאיר אתכם בלי תכנים לשבת (ואפילו לשבוע הקרוב), אני מצרף כאן את הקישורים שאספתי לכבוד הפוסט המתהווה – הכוללים התייחסויות מרחבי הרשת לפאנל שהתקיים:
(אני מתנצל שקצת שיגעתי אתכם. הפוסט פורסם במקור לפנות בוקר היום, אבל התבקשתי להוריד אותו כי נטען שעוד יהיו במהלך הלילה והיום שינויים. הנוסח הסופי יצא ב-12:35 בצהריים ואני עדכנתי אותו רק בשעות הערב, לאחר שחזרתי מהעבודה. השינויים הם מינוריים ומתייחסים רק לסדר הדוברים. מתנצל אבל העדפתי לכבד את בקשת IFIS)
בכנות, חשבתי לעצמי, עוד בטרם קבלת ההזמנה הזו, שאם IFIS לא יעשו משהו בנדון, הרי שאין לגוף זה זכות קיום. קורסים בין החברים לבין עצמם זה נחמד ותורם, אבל המבחנים האמיתיים הם במהלכים המהותיים ברמה הציבורית-לאומית ואפילו הייתי אומר ברמה ההיסטורית.
אני מקווה שיהיה המשך מעבר לפאנל הזה, צעדים מעשיים כגון ביצוע לובינג בכנסת ואם צריך אפילו הגשת בג"ץ (אם כי, ככל שהבנתי את רוח הדברים – אין כוונה כזו. IFIS כנראה לא רוצה להיות גוף אקטיבי או נוקט עמדה, אבל זה נושא לדיון נפרד).
הפורום הישראלי לאבטחת מידע והמרכז הבינתחומי הרצליה מתכבדים להזמינך
לפאנל
בנושא
"המאגר הביומטרי במדינת ישראל"
בהנחיית האלוף במיל' יעקב עמידרור, נשיא הפורום הישראלי לאבטחת מידע IFIS
יום רביעי 12 באוגוסט 2009 בשעה 10:00 , בנין ארזי – עופר, קמפוס מרכז הבינתחומי הרצליה
נושא הקמת המאגר הביומטרי נמצא במרכזו של פולמוס ציבורי נוקב , במהלך תהליכי אישור לחקיקה הנוגעים
להקמתו ולשימוש בו . עקב הנסיבות והמומנטום הציבורי , בכוונת הפורום הישראלי לאבטחת מידע
( www.ifis.org.il ( המסונף לאיל "א ) www.ila.org.il ( להעלות דיון ציבורי בנושא , ביום רביעי 12/8/09 בשעה
10:00 שיתקיים בקמפוס המרכז הבינתחומי הרצליה . בפאנל ישתתפו נציגי זרועות הבטחון, הממשלה, הכנסת,
מומחים ומקצוענים, אנשי אקדמיה, עיתונאים, והקהל הרחב.
מנחה: האלוף במיל' יעקב עמידרור, נשיא הפורום הישראלי לאבטחת מידע IFIS , סגן נשיא מכון לנדר בירושלים
10:00-10:05 דברי ברכה : פרופ' שמעון שוקן , בית ספר אפי ארזי למדעי המחשב , המרכז
הבינתחומי הרצליה
10:05-10:10 דברי פתיחה: המנחה – האלוף במיל' יעקב עמידרור נשיא הפורום הישראלי לאבטחת
מידע IFIS , סגן נשיא מכון לנדר בירושלים
10:10-10:20 ד"ר קרין ברזילי-נהון – עובדות: מאגרים ביומטריים בעולם
10:20-10:40 ח"כ מאיר שיטרית – יו"ר ועדת מדע וטכנולוגיה, הכנסת
10:40-11:00 פרופ' אלי ביהם, דיקן הפקולטה למדעי מחשב , הטכניון, חולשותיו של חוק הזיהוי הביומטרי
וישומו
11:00-11:20 השר מיכאל איתן, השר הממונה על השרות לציבור, סכנות חוק המאגר הביומטרי
11:20-11:40 השר אלי ישי, שר הפנים
11:40-12:30 שאלות ותשובות
12:30-13:00 הפסקה
* יתכן כי בפאנל ישתתפו מוזמנים נוספים.
הכניסה חופשית אך מותנית בהרשמה מראש: daemon@e-nigmatech.com
13:00-14:00 פאנל המשך )מקצועי(:
.1 חלופות למאגר: תעודות חכמות / ביומטריות ללא מאגר.
.2 אפשרויות הגנת המאגר הביומטרי ומאגרי מידע ממלכתיים בכלל.
בין המומחים המוזמנים: מר דוד ממן , יועץ אבטחת מידע; מר יהושוע פרייס, מכון התקנים הישראלי ; מר מיכה
וייס, CISO מזרחי-טפחות; מר איתי ינובסקי , CISO צים וסיו"ר הפורום הישראלי לאבטחת מידע ; אופיר ליבר,
CISO סמייל 012 ; ד"ר דוד מובשוביץ , מומחה אבטחת מידע , בית ספר אפי ארזי למדעי המחשב , המרכז
הבינתחומי הרצליה.
מנחה: אבי ויסמן, יו"ר הפורום הישראלי לאבטחת מידע IFIS .
האירוע בחסות הפורום הישראלי לאבטחת מידע IFIS ובחסות תכנית ההתמחות באבטחת מידע של
בית ספר אפי ארזי למדעי המחשב במרכז הבינתחומי הרצליה
בעבר עסקנו בנושא הסמכות אבט"מ באופן כללי, שם גם אזכרנו מעט את ההסמכה ל-CISSP. נדמה לי ש-CISSP היא דה-פקטו ההסמכה הנפוצה בשוק כיום.
אותי, אישית, מרגיז שגוף שמצהיר על עצמו שהוא ללא כוונות רווח (מה שתמיד מעלה לי את הדעה שאולי הארגון הוא ללא כוונות רווח, אבל העובדים בו דווקא כן…) ושכל תכליתו לקדם את תחום אבטחת המידע – רוצה 549 דולר (ככל שזכור לי) על מבחן ההסמכה לתואר (נוסף לשלל דרישות אחרות).
בסכום כזה לא באמת מקדמים את התחום אלא מנסים לתחום אותו ולהגביל את כמות המוסמכים, ולכן לכאורה יש ניסיון מלאכותי ליצירה של קהל מומחים (עם או בלי מירכאות). אני לא רואה סיבה שאדם ישלם באופן פרטי סכום כזה, מקסימום על חשבון המעסיק (אם מצליחים לשכנע אותו…).
אני מקווה בעתיד להרים פוסט ייחודי להשוואה בין ההסמכות השונות בכלל והמצב בישראל בפרט.
בכל מקרה, לשוק הקטן של הדרכות אבט"מ ייעודיות לקראת CISSP נכנסה השנה חברת GSECTRA (קטלוג הקורסים שלהם לשנת 2009, מסמך PDF), אשר משלבת כוחות עם חברת רואי-החשבון "Deloitte בריטמן אלמגור זהר" שמגבירה את עיסוקה גם בתחומי אבטחת המידע וניהול הסיכונים.
דרך חבר לעבודה קיבלתי דוא"ל שהוא קיבל, המפרסם את האירוע שלהלן, ובו שתי החברות יקיימו יום פתוח להסברים אודות מסלול ה-CISSP שהן פותחות. מצורפת בהמשך תמונה עם המודעה אודות היום הפתוח.
היום יתקיים ביום ראשון, 16 באוגוסט 2009, בין השעות 17:00-19:30 במרכז עזריאלי, הבניין העגול, קומה 45 (כנראה המשרדים של דלויט).
מאחר ואני מקדם בברכה כל פעילות שמקדמת את שוק אבטחת המידע, הרי שכניסת חברת הדרכה חדשה יכולה להוסיף ידע לעובדים בתחום ולהוריד מחירים בשל תחרות מוגברת – אני מפרסם כאן לידיעתכם את היום הזה, ולמען ההגינות מוסיף גם אזכור של החברות הנוספות בשוק המקיימות הדרכות ייעודיות לקראת הסמכת ה-CISSP:
(לא אפרט כאן חברות הדרכה שמקיימות קורסים ואף מסלול מרובה-קורסים של אבטחת מידע שטוענות ש"ניתן" לגשת לבחינות ה-CISSP לאחר הלימוד בהם. יכול להיות שזה נכון אבל כאן אפרט רק קורסים/מסלולים שמכוונים באופן ייעודי לקבלת ההסמכה)
הטכניון (לימודי חוץ) – מקיימים "קורס הכנה להסמכת CISSP" (כנראה כרגיל אצלם, בשיתוף See Security), בלי יותר מדי פירוט: 8 ימים ביוני 2009 נכון לכתיבת שורות אלו. נכון, זה מאחורינו, אבל אולי שווה לברר לגבי המועד הבא.
בעבר מכללות ההדרכה הייטק ומדיאטק קיימו מסלולים של CISSP אבל מבדיקה שערכתי לאחרונה מסתמן שהמסלולים האלו ירדו – פרטים נוספים בעמוד "חברות וארגונים בתחום אבטחת המידע בישראל" (חפשו CISSP).
כך שנראה שהמצב של הדרכות לקראת CISSP אינו מזהיר (מן הסתם בשל העלויות הגבוהות, לפחות של המבחן שהזכרתי לעיל…), ונקווה שהיוזמה של GSECTRA תוביל גופי הדרכה נוספים לארגן מסלולים ייחודיים לקראת ההסמכה עבור אנשי מקצוע ותיקים ולא רק כחלק ממסלול הכשרה מלא של אבטחת מידע.
