https://www.haaretz.co.il/captain/s...emium-1.9361912
פורסם ב-10.12.20

האם צה"ל צריך לשלוח תעדת הוקרה לכתב "הארץ" רן בר-זיק?

"סקריפט של שבע שורות קוד שכתבתי תוך 15 דקות - זה כל מה שהיה צריך כדי לאסוף את השמות ומספרי תעודות הזהות של כל החיילים המשרתים כיום בצבא; לאחר דיווח לצה"ל, התקלה תוקנה"

וזו לא הבעיה היחידה. יחידות שלמות בסדיר ובמילואים פרסמו לחייליהן קישורים למלא הצהרות בריאות בטופס גוגל! לכבוד הקורונה.
חיילים שניסו לתהות על העניין נענו בשקר "זה הלינק הרשמי של צה"ל" והונחו למלא א פרטיהם האישיים המלאים.
בסוף לא חשובה התוכנה. יושבים כל מיני אנשים בכל מיני גילאים בעמדות ביצוע או החלטה, ופועלים ברישול, או מתוך בורות, בטיפשות או בזריקת זין, ויוצרים מאגרי מידע שחשיפתם מזיקה לאנשים רבים ואפילו למאמץ המדינה להגן על אזרחיה ועצמה כארגון.

אדם יכול למצוא עצמו יעד וקורבן למתקפה של גניבת זהות או פגיעה כלכלית, או אפילו הוצאת צו מעצר בחו"ל, בלי שיש לו מושג מה מתרגש ובא עליו.

אז פורום צבא ובטחון, מה אומרים? מה מציעים?

אם אתה מחזיק ביד ענף זית דק, כדאי מאוד שביד השנייה תהיה לך חרב חדה וגדולה.
(הפרשנות שלי לרעיון שמאחורי סיכת המ"מ)

"שבעה דברים בגולם ושבעה בחכם. חכם אינו מדבר לפני מי שהוא גדול ממנו בחכמה, ואינו נכנס לתוך דברי חברו, ואינו נבהל להשיב, שואל כהלכה ומשיב כעניין, ואומר על ראשון ראשון ועל אחרון אחרון, ועל מה שלא שמע אומר לא שמעתי, ומודה על האמת. וחילופיהן בגולם.;" מסכת אבות- פרק ה', משנה ז'

צפוי.
ככל שעניין אבטחת מידע נהיה מסובך יותר, כתוצאה מהסיבוכיות ההולכת וגדלה של מרחב הרשת, כך היכולת של חפ"שים לטפל בעניינים כאלה קטנה, והכדאיות של שכירת שירותי חברות המתמחות בעניין, גדלה.
על צה"ל לאזרח בקצב גבוה יותר, וזה כולל הגנה על מידע ברמת שמור ומטה.

משעשע , החברות האלו שצהל ישכור יקחו את אותם חיילים שהשתחררו חמש דקות קודם , ימכרו את השרות לצה"ל במחיר פי 10 והיעקר שאתה תהייה מרוצה כי זה הופרט. אגב יש סיכוי לא רע שאת האפלקצייה הזאת דווקא פיתחו במיקור חוץ ...
אין ספק שמשהו נרדם במשמרת , פיתח משהו בצורה מהירה ולא טרח להעביר בדיקות סקיורטי שיש מספיק גורמים בצבא שיכלו להעביר בצורה מצויינת .

ככל שמנהלים את המידע בזהירות כאילו מדובר בכסף, כך קטנה הסבירות שתהיה הפקרות.
בארגון שאני עובד בו, כל מי שמעונין לקבל ולנהל נתונים רגישים, חייב להגיש בקשת בטחון מידע מסודרת:
-מי המפתחים ומה רמת המומחיות שלהם באבטחת מידע
-מהו קונספט האבטחה של הפרויקט
-אישור של ארכיטקט מערכות מידע שהגישה נכונה וללא פערי אבטחה
-רשימת פרוטוקולים, פורטים, טווחי IP, מדיניות סיסמאות, חסימת גישה של עובדים שעזבו ועוד רשימת קניות ארוכה
-אישור מאיגוד העובדים שהשימוש בפרטי העובדים ביישום המסוים הזה לא נוגד את המדיניות
-לוח זמנים מחייב למחיקת המידע בסוף תקופת החיים של היישום.

וכל זה נדרש לצורך פיתוח יישום פנימי בתוך הרשת המקומית של החברה בלי חשיפה לאינטרנט.
והמידע הרגיש הוא שם פרטי, שם משפחה, מספר טלפון ומספר עובד. כלמר עוד לא הגענו למשכורות וכו'.

הנושא של שליפת מודיעין גלוי מרשתות חברתיות הוא גם בעיה מאוד גדולה שכל העולם מתמודד איתה.

בכתבה מצולמת מצרפת (יש כתוביות מובנות באנגלית) מראים איך ניתן לדלות פרטים מאוד מעניינים
מפרסומים של חיילים בחשבונות אישיים שלהם, ביישומונים שונים, ואף להגיע אליהם "עד הבית".



לצפייה במקור באתר YouTube, לחצו כאן.