כשהשוער מחמיץ: למה לא מספרים לנו על פאשלות של חברות סייבר?

 


 


עדיין לא ברור אם מריוט בנו מערכת אבטחה גרועה, הותקפו בידי האקר שהיה מוכשר דיו כדי לפצח מערכת אבטחה טובה, או שילוב של השניים. מה שבטוח, החברה הזו קצת תתקשה לפנות לאנשים שדואגים להגנה על המידע שלהם. לא בלי למלמל “לא, מאז עשינו המון שינויים ועכשיו הכל ממש, ממש-ממש מאובטח” ולקוות שהקליינט ישתכנע. היא תחטוף נזק תדמיתי יקר, ויתכן שגם עונשים וקנסות – אם יתגלה שהתרשלה בהגנה על המידע.


 


ואיך שזה נראה כרגע, יש סיכוי יותר מסביר שאכן היתה כאן התרשלות: מריוט רכשה ב-2016 את רשת מלונות Starwood, שבמערכותיה התגלה הפריצה. היא התגלתה רק לאחרונה, ולפי הודעת מריוט, כנראה שנוצרה עוד ב-2014. רכישת Starwood עלתה לה 13.6 מיליארד דולר, והיתה אחד המהלכים האסטרטגיים הכי חשובים בהיסטוריה של מריוט – מהלך שהפך אותה לרשת המלונות הכי גדולה בעולם. מהלך כזה כולל, מטבע הדברים, סקירת אבטחה מעמיקה; אף אחד לא קונה בית עם שלד במרתף. לפי החברה, נגנב מידע גם ממערכות מותגים אחרים של הרשת, כך שיש לנו כאן אינדיקציה לפורץ שמצליח לנוע אנכית, ולעבור מרשת נגועה אחת לאחרת. מה שמעלה שאלה מעניינת: מריוט פישלה לכאורה; מערכת זיהוי הפנים ההמונית
של אמזון? היא נועדה לנתח בזמן אמת פיד וידאו ממצלמות אבטחה ואחרות, ולזהות פושעים מבוקשים ואנשים חשודים, ויש כמה וכמה גופי אכיפה בארה”ב שכבר עובדים איתה; האם היא מתבלבלת בין פני אפרו-אמריקאים, בצורה שעלולה להציג עובר אורח תמים כפושע מסוכן? האם היא שומרת נתוני זיהוי של קטינים – דבר שמנוגד לחוק? האם היא מסמנת בני מיעוטים כבעלי סיכוי גבוה יותר להיות עבריינים? כל השאלות הללו בהחלט במקומן ובהחלט ראויות לתשובה. במיוחד בגלל שמערכות זיהוי פנים המוניות כבר הגיעו הכעיסה את עובדי ההייטק
וזיעזעה את ארה”ב). מיד הודיעו כמה בעלי מניות בולטים של אמזון ביקשה מהמנכ”ל
ג’ף בזוס לבטל את המוצר הזה.


 


זיהוי פנים המוני צילום: ACLU

 


 


אבל בזוס לא מתייחס למי שמבקש יפה; אפילו כשהגיע מכתב ממחוקקים, שרצו תשובות לשאלות ששאלתי כאן, הסתפקה החברה בלשלוח תשובות כלליות ומתחמקות: אמזון טענה שרק מי שהוסמך להשתמש בתוכנות זיהוי הפנים שלה קיבל גישה אליהן. היא לא הרחיבה על דיוקים, טעויות, אפליות ושימושים לא ראויים. אז עכשיו התעצבנו המחוקקים, ושלחו לו שאלוות מחדש – והפעם דרשו תשובה עד ה-13 בחודש. לא אופתע לגלות שגם הפעם התשובה תהיה כללית ומתחמקת, בתקווה שהמחוקקים ילכו להציק למישהו אחר.


 


אני, בתמימותי, סבור שצריכים לחול עונשים כבדים על חברות שמתחמקות ממתן תשובות. אני חושב שחברות צריכות לעמוד מאחורי המעשים שלהן והטעויות שלהן (לרקוגנישן של אמזון, אגב, יש שיעור טעות מופלא. למשל, מתכננת לסגור
את שירות הצ’ט Hangouts ב-2020, לפחות את הגרסה הבסיסית שלו שזמינה כאפליקציית מובייל (שאף אחד לא מוריד ביוזמתו, כי אנחנו חיים בעולם שיש בו ווטסאפ) או כחלון צ’ט בג’ימייל שבדפדפן. גרסה עשירה יותר, שנועדה לארגונים, היתה אמורה להמשיך ולחיות, לפי המקור. סקוט ג’ונסון, מנהל הנגאאוטס בגוגל,

Leave a Reply

Name *
Email *
Website