יום חמישי, 20 ביוני 2013

המגן צריך להגן על הכל בעוד הפורץ צריך למצוא רק נקודת חולשה אחת

המשפט: "המגן צריך להגן על הכל בעוד הפורץ צריך למצוא רק נקודת חולשה אחת" הפך ברבות השנים לתירוץ האולטימטיבי מדוע המגן נמצא בנחיתות מובהקת וייכשל תמיד כאשר אנו מדברים על עולם ה-CYBER.

המאמר מנסה לקרוא תיגר על נכונות המסקנה ולטעון שבמשפט הקצר והפשוט טמונה למעשה כל חוסר ההבנה האנושית מהו עולם ה-CYBER באמת.

בואו נפרק את המשפט לשני חלקיו:

המגן: המגן צריך להגן על הכל. אמירה נכונה אך עדיין איננה אומרת דבר על שיטת ההגנה.

הפורץ: הפורץ צריך למצוא רק נקודת חולשה אחת. מה זה אומר בדיוק? כתוב בצורה ברורה שהפורץ "צריך למצוא..." מה זה צריך למצוא? מבחינה מקצועית המשמעות הנה שהפורץ מבצע פעילות מגוונת על מנת לאתר את נקודת החולשה, לפני שהוא מבצע את התקיפה עצמה.

בואו נתחיל מאיתור נקודות חולשה בעולם האמתי. דוגמאות:
(1) - שליחת סיורים לבחון האם יש פרצות בגדר המתקן?
(2) - ניסיונות לחתוך את הגדר תוך קיום תצפית ובחינת תגובת המתקן על בצוע החיתוך בגדר,
(3) - ניסיונות לעבוד על השומר בכניסה תוך שימוש בתעודות כניסה מזויפות או שפג תוקפן.
ועוד מגוון שלם של פעילויות מסוגים שונים ובמישורי פעילות שונים.

ומה עושה המגן בעוד הפורץ מנסה לאתר את נקודות החולשה? יושב לו בשקט ונותן לפורץ מרחב פעולה חופשי עד שימצא את נקודת התורפה? לחלוטין לא. חלק ממנגנוני ההגנה מטרתם לאתר את ניסיונות הפורץ לחפש את נקודות התורפה עוד לפני שהפורץ עשה בהן שימוש על מנת לממש את כוונותיו. לדוגמה:
(1) - יוצר "שטח נקי" בסביבת גדר המתקן ומפעיל מערך תצפיות הכולל אמצעי ראית יום/לילה המאפשר גילוי מוקדם של תנועה חשודה בסביבת גדר המתקן,
(2) - מפעיל מערך סיורים ומכין יכולת תגובה מהירה על קבלת התראה על נגיעה בגדר/חיתוך גדר,
(3) - הפעלת מערך הדרכה ותרגול לשומרים על מנת שיאתרו ניסיונות שימוש בתעודות מזויפות/שפג תוקפן ולחילופין משדרג את מערך בקרת הכניסה תוך שימוש בעזרי זיהוי טכנולוגיים מתקדמים.
ואלו רק מקצת הדוגמאות שמטרתן להמחיש שהמגן, בנוסף על פעילויות ההגנה הפנימיות עצמן, נוקט במגוון שיטות על מנת להוות יריב שקול לתוקף בעת שזה האחרון מנסה למצוא את נקודת התורפה האחת. כל זה נכון בעולם הפיזי ומדוע? כיוון שהפרקטיקה של הביטחון הפיזי (בוודאי כאשר מדובר בארגון בטחוני, אך גם כאשר מדובר בארגון אזרחי) שהתפתחה במשך מאות השנים קבעה שלשבת בשקט כברווז במטווח איננה מענה מקצועי נאות.

עכשיו בואו נעבור לעולם ה-CYBER. מה המשמעות של פצחן (האקר, כך מכונה הפורץ בעולם ה-CYBER) המחפש נקודת תורפה? כמה דוגמאות:
(1) - בצוע port scanning (משמעותו חיפוש "השערים" שבהם הארגון משתמש באינטראקציה תקשורתית עם העולם החיצוני),
(2) – חיפוש פגיעויות (vulnerabilities) ברכיבי התשתית/תוכנות התשתית המותקנות בארגון,
(3) – חיבור רכיב שאיננו בבעלות הארגון לרשת הארגון (כדוגמת מחשב נייד, או שתילת רכיב חומרה/תוכנה שמאפשר בצוע האזנה לרשת התקשורת הארגונית או מתעד את ההקלדות בתחנת העבודה) ובחינת תגובת הארגון (באם הארגון בכלל מגיב טכנולוגית/תהליכית, ואם כן, כיצד),
(4) – "גיוס" מחשב על מנת שיהפוך להיות "חייל בצבא האויב" (ע"י שתילת קוד זדוני במחשב אשר יופעל "ביום פקודה" ע"י "רמטכ"ל צבא האויב").
יש עוד עשרות רבות של דוגמאות.

מה אמור המגן לעשות? כמובן, בדומה לפעילותו בעולם האמתי, עליו ליצור כחלק ממערך ההגנה הפנימי, מערך איתור ותגובה אשר יאתר את ניסיונות הפצחן (ההאקר) לחפש את נקודות התורפה עוד לפני שזה האחרון עשה בהן שימוש על מנת לממש את כוונותיו.

וזו בדיוק נקודת התורפה של פעילות המגן בעולם ה-CYBER.

הפרקטיקה של איתור התוקף מבוצעת בחלקה בשטח שמחוץ לתחום השיפוט (הטריטוריה) של המגן ולעתים מבוצעת בתחום השיפוט (בטריטוריה) של התוקף עצמו. כל אלו פרקטיקות ידועות, מנוסות ומצליחות (לא תמיד, אבל לפחות בחלקן), אלא שהן מצויות רק או בעיקר בתחום הפעילויות של המגזר הביטחוני, או בתחום הסמכות, הידע והשליטה של מדינה. אלו כוללים: איסוף מודיעין על הכנות האויב לתקיפה תוך שימוש באמצעים המופעלים בתחום השיפוט של האויב או לפחות בקרבתו, שיבוש הכנות האויב, שימוש באמצעי "פיתוי" להפנות את האויב לשימוש ב"מעברים הכרחיים" המנוטרים היטב על ידי המגן (הכנת מארבים), השתלטות על יעדי האויב  ועוד.

אבל עולם טכנולוגיית המידע הוא עולם אזרחי לחלוטין.

האומנם???

הנה מתברר לנו, החברה האזרחית, שישנו פער גדול בין המונח "טכנולוגיית מידע" או "CYBER SAPCE" שהנו מונח הלקוח מחיי היום יום האזרחיים ובין המונח "הגנה על טכנולוגיית המידע" או כפי שנהוג בימים אלו לכנות את הנושא "הגנה בסייבר" אשר לפחות בחלקו מחייב שימוש בפרקטיקות שאינן אזרחיות אלה במובהק "ביטחוניות" או "מדינתיות".

הנה על כן, מדוע המסקנה שהפצחן (ההאקר) נמצא תמיד בעדיפות הנה תירוץ טוב מדוע המגן נכשל.

המגן חייב להיכשל, מכיוון שתפישת ההגנה שלו מועדת לכישלון מראש.

המגן הסייברי, פועל על פי פרקטיקות "אזרחיות" שבהן מערך ההגנה שלו (ברובו) מנסה להתמודד עם התקיפה וכלל לא (או ברובו הגדול) איננו מתמודד עם אתור הפצחן (ההאקר) בעודו מחפש את נקודת החולשה האחת או בעודו מכין ובודק את איכות וטיב כלי תקיפה שלו.

על מנת לשנות תפישה זו, יש לקבוע כי עולם "טכנולוגיית המידע"/"סייבר" איננו עולם "אזרחי" במלוא מובן המילה. עלינו לקבוע שנדרש שילוב של תפישה "ביטחונית" או "מדינתית" על מנת שהמגן יהיה יריב שקול או יתקרב להיות יריב שקול לפצחן (האקר).

לשון אחרת, על מנת להגן באופן נאות על המרכיבים הבסיסיים של טכנולוגיית המידע, (המחשבים והתוכנות) לסוגיהם השונים, יש להסתכל עליהם כמצויים בעת ועונה אחת בשני עולמות:

1. רכיבים אזרחיים המאפשרים לנו לבצע פעילויות אזרחיות במגוון תחומי החיים, החל מיישום המאפשר לי לכתוב את המאמר הזה, ועוד מיליוני סוגים שונים של פעולות "אזרחיות".

2. רכיבים שעל מנת להגן עליהם במובן המלא של המילה להגן, יש להסתכל עליהם בעיניים "ביטחוניות" או "מדינתיות" כסוג של "אויב" או גורם "עוין", שכן הצד השני משתמש באותם מרכיבים (מחשבים ותוכנות) על מנת לחפש את נקודות התורפה אצלי, ועל מנת לייצר כלי תקיפה. כלי התקיפה עצמו הוא ברוב המקרים קוד תוכנה שבמהותו זהה לחלוטין לכלי ההגנה (גם הוא קוד תוכנה...) דוגמה: וירוס ואנטי וירוס. שניהם תוכנות שנכתבו על ידי תכניתנים. מה ההבדל? במהות אין הבדל. שניהם קוד תוכנה. ההבדל באופן הפעולה וגם זה לעתים הבדל יחסית דק.

האם אנו מוכנים לכך ולהשלכות הנגזרות משינוי תפישה זה?

דוגמה מסויימת לכך נתן למצוא בידיעה המתפרסת היום:
מיקרוסופט: הסרנו מהאינטרט רשת של תוכנות רובוטיות שתקפו 2 מליון מחשבים:

אמת, זו פעולה שלאחר מעשה ולא פעילות מניעתית. אבל אין ספק שזו פעולה ברמה של רשויות מדינה (ארה"ב), המגייסת מצד אחד גורמי טכנולוגיה (מיקרוסופט וייתכן חברות נוספות) ומצד שני גורמי אכיפה (FBI) תוך שימוש ב, או יצירה של שיתופי פעולה בינלאומיים ברמות שונות.
 
מה שקורה לנו עכשיו זו לדעתי תקופת מעבר. המדינה עוד לא ערוכה לקחת על עצמה את התפקיד, אבל המציאות דורשת התמודדות כאן ועכשיו. אי אפשר לחכות שהמדינה (הכוונה שלי כל מדינה לא רק ישראל) תתחיל לעשות, אלא כל ארגון צריך להגן על עצמו ככל שהוא יכול וככל שהוא נדרש.

לאט לאט תיווצר מסה קריטית והבנה שנדרשת ככל הנראה חלוקת עבודה בין הרשות (המדינה), הארגון והאזרח.

פשוט זה לא, אבל אין לדעתי שום דרך אחרת להתמודד עם התוצאה המדהימה של היצירתיות של המוח האנושי שיצר לנו מחשב (שהוא גם "כלי נשק" במובן מסויים) בכל כיס.

יום שני, 17 ביוני 2013

ה-FDA פרסם טיוטת הנחיות אבטחת מידע למכשור רפואי

פוסט קצרצר רק על מנת להעביר את המידע לציבור רחב.

הקישור להנחיות:

http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM356190.pdf

יחד עם ההנחיות מתפרסמת הידיעה הבאה:
FDA Safety Communication: Cybersecurity for Medical Devices and Hospital Networks
 
ועוד שלל ידיעות על כשלי אבטחת מידע (ביניהם כשלים בסיסיים, כמו סיסמאות גישה המקודדות בקוד התוכנה של המכשור ומאפשרות בכך גישה בלתי מבוקרת לשינוי הגדרות המכשיר) ועוד.
 
עוד דרך ארוכה לפנינו בהפיכת מערך המכשור הרפואי למאובטח, אבל "הרכבת יצאה מהתחנה".
 
יאיר

 

יום רביעי, 12 ביוני 2013

מהי ההגדרה הנכונה למונח: "טכנולוגיית המידע" ומהי המשמעות הנגזרת מכך


הפוסט הזה משקף את תפישת העולם שגיבשתי לאחר עשרות שנות עבודה בתחום אבטחת טכנולוגיית המידע.

1.    הגדרות

1.1.       טכנולוגיית המידע

1.1.1.        במובן הצר של המונח, כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד.

1.2.       אבטחת טכנולוגיית המידע (אט"מ)/הגנת סייבר (ה"ס) (להלן: אט"מ/ה"ס)

1.2.1.         מכלול האמצעים המתוכננים ומופעלים במישורים הפיזיים, מיחשוביים (לעתים מכונים "לוגיים", בניגוד ל"פיזיים"), תהליכיים ואנושיים, על מנת להשיג ולשמר סודיות, שלמות ואמינות, זמינות ושרידות למידע, במערכות טכנולוגיית המידע.

2.    קצת היסטוריה שאולי תועיל להבנה

2.1.       המחשב הדיגיטלי הראשון, הקולוסוס פותח בבלצ'לי פארק באנגליה במהלך מלחמת העולם השנייה, ע"י קבוצה של אנשים, אזרחים כולם בהנהגתו של אדם ששמו נמחק (כמעט) מדפי ההיסטוריה של עולם המחשוב, Thomas H. Flowers  מהנדס בענף הטלפוניה במשרד הדואר. טעות נפוצה הנה לחשוב שהמחשב שימש לפענוח צופן האניגמה. זה פשוט לא נכון. המחשב שימש לפענוח שדרי טלפרינטר מוצפנים. אלו נוצרו ע"י תוספת יחידת הצפנה לטלפרינטר הגרמני. התוספת נבנתה ע"י חברת לורנץ. כונתה ע"י האנגלים: Tunny. למעשה הקולוסוס גם לא פענח את השדר אלא פענח סדר הגלגלים (chi-stream). משקלו של הקולוסוס כטונה אחת. הקולוסוס. המחשב הראשון (דגם I) החל לפעול בפברואר 1944. דגם II ב-1 ביוני 1944, שבוע לפני תחילת הפלישה לנורמנדיה. בסוף המלחמה פעלו 11 מחשבי קולוסוס דגם II.

המחשב פותח בסודיות מוחלטת עד כדי כך ששמו של מפתחו (Thomas H. Flowers ), נודע רק לקראת סוף המאה הקודמת, עשרות רבות של שנים אחרי שפותח.

2.2.       המחשב הבא אחריו מפותח בארה"ב, בשנת 1945, Electronic Numerical Integrator and Computer (ENIAC) , משרת את הצבא במעבדת החישובים הבליסטיים. דרך אגב, משקלו 27 טון.

2.3.       המחשב הראשון המסחרי של חברת יבמ (יבמ 701) מופיע בשנת 1952.

2.4.       ומהמחשב הבודד ועד לאינטרנט:

2.4.1.         המחשבים בשנות ה-50 וה-60 לא "דיברו זה עם זה" עידן המיינפרמים של חברות כגון: י.ב.מ (המתכנן הראשי ב-י.ב.מ: Gene Amdahl), CDC (המתכנן הראשי בחברת סי.די.סי הנו Cray), בורוז, הניוול בול ועוד.

2.4.2.         ואז. שיגור הספוטניק (1957), ארה"ב בנחיתות. כיצד מתקשרים בתוך ומחוץ לארה"ב בעת מתקפת טילים?

2.4.3.         ארגון RAND מייעץ לממשל להקים רשת שתענה על הבעיה.

2.4.4.         הרשת ARPANET מתחילה לפעול ב-1969. מתפתחת לרשת שבה מופעלת שיטה של מיתוג מנות (Packet Switching). המטרה: שרידות. סודיות? למי זה נחוץ...

2.4.5.         בתחילת שנות ה-90 מפרסם טים ברנס לי מ-CERN (פיזיקאי) את התקן הראשון לשפת HTML, את ה-HTTP וה-WWW. האיש קיבל תואר סיר והוא ראש וראשון ברשימת ההאקרים... בהמשך נבין מדוע.

2.4.6.         החל מ-1994 יש לנו אינטרנט... והיום יש לנו רשתות חברתיות.

2.4.7.         בשנות ה-60 מתחילים לצוץ במקביל למחשבים הארגוניים הענקיים, מחשבים קטנים לשימושים ביתיים (קומודור 64, ספקטרום, וקונסולת משחקי אטארי ועוד).

2.4.8.         המחשב האישי הראשון של חברת י.ב.מ. - אוגוסט 1981.

2.5.       המאפיינים את המהלך הזה הנם הבאים:

2.5.1.         חלק לא מבוטל של הפיתוחים נעשים לצורכי המדינה ובמימונה.

2.5.2.         אין כל פיקוח אזרחי, משפטי, מוסרי, ערכי, תרבותי על הפעילות. מה שעובד נותר במרוץ, מה שלא, לא. ואם זה עובד, דיינו בכך. לא צריך להתעסק בשאלות אתיות, משפטיות, וכד'. ובכלל מי שעוסק בתחומים שאינם טכנולוגיים, מדיר עצמו מראש מהעיסוק בהם, שכן איננו מבין בכך ואיננו רואה צורך להבין. הם בשלהם ואני בשלי.

2.5.3.         חלק אחר של הפיתוחים נעשה לשם שעשוע, בילוי בשעות הפנאי, משחקי ילדים ולזה בוודאי ובוודאי שלא נדרשת התייחסות.

2.6.       במקביל מתפתח עולם הווירוסים:

2.6.1.         התאוריה - בשנת 1966, פון נוימן מפרסם עבודה שכותרתה: Theory of self reproducing automata. מבוססת על הרצאות שנתנו על ידו בשנת 1949 באוניברסיטת אילינוי. תוכנית מחשב המשכפלת את עצמה.

2.6.2.         באופן מעשי, קוד תוכנה (בדרך כלל זעיר) הנדבק לתוכנה אחרת, מוסווה בתוכה ומופעל כאשר התוכנה מורצת.

2.6.3.         משכפל את עצמו לקבצים נוספים ו/או ל-boot record  של הכונן הקשיח, דיסקט, תקליטור וכו'.

2.6.4.         מבצע פעולות שונות ומשונות בצורה גלויה או סמויה.

2.6.5.         1971 – וירוס Creeper נכתב ע"י בוב תומס ומדביק מחשבי  DEC PDP-10 באמצעות רשת ARPANET.

2.6.6.         1981 – elk Cloner. נכתב למערכת Apple II. מערכת ההפעלה של המחשב שהייתה על גבי דיסקטים.

2.6.7.         1987-1988 – וירוס ירושלים, ועוד.

2.6.8.         פוגענים אחרים מפורסמים: תולעים כדוגמת Code Red (2001), קונפיקר (2008-2009).

2.6.9.         ולווירוסים יש אנטי וירוסים. וישראל חלוצה בתחום: איריס, כרמל, אלישים (eSafe) ו-BRM. כולם "ייבלעו" בחברות הגדולות המוכרות היום.

2.7.       אז למה אי אפשר להתפטר מהם:

2.7.1.         מהי תוכנה? דוגמה לתוכנה אלו יישומי המשרד של מיקרוסופט. תוכנה היא קוד. גם מערכת ההפעלה זו המפעילה את המחשב היא בסופו של יום קוד.

2.7.2.         מהו וירוס, סוס טרויאני, תולעת וכד'? גם זה קוד.

2.7.3.         מה ההבדל בין מערכת הפעלה, תוכנת יישומים כלשהי ווירוס?

2.7.4.         אז זהו שאין. אין ההבדל. ההבדל הינו בתוצאה של פעילות הקוד. יותר מדויק יהיה לומר שההבדל הינו במטרה שהועיד לעצמו מי שכתב את הקוד. לעתים הכותב הינו רק חוליה בשרשרת ואיננו מודע למה ישמש הקוד אותו כתב...

2.7.5.         מי כותב קוד, מי כותב מחוללי קוד, ומי כותב קוד וירוס או מחולל קוד וירוס?

2.7.6.         את שניהם כותב איש שמקצועו כתיבת קוד, תוכניתן.

2.7.7.         איפה קונים קוד?

2.7.8.         בחברת תוכנה, או דרך האינטרנט.

2.7.9.         לקנות יישום כמו יישומי המשרד של מיקרוסופט שמאפשר לי לכתוב את הפוסט הזה, ולקנות יישום שמטרתו לאפשר לי לכתוב קוד כדי להרוס את יכולתי להמשיך ולכתוב את הפוסט הזה, זה במהותו אותו הדבר.

2.8.       מה זה האקינג?

2.8.1.         ישנם כמה פירושים. הנפוצים הנם:

2.8.1.1.        פעילות שמהותה חקירה מפורטת של מערכות מתוכנתות וכיצד למתוח ולבחון את יכולותיהן בניגוד לפעילות רגילה של משתמשים במערכות אלו המעדיפים ללמוד רק את המינימום הנדרש.

2.8.1.2.        תכנות ואפילו באובססיביות באופן מעשי, בניגוד לעיסוק תאורטי במדעי המחשב.

2.8.1.3.        הנאה מהאתגר האינטלקטואלי של פעילות יצירתית שמטרתה להתגבר על או לעקוף את המגבלות הקיימות

2.9.       ומיהו ההאקר?

2.9.1.         מומחה תוכנה – Programmer expert.

2.9.2.         פורץ מחשבים שמטרתו איתור כשלים ומסייע לפתרונם – White Hacker.

2.9.3.         פורץ מחשבים שמטרתו גרימת נזק – Black Hacker. ביום-יום זו הכוונה.

3.    אז מה זה בעצם טכנולוגיית המידע?

3.1.       זה מחשבים ותוכנות המופעלות במחשבים.

3.2.       המחשבים עצמם (החומרה) אדישה לפעילות המתבצעת באמצעותה. היא פלטפורמה בלבד.

3.3.       התוכנה  זה "משהו" שמאפשר בה בעת לבנות ולהרוס, לייצר יישומים ולשתק את פעילות המערכות שבהם מריצים את אותם היישומים.

3.4.       נלך צעד אחד קדימה. המחשב הנייד שבו אני מקליד ברגע זה, מפעיל ("מריץ") בעת ובעונה אחת ערב רב של פעילויות (Tasks/Processes) שרק אחד מהם הוא זה שמאפשר לי להמשיך ולהקליד. בנוסף וללא שיש לי כמי שמשתמש במחשב זה (לכאורה הבעלים של המחשב) מושג, מופעלות במחשב עשרות פעילויות נוספות שאני אינני יודע מי "שתל" אותן במחשב, מה גרם להן להתחיל לפעול או מה יגרום להן להפסיק לפעול. כל שאני יודע ורואה זה מה שמאן דהוא, החליט עבורי שדרוש לי, על מנת שאוכל לבצע את משימתי שלי. רבותי, אני בכלל לא שולט במחשב ולא הבעלים של המחשב. אני אחד מהמשתמשים במחשב. אז מיהם המשתמשים האחרים?

3.5.       התשובה הראשונה תהיה. אין לי מושג. אני לא הזמנתי אף אחד להשתתף אתי במחשב "שלי". האומנם? מאז שהמחשבים מתחברים לאינטרנט, אני מזמין מרצוני או שלא מרצוני, בידיעתי ושלא בידיעתי את כל האינטרנט לחבור אלי למחשב שלי. אני חיברתי את עצמי לכל מי שמחובר גם הוא לאינטרנט. נא לזכור, הסמארטפון הוא מחשב. כלומר כל המחזיק בסמארטפון ומתחבר לאינטרנט, מזמין בכך את כל המשתמשים באינטרנט להתקשר אתו.

3.6.       עכשיו בואו נחבר את מה שנכתב מתחילת פרק זה ונקבל את התוצאה הבאה:

3.6.1.        מחשב מאפשר להפעיל בו פעילויות שונות. פעילויות אלו כוללות פגיעה במחשב זה עצמו, ובמחשבים אחרים המקושרים אליו, אם דרך האינטרנט או ברשת תקשורת אחרת שבה מחשב זה פועל. הרשת יכולה להיות כמובן גם אלחוטית מכל סוג שהוא.

3.6.2.         הגדרה כזו של המחשב קרובה יותר להגדרה של כלי נשק או חימוש שבו נעשה שימוש בכלי נשק מאשר לאופן שבו הגדרנו את טכנולוגיית המידע בתחילת הפוסט. להזכיר, כך הגדרנו את טכנולוגיית המידע בפרק הראשון: במובן הצר של המונח, כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד.

הגדרה זו יצאה מתוך נקודת מוצא שאין משמעות לאופן השימוש בטכנולוגיה, אלא רק לעובדה על מהם מרכיביה. אלא שלפתע מתחוור לנו שאופן השימוש הנו משמעותי לעתים אף הרבה יותר מעצם השימוש. היכולת בה בעת לאפשר משהו ולמנוע אותו, לבנות משהו ולהרוס אותו (בין לעצמי ובין לאחרים) באופן מודע או שאינני מודע לו כלל, משנה את הגדרת טכנולוגיית המידע באופן מהותי.

הגדרה חדשה תצטרך לאזן בין המהות והאופן שבה נעשה במהות זו שימוש.

4.    טכנולוגיית המידע – הגדרה חדשה:

4.1.       כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד, ואשר השימוש בהם מאפשר (בין היתר) לפגוע ברכיב עצמו וברכיבים אחרים המקושרים אליהם או מופעלים/מבוקרים על ידם, גם בלא שהמשתמש ברכיב מודע או מתכוון לכך.

4.2.       לטעמי, הגדרה כזו מאזנת בין המהות, האדישה לאופן השימוש, ובין אופן השימוש ההופך את הטכנולוגיה הזו לקטלנית.

4.3.      ועוד נקודה אחת, בידי מי מצויה היום טכנולוגיית המידע? יותר מ-2.5 מיליארד משתמשים, מכל התרבויות על פני כדור הארץ. מילדים קטנים ועד מבוגרים וזקנים. תחשבו על המשמעות. מליאקדי רכיבים העלולים לשמש גם ככלי נשק בלא ידיעת המפעיל אותם מפוזרים להם בידינו. בכיס שלנו, של ילדינו, של משפחתנו. זו הפעם הראשונה בהיסטוריה של האנושות, שמי שלא הוכשרו כלל להשתמש בכלי נשק או בחימוש מפעילים (גם בלי ידיעתם או כוונתם) כלים כאלו. מישהו התכוון לכך? אינני מאמין. היצור האנושי לא עד כדי כך מתוחכם וצופה פני עתיד.

4.4.       אם אני צודק והגדרת טכנולוגיית המידע כוללת גם את אופן השימוש בה, מה זה אומר על אבטחת טכנולוגיית המידע/הגנת סייבר?

4.5.       רק דבר אחד: כל מה שאנו עושים היום לא מתחיל מהנקודה הנכונה ועל כן, אין בשלב זה מענה מספק. כדי לספק מענה נכון צריך להבין שמדובר בתהליך חדש שבו לא התנסינו בעבר. מדובר במשהו שמתנהג גם ככלי נשק, מצוי בידי אוכלוסיות אזרחיות בכל מגוון הגילאים והתרבויות, ואיננו נשלט (בשלב זה) בידי מי שהוא מצוי בידיו.