לצורך הפוסט הזה אני יוצא מנקודה כאילו הטענות שמובאות בכתבתה של גלי וולוצקי בכלכליסט נכונות, אולם דווקא הטענות בכתבה של דפנה ארד ב'הארץ' אומרות אחרת.
האם מסעדת רפאל חוותה אירוע סייבר? בפועל התשובה לכך בכלל אינה מעניינת, כיוון שלשבוע ומשהו הקרובים מסעדה שהפכה להיות מוסד קולינרי בישראל סגרה את שעריה. לטענת בעלי המסעדה, רפי כהן, "מערכת המיחשוב של המסעדה נפרצה בידי גורמים עבריינים. גיליתי שהתבצעה אצלנו הונאת ענק, ובמצב הנוכחי אי אפשר היה להמשיך להפעיל את המסעדה". המשמעות של אמירתו של כהן היא שגם מסעדות, ולא רק סטארטאפים בהרצליה פיתוח, צריכות להכין את עצמן ליום בו האקרים מתוחכמים פחות או יותר יגיעו אליהן.
מסעדות, תאמינו או לא, מכילות הרבה יותר מידע ממה שחשבתם. לצורך הפוסט הזה, נלווה את משפחת כהן בסעודת יום ההולדת של אם המשפחה, רחל; ורק לצורך העניין בחרתי מסעדה (שאינה בהכרח דוגמא מייצגת). אב המשפחה בחר את מסעדת טאפאס אחד העם והלך לאתר Click-A-Table להזמין שולחן לערב. באותו הרגע מעביר האב את שמו, כתובת המייל שלו, מספר הטלפון שלו ואת העדפות הצריכה שלו לשני ספקים: (1) לאתר הזמנת השולחן; (2) למסעדה.
[בהערת אגב, גם אם תזמינו שולחן בטלפון, ישמרו עלייך את המידע].
עכשיו, את המידע הזה משתפות מסעדות בינהן: בין אם מדובר על מסעדות באותה הרשת שיכולות להחזיק מסד נתונים אחד, ובין אם סתם כי אחרי שבעל מסעדה מוכר את המסעדה, אז הוא גם יכול למכור את רשימת הלקוחות שלה, כמו שבוצע עם אתרי היכרויות.
עכשיו, במהלך הארוחה במסעדה, המלצרית מקלידה לא מעט נתונים על אודות הסועדים: העדפות תזונה (אלרגיות וכו'), מצב כלכלי (איזה סוג יין הזמינו), העדפות כשרות ועוד מידע. הניו-יורק טיימס מפרט כיצד תוכנות הניהול של אותן מסעדות עובדות היום ויכולות לשפר את הכנסות המסעדה, אבל גם היום שירות מועדוני הלקוחות של מסעדות יודע הרבה יותר מדי עליכם; כאן יש גם את כתובת המייל שלכם, יום ההולדת, הנחות וכדומה.
לפעמים, אבל רק לפעמים, המסעדה גם מחזיקה הקלטות של הלקוחות או צילומי וידאו במקום ממצלמות מעקב.
לאחר מכן, מגיע השלב המעניין של התשלום: מסעדות יכולות לקבל גם את כרטיס האשראי של הלקוח, אבל גם מידע אחר: כמות הטיפים וכדומה. לפעמים אותו מידע מועבר ברשת אלחוטית לא מוצפנת, ולפעמים הוא פשוט עובר באמצעות מסוף טלפוני. בכל מקרה, הדבר פתוח להאזנה יחסית בקלות.
כלומר, מסעדה, כמו רוב העסקים היום, מנהלת מסד נתונים מקיף על הלקוחות שלה. עכשיו, השאלה היא מהו הסיכון בשימוש לרעה במידע הזה: ללקוחות, כמובן, יש סיכון של חשיפת אמצעי התשלום שלהם ושימוש לרעה בו, אבל גם בדליפה של מידע פרטי (היכן סעדת עם המאהבת שלך) או בכך שהרגלים רעים שלהם יגיעו לידיים רעות (העובדה שאתה מזייף בדיאטה).
למסעדה יכולה להיות בעיה יותר רצינית, וזו הבעיה היותר משמעותית: המסעדה יכולה לחשוף לא רק פרטים על הלקוחות שלה, אלא גם פרטים על הספקים שלה, ולחשוף מתכונים או מידע עסקי. כלומר, את המתכון הסודי של חצילים בקרמל של שף עלום אולי לא נגלה, אבל מה הרכיבים שמגיעים פנימה תמיד נוכל לברר באמצעות השתלטות מרחוק.
עכשיו, מסעדות, בגלל שהן לא עסק טכנולוגי, יטו לא לשקול את היבטי האבטחה מחוסר היכרות (ולא מזלזול). בעוד שאתה מצפה שסטארטאפ מהרצליה פיתוח או חברה שעוסקת בדיוור ישיר תדע מה החשיבות של ניהול מידע, מסעדה שמופעלת היום כמו כל סטארטאפ, אבל לא מבינה בתחום המידע, כנראה שלא תחזיק ממונה על אבטחת מידע במסעדה.
אבל, חובות מנהל מאגר מידע יחולו גם במסעדות; ודווקא כאן הסיכון: הסועד הממוצע במסעדה לא חושב ולא מבין את כמות המידע שנשמר עליו. אף אחד לא מצפה שיחד עם התפריט תגיע ללקוח מדיניות פרטיות במסעדה.
ומה צריך כאן? בפועל, מה שצריך כאן הוא להגביר את זרימת המידע: גם ליידע את בעלי המסעדות על הסיכונים וגם ליידע את הלקוחות על שמירת המידע. איך אפשר לעשות את זה? צריך קודם להראות עניין בכך שיש צורך ליידע.
http://www.youtube.com/watch?v=7bXJ_obaiYQ