הצפנה – הפתרון האולטימטיבי לשמירה על מידע סודי

דלף לכם מידע ממערכות המחשוב הארגוניות? גנבו לכם תמונות מהסלולר? אילו הייתם משתמשים בהצפנה, יש סיכוי גדול שכל זה היה נמנע ● לתשומת לב הארגונים, וגם הקוראות ענת הראל ושרון פרי

אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications. צילום: יח"צ

בעידן של שגשוג אדיר בכמות המידע הדיגיטלי, הצפנה הפכה לאחד האמצעים החשובים להגנה עליו ועל הפרטיות – בין ברמה האישית, של כל אחד מאתנו, ובין ברמה הארגונית. כך, ייתכן שמקרים כמו החדירה למכשירים הסלולריים של ענת הראל ושרון פרי וגניבת התמונות האינטימיות מהם יכולים היו להימנע.

אולי נדמה לנו שהמושג "הצפנה" שמור למומחי אבטחת המידע ולגיקים הטכנולוגיים בלבד, אבל לא מדובר במושג חדש כלל. הצפנה הייתה קיימת בשימוש נרחב במהלך ההיסטוריה כאמצעי להעברת מסרים באופן פרטי ומאובטח בתקופות מלחמה. צבא ספרטה ויוליוס קיסר נהגו להשתמש בהצפנה ייחודית על מנת להעביר מסרים סודיים, גליליאו גליליי השתמש בה על מנת להחביא את סודות הגילויים המדעיים שלו, הודעות מוצפנות הועברו במהלך מלחמות העולם בין מדינות בעלות ברית והמחתרת היהודית השתמשה במסרים מוצפנים כדי להעביר מידע סודי בין חבריה במהלך מרד גטו ורשה.

משחר ההיסטוריה ההצפנה פעלה באותו האופן: היא שינתה את המידע כך שהוא יהיה ניתן לקריאה רק עבור אותם גורמים שנושאים את ה-"מפתח" של הצופן. ה-"מפתח" מאפשר לבעלי ההרשאה המתאימה להפוך את המידע בחזרה לנוסח המקורי שלו, כך שיהיה ניתן לקרוא אותו. כך פועלת גם ההצפנה המותקנת במערכות המחשב – היא מאפשרת לשמור על המידע מוגן ולא מאפשרת גישה של גורמים שאינם רצויים. גם במקרה זה, קיים מפתח מתאים לפענוח הצופן, שניתן רק לבעלי ההרשאה.

למרות האזהרות: מצב שמירת המידע לא טוב

כשם שהצפנה הייתה הכרחית ככלי אסטרטגי במהלך מלחמות, כך היא הכרחית כיום בגזרת הסייבר, ככל שמתקפות ההאקרים הולכות ומתעצמות והמידע של כולנו נמצא בסכנת גניבה למטרות סחר, סחטנות או לכל מטרה אחרת.

ארגונים עסקיים נושאים באחריות על מידע רגיש – הן עסקי והן אישי. בין היתר, הם נושאים במערכות המחשב שלהם אמצעי תשלום של לקוחות, מידע פיננסי של החברה, תיקים אישיים של עובדים הכוללים פרטי חשבונות בנק, מידע בריאותי ומידע מקצועי, וכמובן – נכסים אינטלקטואליים.

יחד עם זאת, יותר מדי ארגונים לא מצפינים את המידע הרגיש עד שהם חווים פריצת סייבר על בשרם. מסקר שערכה סופוס (Sophos) באשר למצב ההצפנה בארגונים עולה כי חלק נכבד מהם לא מצפינים מידע באופן קבוע וכי הצפנת מידע נהוגה יותר בקרב ארגונים גדולים. בסקר, שכלל כ-1,700 מקבלי החלטות מארגונים משש מדינות שונות, עולה שבארגונים בעלי 100-500 עובדים רק 38% מצפינים מידע, ואילו בארגונים בעלי 501-2,000 עובדים שיעור זה עומד על 50% בלבד. יתרה מכך, מתברר שרק 29% מהארגונים מצפינים באופן קבוע סמארטפונים וטאבלטים.

לצד הנתונים המדאיגים האלה יש נתון אחד מעודד שעלה מהסקר, שלפיו 69% מהמשיבים מתכננים להטמיע יכולות הצפנה בארגון בתוך שנה עד שנתיים.

כיצד בוחרים פתרון הצפנה שמתאים לארגון? הנה כמה כללים חשובים:

פשטות בשימוש: פתרון הצפנה צריך להיות מקיף ופשוט. הוא צריך להגן על מידע בכל מקום, אבל גם לאפשר הטמעה וניהול קלים. כשבאים לבחור פתרון, יש לשים לב שהוא מאפשר ניהול נוח וידידותי של מפתחות ושל מדיניות ההגנה על המידע.

גמישות: יש לבחור פתרון הצפנה שלא מפריע לעבודה היום יומית בארגון, אלא כזה שמשתלב עם מהלך העבודה השגרתי.

כיסוי מלא: כדאי למצוא פתרון שמכסה את כל סוגי ההצפנה לכלל מערכות ההפעלה.

יכולת לגדול: ככל שהעסק גדל, כך הפתרון צריך לגדול איתו.

המלצות בלתי תלויות: לפני שבוחרים פתרון הצפנה, כדאי לבדוק מה אומרים עליו אנליסטים, יועצים עצמאיים ולקוחות.

הוכחת ההצפנה: במקרה של פריצה, הצפנה הופכת את המידע המוצפן ללא קריא ובלתי ניתן לשימוש לפורצים. אם הארגון פועל בענף או אזור בו קיימים חוקים ספציפיים להגנת המידע, מבקר מטעם הרשויות יבקש הוכחה שהמידע אכן מוצפן.

לסיכום, האקלים הנוכחי בגזרת הסייבר הביא לכך שארגונים בכל סדרי הגודל בוחנים אופציות להצפנת מידע בארגון. הצפנה הופכת למוצר בסיסי וחיוני, וארגון שלא מיישם אותה שם את עצמו בסיכון לחשיפת המידע שלו למפגעים ולנוזקות.

הכותב הינו סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications ומנהל פעילות סופוס בישראל

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. בן

    הצפנה היא אכן פיתרון סביר לבעיה במקרה של פריצה. הכלים הקיימים היום לא רלוונטיים מה שהופך את התהליך למסובך מאוד למשתמש הפשוט. בנוסף, הצפנה לא עוזרת במקרים כמו שרון פרי כאשר גניבת החומרה היא לא פריצה למערכת. האופציה הרלוונטית ביותר היא נעילה עם סיסמא. גם יוליוס קיסר, היה רחוק מהגדרת האדם הפשוט. אתה מכיר כלים או תהליך פיתוח של כלים אישיים מוכווניי מערכות הפעלה? צור קשר גם יוליוס קיסר, היה רחוק מהגדרת האדם הפשוט.

אירועים קרובים