איזה מידע מצפינים ארגונים ואיזה לא – ומדוע?
כתב: אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication ומנהל פעילות Sophos בישראל
ב-Sophos מאמינים שאי אפשר להצפין יותר מדי. זאת הדרך הפשוטה ביותר להימנע מאובדן או גניבת מידע בארגונים. זהו קו ההגנה האחרון נגד התקפות סייבר או תאונות מצערות של אובדן מידע יקר. ועדיין אנו שומעים חדשות לבקרים כי ארגונים שמידע יקר נגנב מהם מכים על חטא שלא השכילו להצפין אותו.
לרוע המזל, מצב אבטחת המידע אינו בטוב. ב-2014 כ-700 מיליון קבצים נפרצו לפי הדו"ח האחרון שפרסמה וריזון (Verizon Data Breach Investigations Report).
על מנת להבין מדוע היו כל כך הרבה כישלונות אבטחה, החלטנו לערוך סקר משלנו בין 1,700 מקבלי החלטות בעולם ה-IT בשש מדינות וממגזרים שונים.
שאלנו אותם איזה סוג של מידע הם בדרך כלל מצפינים ומדוע הם לא מצפינים את כל המידע שלהם. התוצאות של הסקר – "מצב ההצפנה היום" (The State of Encryption Today) – מרשימות ומאפשרות לנו להבין איך ניתן לשפר את המצב.
אחת התוצאות המובהקות שהצטיירה מהסקר, היא שלמרות שרוב הארגונים לוקחים את נושא אבטחת המידע של לקוחותיהם ברצינות יתרה, עובדיהם לא מקבלים את אותו היחס והם מוגנים פחות. מדובר בנתונים רגישים כמו נתוני בנקים או תיקי עובדים הכוללים רשומות רפואיות וכד'.
לדוגמא: 31% מהנשאלים בסקר הודו שנתוני הבנקים של העובדים אינם מוצפנים. 43% אינם מצפינים תיקי עובדים וקרוב למחצית 47% אינם מצפינים רשומות רפואיות של עובדיהם.
בזמן שפריצות לנתוני לקוחות זוכות לכותרות הגדולות, הרי שנתונים על פריצה לנתוני עובדים כמעט שאינה זוכה לתהודה על אף שארגונים מחויבים לשמור על נתונים אלו על פי חוק.
גם נתוני הארגון הרגישים חשופים להתקפות. כשליש מהנסקרים ציינו כי לא הצפינו את נתוני הארגון שלהם ו-41% הודו כי הם לא תמיד מצפינים נכסים אינטלקטואלים של הארגון למרות העלייה המדאיגה בריגול תעשייתי בעולם.
נושא נוסף לדאגות הוא סוג ההצפנות. ארגונים רבים אינם מבחינים ברמות וסוגי ההצפנה השונים. הצפנה מלאה של הדיסק או הצפנת הקבצים. קבצים שונים בארגון לא צריכים לקבל את אותה רמת הצפנה.
למרות שהצפנה מלאה של הדיסק היא קריטית במקרה של גניבה או אובדן מידע, היא אינה יעילה במקרה שהמידע עוזב את הדיסק. הצפנת קבצים היא פעולה הכרחית ובסיסית כך שהמידע יהיה מוגן תמיד במשרד, בנסיעות או באחסון ולמרות זאת רק 36% מהנשאלים בסקר ציינו כי הם מצפינים גם את הקבצים וגם את הדיסק.
אחד מהזרזים לאימוץ ההצפנה הוא המעבר למחשוב בענן. שמונה מתוך כל עשר חברות ( 84%) הביעו דאגה למידע שמאוחסן בענן. בהתחשב בכך, מתוך 80% הארגונים שעברו לאחסון בענן – רק 39% דואגים להצפין את כל הקבצים המאוחסנים.
עובדה זו מובילה אותנו לשאלה הקריטית הבאה – מדוע כל כך הרבה ארגונים נכשלים בהצפנת כל סוגי הקבצים שלהם בכל מקום וכל הזמן?
התקציב של ארגון לכל אתר שלו, דאגות בשל ביצועים, או חוסר בידע בסיסי בהצפנות – הם שלושת המחסומים העיקריים שבולטים בסקר.
לרוע המזל, המסקנות אינן מפתיעות. מרבית האנשים חושבים שהצפנה הוא תהליך מורכב ויקר, אך למרות דאגות אלו העובדות הן שהדור הבא של פתרונות ההצפנה קלים לביצוע, יעילים ואינם יקרים.
אך התמונה שעולה מהסקר אינה שחורה בלבד, ישנם ממצאים ברורים המצביעים על כך שיותר ארגונים מבינים את ערכה של ההצפנה ומתחילים לפעול בהתאם. רוב העונים בסקר השיבו כי הם מודעים לכך שהם אינם ממצים את יכולת ההצפנה בארגון שלהם. 69% מהם אף הצהירו שהם מתכוונים להעלות את רמת וכמות ההצפנה בארגון במהלך השנתיים הקרובות.
לסיום, הסקר מצא כי על אף השימוש הנפוץ בהצפנה ישנם עדיין פערים קריטיים החושפים את הארגונים לאובדן מידע יקר. הבטחות להשתפר, לרוב, מגיעות בדיעבד לאחר שהנזק נגרם.