הצפנה – הפתרון האולטימטיבי לשמירה על מידע סודי

בעידן של שגשוג אדיר בכמות המידע הדיגיטלי, הצפנה הפכה לאחד האמצעים החשובים להגנה עליו ועל הפרטיות – בין ברמה האישית, של כל אחד מאתנו, ובין ברמה הארגונית. כך, ייתכן שמקרים כמו החדירה למכשירים הסלולריים של ענת הראל ושרון פרי וגניבת התמונות האינטימיות מהם יכולים היו להימנע.

אולי נדמה לנו שהמושג "הצפנה" שמור למומחי אבטחת המידע ולגיקים הטכנולוגיים בלבד, אבל לא מדובר במושג חדש כלל. הצפנה הייתה קיימת בשימוש נרחב במהלך ההיסטוריה כאמצעי להעברת מסרים באופן פרטי ומאובטח בתקופות מלחמה. צבא ספרטה ויוליוס קיסר נהגו להשתמש בהצפנה ייחודית על מנת להעביר מסרים סודיים, גליליאו גליליי השתמש בה על מנת להחביא את סודות הגילויים המדעיים שלו, הודעות מוצפנות הועברו במהלך מלחמות העולם בין מדינות בעלות ברית והמחתרת היהודית השתמשה במסרים מוצפנים כדי להעביר מידע סודי בין חבריה במהלך מרד גטו ורשה.

משחר ההיסטוריה ההצפנה פעלה באותו האופן: היא שינתה את המידע כך שהוא יהיה ניתן לקריאה רק עבור אותם גורמים שנושאים את ה-"מפתח" של הצופן. ה-"מפתח" מאפשר לבעלי ההרשאה המתאימה להפוך את המידע בחזרה לנוסח המקורי שלו, כך שיהיה ניתן לקרוא אותו. כך פועלת גם ההצפנה המותקנת במערכות המחשב – היא מאפשרת לשמור על המידע מוגן ולא מאפשרת גישה של גורמים שאינם רצויים. גם במקרה זה, קיים מפתח מתאים לפענוח הצופן, שניתן רק לבעלי ההרשאה.

למרות האזהרות: מצב שמירת המידע לא טוב

כשם שהצפנה הייתה הכרחית ככלי אסטרטגי במהלך מלחמות, כך היא הכרחית כיום בגזרת הסייבר, ככל שמתקפות ההאקרים הולכות ומתעצמות והמידע של כולנו נמצא בסכנת גניבה למטרות סחר, סחטנות או לכל מטרה אחרת.

ארגונים עסקיים נושאים באחריות על מידע רגיש – הן עסקי והן אישי. בין היתר, הם נושאים במערכות המחשב שלהם אמצעי תשלום של לקוחות, מידע פיננסי של החברה, תיקים אישיים של עובדים הכוללים פרטי חשבונות בנק, מידע בריאותי ומידע מקצועי, וכמובן – נכסים אינטלקטואליים.

יחד עם זאת, יותר מדי ארגונים לא מצפינים את המידע הרגיש עד שהם חווים פריצת סייבר על בשרם. מסקר שערכה סופוס (Sophos) באשר למצב ההצפנה בארגונים עולה כי חלק נכבד מהם לא מצפינים מידע באופן קבוע וכי הצפנת מידע נהוגה יותר בקרב ארגונים גדולים. בסקר, שכלל כ-1,700 מקבלי החלטות מארגונים משש מדינות שונות, עולה שבארגונים בעלי 100-500 עובדים רק 38% מצפינים מידע, ואילו בארגונים בעלי 501-2,000 עובדים שיעור זה עומד על 50% בלבד. יתרה מכך, מתברר שרק 29% מהארגונים מצפינים באופן קבוע סמארטפונים וטאבלטים.

לצד הנתונים המדאיגים האלה יש נתון אחד מעודד שעלה מהסקר, שלפיו 69% מהמשיבים מתכננים להטמיע יכולות הצפנה בארגון בתוך שנה עד שנתיים.

כיצד בוחרים פתרון הצפנה שמתאים לארגון? הנה כמה כללים חשובים:

פשטות בשימוש: פתרון הצפנה צריך להיות מקיף ופשוט. הוא צריך להגן על מידע בכל מקום, אבל גם לאפשר הטמעה וניהול קלים. כשבאים לבחור פתרון, יש לשים לב שהוא מאפשר ניהול נוח וידידותי של מפתחות ושל מדיניות ההגנה על המידע.

גמישות: יש לבחור פתרון הצפנה שלא מפריע לעבודה היום יומית בארגון, אלא כזה שמשתלב עם מהלך העבודה השגרתי.

כיסוי מלא: כדאי למצוא פתרון שמכסה את כל סוגי ההצפנה לכלל מערכות ההפעלה.

יכולת לגדול: ככל שהעסק גדל, כך הפתרון צריך לגדול איתו.

המלצות בלתי תלויות: לפני שבוחרים פתרון הצפנה, כדאי לבדוק מה אומרים עליו אנליסטים, יועצים עצמאיים ולקוחות.

הוכחת ההצפנה: במקרה של פריצה, הצפנה הופכת את המידע המוצפן ללא קריא ובלתי ניתן לשימוש לפורצים. אם הארגון פועל בענף או אזור בו קיימים חוקים ספציפיים להגנת המידע, מבקר מטעם הרשויות יבקש הוכחה שהמידע אכן מוצפן.

לסיכום, האקלים הנוכחי בגזרת הסייבר הביא לכך שארגונים בכל סדרי הגודל בוחנים אופציות להצפנת מידע בארגון. הצפנה הופכת למוצר בסיסי וחיוני, וארגון שלא מיישם אותה שם את עצמו בסיכון לחשיפת המידע שלו למפגעים ולנוזקות.

הכותב הינו סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications ומנהל פעילות סופוס בישראל