הצפנה היא לא קללה
החברות המובילות בעולם: פייסבוק, גוגל, וואטס אפ סנאפ צ'אט כי יגבירו את רמת ההצפנה של מידע אישי של המשתמשים בשירותיהן. מהי הצפנה ולמה היא טובה לעסק שלכם?
גיל נוילנדר
| 17/03/2016
Public Key Cryptography: Secrecy in Public - Professor Raymond Flood - youtube.com
הגרדיאן דיווח השבוע כי החברות הכי גדולות שכולנו מאחסנים בהן מידע אישי רב שלנו מעלות את רמת ההצפנה שלהן. וואטס אפ תצפין את השיחות הקוליות שלה, גוגל בוחנת כיצד לאבטח את המייל של משתמשיה ופייסבוק רוצה לחזק את ההגנה של שירות ההודעות. לדברי החברות הפרויקטים הללו תוכננו לפני הקרב שמתחולל בימים אלה בין אפל ל-FBI. גם סנאפ צ'אט, תוכנת מסרים פופולארית, עובדת על מערכת אבטחה משלה.
במקביל השבוע חשפה גוגל בדו"ח השקיפות שלה כי 25% מהתעבורה בה כלל אינה מוצפנת אבל שהיא מפעילה את מירב המאמצים לשפר את אבטחת המידע. בג'ימייל ובדרייב ההצפנה עומדת על 100% אבל לא בכל השירותים זה כך: למשל שירות המודעות גוגל אדס מוצפן רק ב-75% וגוגל מפות מוצפן ב-80% מהמקרים.
הדיון על הצפנה הוא חשוב, אבל למרבה הצער רוב האנשים מחוץ לתחום האבטחה מחשיבים את ההצפנה לנושא מורכב או מסובך. בימים אלה אנחנו שומעים על הצפנה בעיקר בהקשר רע של תוכנות הכופר שמצפינות קבצים במחשב ולוקחות אותם כבני ערובה, אבל זו לא אמורה להיות המטרה האמיתית של הצפנה. החדשות הטובות הן, שאתם לא צריכים להיות מומחים לקריפטוגרפיה כדי להשתמש בהצפנה כדי להגן על המידע האישי שלכם, ובעזרת התוכנות והכלים הנכונים זה אפילו די פשוט.
מהי הצפנה?
אפשר לתת הסבר ארוך על הצפנה, על הסוגים השונים שלה ואיך היא עובדת. אבל בפשטות הצפנה היא שיטה שבאמצעותה אנחנו הופכים מידע כלשהו לבלתי קריא עבור אדם אחר. אפשר להשוות הצפנה לנעילת דברי ערך בכספת, כאשר אתם מצפינים מידע אתם נועלים אותו כפי שהייתם נועלים משהו בתוך כספת, וכמובן, הייתם זקוקים למפתח על מנת להוציא ממנה את הדברים במועד מאוחר יותר.
"בעוד שקיימות מגוון דרכים להגן על מידע, הצפנה היא ככל הנראה הדרך הטובה ביותר לשמור על המידע שלכם בטוח מפני מרגלים, גנבים או מחשיפה מקרית לעיניים בלתי רצויות, כמו לדוגמה אם איבדתם את המחשב הנייד שלכם", אומר גיל נוילנדר מנכ"ל חברת ESET.
קיימות הרבה דרכים לבצע הצפנה, אבל למטרות ארגוניות קיימות שתי דרכים עיקריות שעליכם להכיר – "הצפנת דיסק מלאה" ו- "הצפנה ברמת הקובץ".
"הצפנת דיסק מלאה" מול "הצפנה ברמת הקובץ"
נניח שאחד העובדים מאבד דיסק-און-קי המכיל מידע יקר על הרכבת בדרך לעבודה, או שהמחשב הנייד שלו נגנב או שהוא השאיר אותו במקום כלשהו ללא השגחה.
למרות שזה עלול להיות יקר, את המחשב הנייד או את הדיסק-און-קי ניתן להחליף. אבל כשאנחנו מדברים על הצפנה, אנחנו מדברים על הגנה על המידע, ואם המידע שאבד יגיע לידיים הלא נכונות אז אפילו המחיר של המחשב הנייד היקר ביותר הוא זניח לעומת הנזק שעלול להיגרם לעסק – תדמיתית או כספית.
מידת הנזק שעלולה להיגרם לעסק תלויה רבות בסוג המידע שאבד. אם המידע שאבד או נחשף מכיל מידע פרטי על הלקוחות שלכם, אז בנוסף לפגיעה התדמיתית אתם עלולים לעמוד גם בפני קנסות או תביעות.
דוגמה לנזק שעלול להיגרם כתוצאה מדליפת מידע ניתן לראות במקרה של הפריצה לאתר "אשלי מדיסון". למי שלא מכיר, אתר "אשלי מדיסון", הנודע גם בכינויו "אתר הבגידות" נועד למציאת סטוצים לאנשים נשואים. במאי 2015 האתר נפרץ ופרטים אישיים – כמו שם מלא, מספר טלפון ופרטים אישיים נוספים של משתמשי האתר פרסמו ברשת. כפי שאתם ודאי יכולים לשער, התדמית של האתר נפגעה (לפחות בכל הקשור לאבטחה ושמירת הסודיות) וחלק מהמשתמשים אף התאגדו על מנת לתבוע את מפעילי האתר.
ניתן להצפין מחשבים ניידים, כוננים חיצוניים ואפילו סמארטפונים באמצעות מה שנקרא הצפנת דיסק מלאה. זה אומר שכל הדיסק הקשיח של המכשיר וכל מה שנמצא עליו מוגן באמצעות הצפנה – החל ממערכת ההפעלה דרך קבצי מערכת ואפילו קבצים זמניים.
הצפנת דיסק מלאה היא פשוטה יחסית להטמעה, והרבה מהסמארטפונים והמחשבים הניידים החדשים מגיעים היום עם יכולת הצפנה כזו באופן מובנה.
מצד שני, הצפנת דיסק מלאה יכולה לשמור על המידע בטוח כל עוד הוא נמצא על המכשיר. ברגע שקובץ כלשהו יוצא החוצה מהמכשיר המוצפן, ההצפנה לפתע "נעלמת" וכל אחד יכול לפתוח ולקרוא את תוכנו של הקובץ. לדבר זה יש השלכות חשובות על קבצים אותם שמרתם בגיבוי או שהעליתם לשירותי אחסון בענן.
בניגוד להצפנת דיסק מלאה, כאשר אתם משתמשים בהצפנה ברמת הקובץ – כל אחד מהקבצים שבחרתם מוצפן בפני עצמו. בסוג זה של הצפנה, המידע שלכם מוגן גם אם העברתם אותו או אחסנתם אותו בענן.
אך גם לסוג זה של הצפנה ישנם חסרונות. הצפנה ברמת הקובץ היא מורכבת יותר לניהול מאשר הצפנת דיסק מלאה, מכיוון שכל פעם שתרצה להיכנס למידע שלך תזדקק למפתח ההצפנה. ובעולם בו אנחנו רוצים גישה למידע בכל מקום, בכל זמן ומסוגים שונים של מכשרים – נוצר צורך לנהל מפתחות הצפנה רבים.
ניהול מפתחות הצפנה דומה במהותו לניהול המפתחות לדלת של המשרד. תארו לכם שיש לכם משרד עם חמישים עובדים, לכל אחד מהעובדים יש מפתח לדלת הראשית של המשרד והוא מכיר את הקוד לאזעקה. ראשית, בטח לא הייתם רוצים שהעובד ירשום את הקוד של האזעקה על מחזיק המפתחות נכון? שנית, מה קורה כשהעובד עוזב? האם לא הייתם רוצים לוודא שהוא מחזיר את המפתח? אולי הייתם רוצים גם לשנות את הקוד של האזעקה?
על כל השאלות האלו אתם צריכים לענות לפני שאתם מתחילים לחלק מפתחות של המשרד לכל עובד חדש או וותיק. בדומה לכך ישנן לא מעט שאלות שעליהן צריך לענות כאשר מתחילים לחלק את מפתחות ההצפנה למידע הרגיש של העסק שלכם.
מתי ואיך אתם צריכים להשתמש בהצפנה?
הצפנת דיסק מלאה בקושי משפיעה על ביצועי המערכת, אבל אם תנסו להצפין כל דבר ברשת שלכם ברמת הקבצים, מהר מאוד תגלו שזה בלתי ניתן לשליטה.
כאשר אתם ניגשים למלאכת ההצפנה, אתם צריכים לחשוב מה אתם רוצים להצפין ולמה. קרוב לוודאי שאת המידע הרגיש יותר, או מידע שאתם נוהגים להעביר למקומות נוספים, תרצו להצפין ברמת הקובץ – לדוגמה, מסמכים שאתם רוצים לגשת אליהם ממכשיר הטלפון שלכם, מהמחשב האישי שלכם ומשירות ענן כדוגמת Dropbox.
חשוב להבין שהצפנה ברמת הקובץ אינה באה במקום הצפנת דיסק מלאה. שתי שיטות הצפנה אלה משלימות אחת את השנייה. קל מאוד לפספס דברים אם אתם מצפינים קבצים מסוימים, אך לא מצפינים גם את הדיסק עצמו. ואל תשכחו שקיים סיכוי לא קטן שהמחשב שלכם אוגר העתקים של המידע שלכם בכל מיני מקומות שלא חשבתם עליהם.
רוב החברות היו מעדיפות שמחלקת ה- IT תנהל בזהירות את מפתחות ההצפנה במכשירים השונים. ללא ניהול מרכזי, ניתן בקלות לאבד מידע כאשר, לדוגמה, אחד העובדים עוזב או אם הוא מאבד את הסיסמה שלו. בניגוד לסיסמאות רגילות, לא ניתן פשוט לאפס סיסמאות שמשמשות כמפתח להצפנה אם העובד שכח אותה.
חברה חכמה תוודא שמפתחות המאסטר של ההצפנה שמורים בצורה טובה מאוד. חברה אפילו חכמה יותר תוודא שלאף אדם יחיד אין גישה מלאה למפתחות האלה. תוכנת הצפנה טובה צריכה לאפשר לכם להצפין את המידע החשוב שלכם, וגם לספק לכם כלי לניהול יעיל של מפתחות ההצפנה.
החברות המובילות בעולם: פייסבוק, גוגל, וואטס אפ סנאפ צ'אט כי יגבירו את רמת ההצפנה של מידע אישי של המשתמשים בשירותיהן. מהי הצפנה ולמה היא טובה לעסק שלכם?
Public Key Cryptography: Secrecy in Public - Professor Raymond Flood - youtube.com
הגרדיאן דיווח השבוע כי החברות הכי גדולות שכולנו מאחסנים בהן מידע אישי רב שלנו מעלות את רמת ההצפנה שלהן. וואטס אפ תצפין את השיחות הקוליות שלה, גוגל בוחנת כיצד לאבטח את המייל של משתמשיה ופייסבוק רוצה לחזק את ההגנה של שירות ההודעות. לדברי החברות הפרויקטים הללו תוכננו לפני הקרב שמתחולל בימים אלה בין אפל ל-FBI. גם סנאפ צ'אט, תוכנת מסרים פופולארית, עובדת על מערכת אבטחה משלה.
במקביל השבוע חשפה גוגל בדו"ח השקיפות שלה כי 25% מהתעבורה בה כלל אינה מוצפנת אבל שהיא מפעילה את מירב המאמצים לשפר את אבטחת המידע. בג'ימייל ובדרייב ההצפנה עומדת על 100% אבל לא בכל השירותים זה כך: למשל שירות המודעות גוגל אדס מוצפן רק ב-75% וגוגל מפות מוצפן ב-80% מהמקרים.
הדיון על הצפנה הוא חשוב, אבל למרבה הצער רוב האנשים מחוץ לתחום האבטחה מחשיבים את ההצפנה לנושא מורכב או מסובך. בימים אלה אנחנו שומעים על הצפנה בעיקר בהקשר רע של תוכנות הכופר שמצפינות קבצים במחשב ולוקחות אותם כבני ערובה, אבל זו לא אמורה להיות המטרה האמיתית של הצפנה. החדשות הטובות הן, שאתם לא צריכים להיות מומחים לקריפטוגרפיה כדי להשתמש בהצפנה כדי להגן על המידע האישי שלכם, ובעזרת התוכנות והכלים הנכונים זה אפילו די פשוט.
מהי הצפנה?
אפשר לתת הסבר ארוך על הצפנה, על הסוגים השונים שלה ואיך היא עובדת. אבל בפשטות הצפנה היא שיטה שבאמצעותה אנחנו הופכים מידע כלשהו לבלתי קריא עבור אדם אחר. אפשר להשוות הצפנה לנעילת דברי ערך בכספת, כאשר אתם מצפינים מידע אתם נועלים אותו כפי שהייתם נועלים משהו בתוך כספת, וכמובן, הייתם זקוקים למפתח על מנת להוציא ממנה את הדברים במועד מאוחר יותר.
"בעוד שקיימות מגוון דרכים להגן על מידע, הצפנה היא ככל הנראה הדרך הטובה ביותר לשמור על המידע שלכם בטוח מפני מרגלים, גנבים או מחשיפה מקרית לעיניים בלתי רצויות, כמו לדוגמה אם איבדתם את המחשב הנייד שלכם", אומר גיל נוילנדר מנכ"ל חברת ESET.
קיימות הרבה דרכים לבצע הצפנה, אבל למטרות ארגוניות קיימות שתי דרכים עיקריות שעליכם להכיר – "הצפנת דיסק מלאה" ו- "הצפנה ברמת הקובץ".
"הצפנת דיסק מלאה" מול "הצפנה ברמת הקובץ"
נניח שאחד העובדים מאבד דיסק-און-קי המכיל מידע יקר על הרכבת בדרך לעבודה, או שהמחשב הנייד שלו נגנב או שהוא השאיר אותו במקום כלשהו ללא השגחה.
למרות שזה עלול להיות יקר, את המחשב הנייד או את הדיסק-און-קי ניתן להחליף. אבל כשאנחנו מדברים על הצפנה, אנחנו מדברים על הגנה על המידע, ואם המידע שאבד יגיע לידיים הלא נכונות אז אפילו המחיר של המחשב הנייד היקר ביותר הוא זניח לעומת הנזק שעלול להיגרם לעסק – תדמיתית או כספית.
מידת הנזק שעלולה להיגרם לעסק תלויה רבות בסוג המידע שאבד. אם המידע שאבד או נחשף מכיל מידע פרטי על הלקוחות שלכם, אז בנוסף לפגיעה התדמיתית אתם עלולים לעמוד גם בפני קנסות או תביעות.
דוגמה לנזק שעלול להיגרם כתוצאה מדליפת מידע ניתן לראות במקרה של הפריצה לאתר "אשלי מדיסון". למי שלא מכיר, אתר "אשלי מדיסון", הנודע גם בכינויו "אתר הבגידות" נועד למציאת סטוצים לאנשים נשואים. במאי 2015 האתר נפרץ ופרטים אישיים – כמו שם מלא, מספר טלפון ופרטים אישיים נוספים של משתמשי האתר פרסמו ברשת. כפי שאתם ודאי יכולים לשער, התדמית של האתר נפגעה (לפחות בכל הקשור לאבטחה ושמירת הסודיות) וחלק מהמשתמשים אף התאגדו על מנת לתבוע את מפעילי האתר.
ניתן להצפין מחשבים ניידים, כוננים חיצוניים ואפילו סמארטפונים באמצעות מה שנקרא הצפנת דיסק מלאה. זה אומר שכל הדיסק הקשיח של המכשיר וכל מה שנמצא עליו מוגן באמצעות הצפנה – החל ממערכת ההפעלה דרך קבצי מערכת ואפילו קבצים זמניים.
הצפנת דיסק מלאה היא פשוטה יחסית להטמעה, והרבה מהסמארטפונים והמחשבים הניידים החדשים מגיעים היום עם יכולת הצפנה כזו באופן מובנה.
מצד שני, הצפנת דיסק מלאה יכולה לשמור על המידע בטוח כל עוד הוא נמצא על המכשיר. ברגע שקובץ כלשהו יוצא החוצה מהמכשיר המוצפן, ההצפנה לפתע "נעלמת" וכל אחד יכול לפתוח ולקרוא את תוכנו של הקובץ. לדבר זה יש השלכות חשובות על קבצים אותם שמרתם בגיבוי או שהעליתם לשירותי אחסון בענן.
בניגוד להצפנת דיסק מלאה, כאשר אתם משתמשים בהצפנה ברמת הקובץ – כל אחד מהקבצים שבחרתם מוצפן בפני עצמו. בסוג זה של הצפנה, המידע שלכם מוגן גם אם העברתם אותו או אחסנתם אותו בענן.
אך גם לסוג זה של הצפנה ישנם חסרונות. הצפנה ברמת הקובץ היא מורכבת יותר לניהול מאשר הצפנת דיסק מלאה, מכיוון שכל פעם שתרצה להיכנס למידע שלך תזדקק למפתח ההצפנה. ובעולם בו אנחנו רוצים גישה למידע בכל מקום, בכל זמן ומסוגים שונים של מכשרים – נוצר צורך לנהל מפתחות הצפנה רבים.
ניהול מפתחות הצפנה דומה במהותו לניהול המפתחות לדלת של המשרד. תארו לכם שיש לכם משרד עם חמישים עובדים, לכל אחד מהעובדים יש מפתח לדלת הראשית של המשרד והוא מכיר את הקוד לאזעקה. ראשית, בטח לא הייתם רוצים שהעובד ירשום את הקוד של האזעקה על מחזיק המפתחות נכון? שנית, מה קורה כשהעובד עוזב? האם לא הייתם רוצים לוודא שהוא מחזיר את המפתח? אולי הייתם רוצים גם לשנות את הקוד של האזעקה?
על כל השאלות האלו אתם צריכים לענות לפני שאתם מתחילים לחלק מפתחות של המשרד לכל עובד חדש או וותיק. בדומה לכך ישנן לא מעט שאלות שעליהן צריך לענות כאשר מתחילים לחלק את מפתחות ההצפנה למידע הרגיש של העסק שלכם.
מתי ואיך אתם צריכים להשתמש בהצפנה?
הצפנת דיסק מלאה בקושי משפיעה על ביצועי המערכת, אבל אם תנסו להצפין כל דבר ברשת שלכם ברמת הקבצים, מהר מאוד תגלו שזה בלתי ניתן לשליטה.
כאשר אתם ניגשים למלאכת ההצפנה, אתם צריכים לחשוב מה אתם רוצים להצפין ולמה. קרוב לוודאי שאת המידע הרגיש יותר, או מידע שאתם נוהגים להעביר למקומות נוספים, תרצו להצפין ברמת הקובץ – לדוגמה, מסמכים שאתם רוצים לגשת אליהם ממכשיר הטלפון שלכם, מהמחשב האישי שלכם ומשירות ענן כדוגמת Dropbox.
חשוב להבין שהצפנה ברמת הקובץ אינה באה במקום הצפנת דיסק מלאה. שתי שיטות הצפנה אלה משלימות אחת את השנייה. קל מאוד לפספס דברים אם אתם מצפינים קבצים מסוימים, אך לא מצפינים גם את הדיסק עצמו. ואל תשכחו שקיים סיכוי לא קטן שהמחשב שלכם אוגר העתקים של המידע שלכם בכל מיני מקומות שלא חשבתם עליהם.
רוב החברות היו מעדיפות שמחלקת ה- IT תנהל בזהירות את מפתחות ההצפנה במכשירים השונים. ללא ניהול מרכזי, ניתן בקלות לאבד מידע כאשר, לדוגמה, אחד העובדים עוזב או אם הוא מאבד את הסיסמה שלו. בניגוד לסיסמאות רגילות, לא ניתן פשוט לאפס סיסמאות שמשמשות כמפתח להצפנה אם העובד שכח אותה.
חברה חכמה תוודא שמפתחות המאסטר של ההצפנה שמורים בצורה טובה מאוד. חברה אפילו חכמה יותר תוודא שלאף אדם יחיד אין גישה מלאה למפתחות האלה. תוכנת הצפנה טובה צריכה לאפשר לכם להצפין את המידע החשוב שלכם, וגם לספק לכם כלי לניהול יעיל של מפתחות ההצפנה.
