סקר "מצב ההצפנה כיום": איזה מידע מצפינים ארגונים ואיזה לא ומדוע?
מאת:
מערכת Telecom News, 7.2.16, 18:26
מסקר של Sophos לאבטחת מידע בענן עולה, שלמרות השימוש הנפוץ בהצפנה יש עדיין פערים קריטיים החושפים את הארגונים לאובדן מידע יקר. הבטחות להשתפר, לרוב, מגיעות בדיעבד לאחר שהנזק נגרם. ארגונים רבים אינם מבחינים בין רמות וסוגי ההצפנה השונים.
אילן סגלמן, (בתמונה), סמנכ"ל מכירות ופיתוח עסקי ב-
Power Communication ומנהל פעילות
Sophos לאבטחה בענן בישראל מאמין, שהצפנה זו הדרך הפשוטה ביותר להימנע מאובדן או גנבת מידע בארגונים. זהו קו הגנה אחרון נגד התקפות סייבר או תאונות מצערות של אובדן מידע יקר. ועדיין שומעים חדשות לבקרים, שארגונים, שנגנב מהם מידע יקר, מכים על חטא, שלא השכילו להצפין אותו.
ב-2014 נפרצו 700 מיליון קבצים לפי דו"ח אחרון, שפרסמה ורייזון (
Verizon Data Breach Investigations Report) .
אילן סגלמן מדווח, שכדי להבין מדוע היו כל כך הרבה כישלונות אבטחה ערכה חברת
Sophos, שמרכזה בבריטניה ושפתרונות אבטחת המידע שלה מצויים אצל 100 מיליון לקוחות ב-150 מדינות, סקר בין 1,700 מקבלי החלטות בעולם ה-
IT ב-6 מדינות וממגזרים שונים. הם נשאלו איזה סוג של מידע הם בדרך כלל מצפינים ומדוע הם לא מצפינים את כל המידע שלהם. התוצאות של הסקר " מצב ההצפנה היום" (“
The State of Encryption Today”) מאפשרות להבין איך ניתן לשפר את המצב.
אחת מהתוצאות המובהקות היא, שלמרות שרוב הארגונים לוקחים את נושא אבטחת המידע של
לקוחותיהם ברצינות יתרה,
עובדיהם לא מקבלים את אותו היחס והם מוגנים פחות. מדובר בנתונים רגישים כמו נתוני בנקים או תיקי עובדים הכוללים רשומות רפואיות וכד'.
לדוגמא: 31% מהנשאלים בסקר הודו, שנתוני הבנקים של העובדים אינם מוצפנים.
43% אינם מצפינים תיקי עובדים
47% אינם מצפינים רשומות רפואיות של עובדיהם.
בזמן שפריצות לנתוני לקוחות זוכות לכותרות הגדולות, הרי שנתונים על פריצה לנתוני עובדים כמעט שאינה זוכה לתהודה על אף שארגונים מחויבים לשמור על נתונים אלה עפ"י חוק.
גם נתוני הארגון הרגישים חשופים להתקפות:
כשליש מהנסקרים ציינו, שלא הצפינו את נתוני הארגון שלהם
41% הודו, שהם לא תמיד מצפינים נכסים אינטלקטואלים של הארגון למרות העלייה המדאיגה בריגול תעשייתי בעולם.
נושא נוסף לדאגות הוא סוג ההצפנות. ארגונים רבים אינם מבחינים ברמות וסוגי ההצפנה השונים. הצפנה מלאה של הדיסק או הצפנת הקבצים. קבצים שונים בארגון לא צריכים לקבל את אותה רמת הצפנה.
למרות שהצפנה מלאה של הדיסק היא קריטית במקרה של גניבה או אובדן מידע, היא אינה יעילה במקרה שהמידע עוזב את הדיסק. הצפנת קבצים היא פעולה הכרחית ובסיסית כך, שהמידע יהיה מוגן תמיד במשרד, בנסיעות או באחסון ולמרות זאת רק 36% מהנשאלים בסקר ציינו, שהם מצפינים גם את הקבצים וגם את הדיסק.
אחד מהזרזים לאימוץ ההצפנה הוא המעבר למחשוב בענן. 8 מתוך כל 10 חברות ( 84%) הביעו דאגה למידע שמאוחסן בענן.
בהתחשב בכך, ב-80% מהארגונים, שעברו לאחסון בענן, רק 39% דואגים להצפין את כל הקבצים המאוחסנים.
עובדה זו מובילה לשאלה הקריטית הבאה: מדוע כל כך הרבה ארגונים נכשלים בהצפנת כל סוגי הקבצים שלהם בכל מקום וכל הזמן?
התקציב של ארגון לכל אתר שלו, דאגות בשל ביצועים, או חוסר בידע בסיסי בהצפנות הם 3 המחסומים העיקריים, שבלטו בסקר.
לרוע המזל, המסקנות אינן מפתיעות. מרבית האנשים חושבים, שהצפנה היא תהליך מורכב ויקר, אך למרות דאגות אלו העובדות הן, שהדור הבא של פתרונות ההצפנה הוא קל לביצוע, יעיל ואינו יקר.
אך התמונה, שעולה מהסקר, אינה שחורה בלבד. יש ממצאים ברורים המצביעים על כך, שיותר ארגונים מבינים את ערכה של ההצפנה ומתחילים לפעול בהתאם. רוב העונים בסקר השיבו, שהם מודעים לכך, שהם אינם ממצים את יכולת ההצפנה בארגון שלהם. ו-69% מהם אף הצהירו, שהם מתכוונים להעלות את רמת וכמות ההצפנה בארגון במהלך השנתיים הקרובות.
לסיום, הסקר מצא, שעל אף השימוש הנפוץ בהצפנה ישנם עדיין פערים קריטיים החושפים את הארגונים לאובדן מידע יקר. הבטחות להשתפר, לרוב, מגיעות בדיעבד לאחר שהנזק נגרם.