הגנה על מסמכים בעידן האינטרנט

מי שומר על המחשב הנייד והמייל שלנו ?

הגנה על מסמכים בעידן האינטרנט

נפתלי זיגרט , סיגל שפיץ טולדנו, רו"ח*

"מזכיר הממשלה, עובד יחזקאל, התלונן במשטרה כי אלמונים פרצו לביתו ברמלה ולקחו עמם טלפונים, מחשב נייד ואישורי כניסה לכנסת ולמשרד ראש הממשלה", ynet.co.il, 30.6.2008

בעבר היה מקובל לשמור על מסמכים מסווגים בכספות, אבל בעידן המחשוב של ימינו, כמעט כל המידע נמצא במחשבים, חלקם מחשבים ניידים אותם קל מאוד לגנוב או פשוט לאבד. כמו כן, חלק משמעותי מהמידע עובר מאחד לשני בדואר אלקטרוני, אותו האקרים מסוגלים ליירט ולקרוא את המידע הסודי ששלחנו.

דווקא במהלך ימי הביניים נוצרו שיטות רבות ומגוונות של צפנים המבוססים על החלפת אותיות, אבל לכל השיטות הללו הייתה חולשה עקרונית אחת: בכל שפה ניתן לחשב את תדירות חזרת האותיות. הסיבה היא שיש אותיות החוזרות על עצמן בתדירות גבוהה מאוד, כגון י', א' או ו' בעברית, וכמובן שגם אותיות נפוצות הרבה פחות.

מתחילת המאה העשרים פותחו שיטות מכניות שונות לשיפור ההצפנה, לעיתים בשיטות המנצלות את מבנה מכונת הכתיבה מבוססת גלילים, עליהם הוטבעו אותיות, אך לטובת ההצפנה שינו את סדר האותיות.

במלחמת העולם השנייה התפרסמה הגרסה המתוחכמת ביותר של מערכת הצפנה מכנית זו, אשר התפרסמה בשם "אניגמה", בה השתמשו הגרמנים ובעלות בריתם בכדי לשלוח מסרים לניהול המלחמה ותנועת הכוחות מהמפקדות ליחידות השדה.

עידן המחשוב העלה מאוד את הצורך בהצפנה. הקלות הרבה של פענוח צפנים מבוססי החלפת אותיות הביאה לפיתוח צפנים מתוחכמים הרבה יותר, המבוססים על עקרונות מתמטיים שונים כגון תורת הסיבוכיות, תורת המספרים וסטטיסטיקה, תוך דילוג משמעותי על הצפנת האותיות עליה התבססו שיטות ההצפנה הותיקות. נעשה מעבר להצפנה על בסיס שיטת הקידוד של המידע במחשבים, כגון על בסיס קודי ה-ASCII או ה-Ebcedic, בעזרתם מיוצג המידע במחשבים.

שיטות הצפנה אלו היו הרבה יותר מסובכות לפענוח ע"י גורם לא מורשה, אבל מצד שני, גם דרשו הרבה יותר עוצמת מחשוב לשם ביצוע החישובים הרבים שנדרשו הן להצפנה והן לפענוח.

בשנת 1976 מצאו שני מדענים אמריקאיים בשם דיפי והלמן את הפתרון לבעיה – הם המציאו שיטה המשתמשת בשני מפתחות שונים, המשלימים האחד את השני. צופן אחד המכונה "צופן פומבי", ניתן להפצה לכל גורם שאמור לשלוח אלינו מידע, ואיתו ניתן להצפין את המידע או הקובץ, ולשלוח בדואר אלקטרוני. פתיחת הדואר המוצפן – או הפענוח שלו, יכולים להתבצע רק באמצעות צופן שני המכונה "צופן פרטי".

טכנולוגיה זו של שני צפנים משלימים מכונה "הצפנה א-סימטרית" והמשך פיתוח שלה ע"י מדענים שונים כגון עדי שמיר הישראלי, הביא לעולם שיטות כגון החתימה הדיגיטלית (או חתימה אלקטרונית). חתימה זו מאפשרת ליצור סימון חד-ערכי על מקוריות של מסמך ממוחשב. בנוסף, סימון זה מעיד כי נוסח המסמך שנשלח לא שונה בשום אופן ע"י גורם זדוני כלשהו בדרך, או שנוסחו השתבש בשל תקלה, וזאת ע"י אלגוריתם מתמטי מסויים המאפשר לאדם להשתמש בצופן הפרטי שלו (שלעולם אין לחושפו בפני זר כלשהו) על מנת לחתום את המסמך, והנמען המשתמש במפתח הפומבי אותו הפצנו לעמיתנו – יכול לוודא בקלות את מקוריות המסמך הנשלח.

חתימה דיגיטלית שלנו על מסמך ממוחשב, או הטבעת חתימה זו על ביצוע פעולה מסויימת במחשב, מקובלת היום כאמצעי היעיל ביותר ליישום "מניעת התכחשות" – בו משלבים חתימה על מסמך או פעולה מסויימת, בשילוב עם מועד מדוייק של הביצוע, ואז האדם שביצע את הפעולה לא יוכל לטעון מאוחר יותר כי מישהו אחר ביצע את הפעולה. כנסת ישראל חוקקה בשנת 2001 את חוק החתימה האלקטרונית המקבל את חתימה זו כשווה ואף עדיפה על חתימה ידנית שלנו על מסמכים.

הרכיב הבא שנועד להשלים את התמונה, ולסייע במניעת ההתכחשות, הגיע בסוף שנות השמונים בדמות טכנולוגיה משלימה נוספת המאפשרת לאמת את זהותנו ע"י שימוש במפתח פרטי המוטבע על גבי רכיב אלקטרוני, כגון טוקן או כרטיס חכם ברכיב זה ניתן לשמור את המפתח הפרטי שלנו, אשר יאפשר לנו לזהות את עצמנו באופן חד ערכי, ולהזין למחשב באופן חסוי את המפתח הפרטי לשם אימות הזיהוי או ביצוע חתימה אלקטרונית על מסמכים ופעולות במחשב.

לרבים מאיתנו כבר יש כרטיס חכם או טוקן כזה, אם לצורך גישה מרחוק למחשב בעבודה, או לדוגמא בכרטיסי אשראי של ישראכרט שהונפקו בשנתיים האחרונות, עליהם יש מעין רכיב (צ'יפ) בחזית הכרטיס, ובאמצעותו ניתן לבצע רכישות באשראי ברוב מדינות אירופה.

גם ממשלת ישראל מנסה כבר שנים לחלק לכולנו כרטיס חכם, המכונה "תעודת הזהות החכמה", אך המכרז להכנת תעודות זהות אלו התעכב מעל עשור, ורק לאחרונה נראה שבית המשפט אישר סופית את הזוכה במכרז. במסגרת זו לכל תושבי ישראל יחולקו כרטיסים חכמים אלו כתעודות זהות אשר ישאו בתוכן הן צופן פרטי שלנו, וככל הנראה גם סימנים אישיים שלנו כטביעות אצבע ותווי פנים משלימים לזיהוי ביומטרי.

ומה לגבי המחשבים הניידים הנוטים להיגנב ?

אותן שיטות הצפנה המיועדות למשלוח מידע בדואר אלקטרוני, קיימות גם להצפנת מידע על גבי דיסקים קשיחים, תקליטורים ואפילו על דיסק ה-USB הקטנטן. קיימים בשוק מוצרים רבים המאפשרים להצפין את המידע במחשב, על מנת שרק מי שהקליד סיסמא טרם עליית המחשב יוכל לקרוא את המידע השמור במחשב, וכמובן שניתן להגדיר שההצפנה תיפתח רק לאחר הכנסת כרטיס חכם או טוקן למחשב.

שימוש בתוכנות הצפנה אלו יבטיח לנו שאם המחשב אבד או נגנב, נאלץ לדאוג רק להחזרת מחירו של המחשב מחברת הביטוח, אך לא ניאלץ לדאוג שמא הסודות של החברה שלנו ייחשפו בפני הגנב או מישהו אחר שירכוש את המחשב מהגנב, או שחס וחלילה יחשפו סודות מהמחשב הנייד שנגנב ממזכיר הממשלה בפני גורמים עוינים.

יישום הצפנה איננו כה פשוט, והשוק רווי כיום במוצרים ושיטות, אשר חלקם הגדול נתפר למטרות ספציפיות מאוד, ולכן לא כולם יעילים או מתאימים לצרכים של כל ארגון. שימוש לא מושכל בהצפנה אף עלול להאט את פעולת המחשבים שלנו, ובמקרים קיצוניים מסוימים עלול גם לגרור מצב שבו נצפין מידע, ולא נוכל לפענח אותו בעצמנו, לכן, מומלץ להיעזר בגורם מומחה על מנת ליישם את ההצפנה ושמירת המידע הארגוני באופן מדורג ומושכל, על מנת שנהנה מסגולותיה הרבים של ההצפנה, אך לא ניפגע מכמה מחסרונותיה.

*רו"ח סיגל שפיץ טולדנו הינה מנכ"ל חברת דיס ביקורת ואבטחת מידע, ונפתלי זיגרט, CISSP, הינו מנהל תחום ייעוץ אבטחת מידע בחברה.

*חברת דיס ביקורת ואבטחת מידע, מתמחה במתן שירותים מקצועיים ע"י מומחים בתחומי ביקורת פנימית, ניהול סיכונים ואבטחת מידע. החברה אשר הוקמה בשנת 2006 משלבת ידע וניסיון עשיר - הן בפן התהליכי והן בפן הטכנולוגי, ומסייעת לארגונים לשפר ולייעל תהליכים, לחסוך בהוצאות ולמקסם את רמת האבטחה בארגון. על לקוחות החברה בארץ ובעולם נמנים גופים פיננסיים, רשויות מקומיות, חברות ממשלתיות, חברות טלקום ועוד.