הצפנה במשבר: עסקים בבריטניה מתמודדים עם טלטלה באבטחה במסגרת הרפורמה המוצעת בחוק סמכויות החקירה

מאת ניקולס פירן • 25 במרץ 2025

ממשלת בריטניה רודפת אחר שינויים בחוק סמכויות החקירה, משטר החטטנות באינטרנט שלה, שיאפשר לשירותי אכיפת חוק ואבטחה לעקוף את ההצפנה מקצה לקצה של ספקי ענן ולגשת לתקשורת פרטית ביתר קלות ובהיקף גדול יותר. היא טוענת שהשינויים הם לטובת הציבור, שכן פשעי הסייבר יוצאים מכלל שליטה ואויביה של בריטניה מחפשים לרגל אחר אזרחיה.

עם זאת, מומחי אבטחה חושבים אחרת, בטענה שהתיקונים ייצרו דלתות הצפנה אחוריות שיאפשרו לפושעי סייבר ולגורמים מרושעים אחרים לטרוף את הנתונים של משתמשים תמימים. הם קוראים לעסקים לקחת את ההצפנה לידיים שלהם כדי להגן על לקוחותיהם ועל המוניטין שלהם, שכן שירותי הענן עליהם הם נהגו להסתמך כבר אינם נקיים מחטטנות ממשלתית. כך עולה מהחלטתה של אפל להפסיק להציע את כלי הגנת הנתונים המתקדם שלה בבריטניה בעקבות דרישות של מחוקקים בריטיים לגישה בדלת אחורית לנתונים, למרות העובדה שענקית הטכנולוגיה מקופרטינו לא יכולה אפילו לגשת אליו.

שיפור בטיחות הציבור

הממשלה מקווה לשפר את ביטחון הציבור והביטחון הלאומי על ידי ביצוע שינויים אלה. הסיבה לכך היא שהשימוש המוגבר והתחכום בהצפנה מקצה לקצה מקשים על יירוט וניטור תקשורת עבור סוכנויות אכיפה ומודיעין. פוליטיקאים טוענים כי הדבר מונע מהרשויות לבצע את עבודתן ומאפשר לפושעים לברוח מפשעיהם, תוך סיכון המדינה ואוכלוסייתה.

מאט אולדריג', יועץ פתרונות ראשי ב-OpenText Security Solutions, מסביר שהממשלה רוצה להתמודד עם הנושא הזה על ידי מתן סמכויות למשטרה ולשירותי המודיעין יותר סמכויות ומרחב לאלץ חברות טכנולוגיה לעקוף או לכבות הצפנה מקצה לקצה אם הן חושדות בפשע.

בכך, חוקרים יוכלו לגשת לנתונים הגולמיים שבידי חברות טכנולוגיה. לאחר מכן הם יכולים להשתמש במידע זה כדי לסייע בחקירות שלהם ובסופו של דבר להתמודד עם פשע.

אלרידג' אומר ל-ISMS.online: "הטענה היא שללא היכולת הנוספת הזו לקבל גישה לתקשורת או נתונים מוצפנים, אזרחי בריטניה יהיו חשופים יותר לפעילויות פליליות וריגול, שכן הרשויות לא יוכלו להשתמש במודיעין אותות ובחקירות משפטיות כדי לאסוף ראיות קריטיות במקרים כאלה".

הממשלה מנסה לעמוד בקצב של פושעים וגורמי איומים אחרים באמצעות סמכויות חטטנות מורחבות, אומר קונור אגניו, ראש פעולות ציות ב- Closed Door Security. הוא אומר שהיא אפילו נוקטת צעדים כדי ללחוץ על חברות לבנות דלתות אחוריות בתוכנה שלהן, מה שמאפשר לפקידים לגשת לנתוני המשתמשים כרצונם. מהלך כזה מסתכן ב"זבל השימוש בהצפנה מקצה לקצה".

השלכות ענק לעסקים

עם זאת, הממשלה מנסה להצדיק את החלטתה לשנות את ה-IPA, השינויים מציבים אתגרים משמעותיים עבור ארגונים בשמירה על אבטחת מידע, עמידה בהתחייבויות רגולטוריות ושמירת לקוחות מרוצים.

ג'ורדן שרדר, מנהל CISO של רשתות מחסום, טוען כי צמצום ההצפנה מקצה לקצה למטרות פיקוח וחקירה של המדינה תיצור "חולשה מערכתית" שעלולה להיות מנוצלת לרעה על ידי פושעי סייבר, מדינות לאום ומקורבים זדוניים.

"החלשת ההצפנה מפחיתה מטבעה את הגנת האבטחה והפרטיות עליהן מסתמכים המשתמשים", הוא אומר. "זה מציב אתגר ישיר לעסקים, במיוחד אלה העוסקים בתחום הפיננסים, הבריאות והשירותים המשפטיים, התלויים בהצפנה חזקה כדי להגן על נתוני לקוחות רגישים.

Aldridge מ-OpenText Security Solutions מסכים שבאמצעות הכנסת מנגנונים לפגיעה בהצפנה מקצה לקצה, הממשלה משאירה עסקים "חשופים מאוד" לבעיות אבטחת סייבר מכוונות וגם לא מכוונות. זה יוביל ל"ירידה מסיבית בביטחון בנוגע לסודיות ושלמות הנתונים".

כדי לציית לכללים החדשים הללו, אולדריג' מזהיר כי ספקי שירותי טכנולוגיה עשויים להיאלץ לעכב או לעכב תיקוני אבטחה חיוניים. הוא מוסיף כי הדבר ייתן לפושעי סייבר יותר זמן לנצל פגיעות אבטחת סייבר שטרם תוקנו.

כתוצאה מכך, אלרידג' מצפה ל"ירידה נטו" באבטחת הסייבר של חברות טכנולוגיה הפועלות בבריטניה והמשתמשים שלהן. אבל בשל האופי המקושר הדדי של שירותי טכנולוגיה, הוא אומר שהסיכונים הללו עלולים להשפיע על מדינות אחרות מלבד בריטניה.

דלתות אחוריות על פי מנדט ממשלתי עלולות להזיק כלכלית גם לבריטניה.

אגניו של אבטחת דלת סגורה אומר שעסקים בינלאומיים עשויים למשוך פעולות מבריטניה אם "השגה משפטית" מונעת מהם להגן על נתוני המשתמשים.

ללא גישה לשירותים מוצפנים מקצה לקצה המיינסטרים, Agnew מאמינה שאנשים רבים יפנו לרשת האפלה כדי להגן על עצמם מפני פיקוח מוגבר של המדינה. לדבריו, שימוש מוגבר באחסון נתונים לא מפוקח רק יעמיד את המשתמשים בסיכון גבוה יותר ויועיל לפושעים, מה שיהפוך את השינויים של הממשלה לחסרי תועלת.

הפחתת סיכונים אלו

תחת משטר IPA מדכא יותר, דלתות אחוריות של הצפנה מסתכנות להפוך לנורמה. אם זה יקרה, לארגונים לא תהיה ברירה אלא לערוך שינויים מפליגים בעמדת אבטחת הסייבר שלהם.

לדברי שרדר מ רשתות מחסום, הצעד המכריע ביותר הוא שינוי תרבותי ומחשבתי שבו עסקים כבר לא מניחים שלספקי טכנולוגיה יש את היכולות להגן על הנתונים שלהם.

הוא מסביר: "במקום שבו עסקים הסתמכו פעם על ספקים כמו אפל או וואטסאפ כדי להבטיח את E2EE, הם חייבים כעת להניח שהפלטפורמות הללו נפגעות במקרה ולקחת אחריות על נוהלי ההצפנה שלהם".

ללא הגנה מספקת מספקי שירותי טכנולוגיה, שרדר קורא לעסקים להשתמש במערכות הצפנה עצמאיות בשליטה עצמית כדי לשפר את פרטיות הנתונים שלהם.

יש כמה דרכים לעשות זאת. שרדר אומר שאחת האפשרויות היא להצפין נתונים רגישים לפני שהם מועברים למערכות של צד שלישי. כך, הנתונים יישמרו אם הפלטפורמה המארחת תפרוץ.

לחלופין, ארגונים יכולים להשתמש במערכות מבוזרות בקוד פתוח ללא דלתות אחוריות של הצפנה בדרישה של הממשלה. החיסרון, אומר שרדר, הוא שלתוכנה כזו יש סיכוני אבטחה שונים והיא לא תמיד פשוטה לשימוש עבור משתמשים לא טכניים.

בהדהוד לדעות דומות לשרדר, Aldridge מ-OpenText Security Solutions אומר שעסקים חייבים ליישם שכבות הצפנה נוספות עכשיו שהם לא יכולים לסמוך על ההצפנה מקצה להצפנה של ספקי ענן.

לפני שארגונים מעלים נתונים לענן, Aldridge אומר שהם צריכים להצפין אותם באופן מקומי. עסקים צריכים גם להימנע מאחסון מפתחות הצפנה בענן. במקום זאת, הוא אומר שהם צריכים לבחור במודולי אבטחת חומרה, כרטיסים חכמים או אסימונים המתארחים באופן מקומי משלהם.

אגניו של אבטחת דלת סגורה ממליץ לעסקים להשקיע באסטרטגיות אפס אמון והגנה מעמיקה כדי להגן על עצמם מפני הסיכונים של דלתות אחוריות של הצפנה מנורמלות.

אבל הוא מודה שגם עם הצעדים האלה, ארגונים יחויבו למסור נתונים לסוכנויות ממשלתיות אם יתבקשו באמצעות צו. מתוך מחשבה זו, הוא מעודד עסקים לתעדף "להתמקד באילו נתונים הם מחזיקים, אילו נתונים אנשים יכולים להגיש למאגרי המידע או לאתרים שלהם, וכמה זמן הם מחזיקים את הנתונים הללו".

הערכת סיכונים אלו

באופן מכריע, עסקים חייבים לשקול אתגרים אלה כחלק מאסטרטגיית ניהול סיכונים מקיפה. לדברי שרדר מ-Barrier Networks, הדבר יכלול ביצוע ביקורות שוטפות של אמצעי האבטחה המופעלים על ידי ספקי ההצפנה ושרשרת האספקה הרחבה יותר.

Aldridge מ-OpenText Security Solutions מדגישה גם את החשיבות של הערכה מחדש של הערכות סיכוני סייבר כדי לקחת בחשבון את האתגרים שמציבים הצפנה מוחלשת ודלתות אחוריות. לאחר מכן, הוא מוסיף שהם יצטרכו להתרכז ביישום שכבות הצפנה נוספות, מפתחות הצפנה מתוחכמים, ניהול תיקוני ספקים ואחסון ענן מקומי של נתונים רגישים.

דרך טובה נוספת להעריך ולהפחית את הסיכונים הנובעים משינויי ה-IPA של הממשלה היא באמצעות יישום מסגרת אבטחת סייבר מקצועית.

שרדר אומר ש-ISO 27001 הוא בחירה טובה מכיוון שהוא מספק מידע מפורט על בקרות הצפנה, ניהול מפתחות הצפנה, תקשורת מאובטחת וניהול סיכוני הצפנה. הוא אומר: "זה יכול לעזור לארגונים להבטיח שגם אם הספק הראשי שלהם נפגע, הם שומרים על שליטה על אבטחת הנתונים שלהם."

בסך הכל, נראה כי השינויים ב-IPA הם עוד דוגמה לממשלה שמחפשת להשיג יותר שליטה על התקשורת שלנו. השינויים שהוגדרו כצעד לחיזוק הביטחון הלאומי ולהגן על אזרחים ועסקים יומיומיים, פשוט מעמידים אנשים בסיכון גבוה יותר לפרצות מידע. במקביל, חברות נאלצות להקדיש צוותי IT שנמתחו כבר ותקציבים דקים לפיתוח אמצעי הצפנה משלהן מכיוון שהן אינן יכולות עוד לסמוך על ההגנות שמציעות ספקי הענן. בכל מקרה, שילוב הסיכון של דלתות אחוריות בהצפנה הוא כעת הכרח מוחלט עבור עסקים.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.