التشفير يعد مكونًا أساسيًا في الحياة اليومية لمعظم الأشخاص، سواء كانوا يقومون بالمراسلة على WhatsApp، أو التسوق عبر الإنترنت، أو قراءة المقالات عبر اتصال HTTPS آمن، أو حماية كلمات المرور الخاصة بهم عند تسجيل الدخول إلى تطبيق أو موقع ويب.
داخل المؤسسة، يعتمد منع الوصول غير المصرح به وحماية الخصوصية على تشفير معظم الخدمات المستخدمة على أساس يومي؛ يعمل في الخلفية لتوفير حركة مرور واتصالات آمنة، ويغطي الاتصالات عبر شبكات VPN واتصالات الشبكة الشاملة، والوصول إلى الخوادم وأجهزة الكمبيوتر والتطبيقات السحابية، وخدمات حماية كلمة المرور. حتى شيء يبدو بسيطًا مثل البريد الإلكتروني يستخدم إرسالًا آمنًا ومشفرًا لضمان أن المرسل والمتلقي فقط هما من يستطيع قراءة الرسائل.
أساسيات
يعمل التشفير على تقليل اتصالات النص العادي بين الأنظمة والخوادم؛ في حالة وصول أحد عناصر التهديد إلى أنظمة مؤسسة ما، فإن حركة المرور المشفرة تجعل من الصعب جدًا قراءة البيانات الموجودة على الشبكة، أو إدخال البرامج الضارة – التي قد تشل بيانات المؤسسة -.
يمكن إجراء التشفير باستخدام برامج التشفير، أو أجهزة التخزين التي تدعم التشفير، أو الشبكات التي تدعم التشفير لتأمين البيانات الحساسة. ويمكن استخدامه لحماية البيانات سواء أثناء النقل أو الراحة (يتم تخزينها) ويتطلب “مفاتيح” لكل من “قفل” (تشفير) و”فتح” (فك تشفير) المعلومات التي يتم حمايتها. التشفير المتماثل يعني أنه يجب على كل من مرسل المعلومات ومتلقيها استخدام نفس المفتاح للتشفير وفك التشفير، في حين يلزم وجود مفتاحين مختلفين للتشفير غير المتماثل.
إن خوارزمية التشفير – وهي مزيج من البراعة الرياضية والمرونة الرقمية – في قلب التشفير المستخدم تحدد مدى قوة التشفير في الممارسة العملية. من الخوارزميات الجليلة مثل آر إس إيه (ريفست-شمير-أدلمان) و الخدمات المعمارية والهندسية (معيار التشفير المتقدم) إلى الابتكارات المعاصرة مثل التشفير المقاوم للكم، والتي تشكل حجر الأساس للحماية الرقمية.
التحديات للنظر فيها
لكن التشفير يعمل في كلا الاتجاهين – حيث يمكن للجهات الخبيثة أيضًا تشفير البيانات. يمكن تشفير البيانات غير النشطة المخزنة كنص عادي لبدء هجوم برنامج الفدية حيث لن يتم توفير المفتاح المطلوب لفك تشفير البيانات إلا في حالة دفع فدية (وحتى هذا ليس أمرًا مسلمًا به). يمكن أن تكون النسخ الاحتياطية للبيانات حلاً ولكنها لا تعمل إلا إذا كانت هذه البيانات محمية بشكل كافٍ لمنع تشفيرها بواسطة جهة ضارة.
كما أن انخفاض التكلفة وسهولة تنفيذ الحلول المستندة إلى السحابة مثل تطبيقات SaaS يزيد من التعقيد؛ فهي تُدار من قبل بائعين خارجيين، مما يؤدي إلى الغموض حول المكان الذي تنتهي فيه “شبكة” المؤسسة، في حين أن البيانات تكون آمنة فقط مثل الخدمة الخارجية؛ تحتاج المؤسسات إلى التأكد من أن المزود يستخدم التشفير للبيانات أثناء النقل والحفظ.
ظهور الحوسبة الكمومية يطرح أيضًا أسئلة كبيرة، حيث أن القوة المطلقة لهذه التكنولوجيا من المحتمل أن تقلل الوقت الذي تستغرقه طرق التشفير التقليدية للهجوم بنجاح من سنوات إلى ثوانٍ. يعد التشفير ما بعد الكمي مجالًا بحثيًا متخصصًا للغاية يركز على تطوير الخوارزميات التي يمكنها مقاومة الهجمات الكمومية؛ سيحدد الوقت ما إذا كان هذا قويًا بما يكفي ليكون التشفير خيارًا قابلاً للتطبيق في المستقبل.
خطر الوصول إلى “الباب الخلفي”.
التشفير من طرف إلى طرف يعادل إجراء محادثات سرية في غرفة فائقة الأمان لا يمكن إلا لأشخاص محددين الدخول إليها. ومع ذلك، في بعض الأحيان، يمكن أن تتعارض القواعد المتعلقة بهذا النوع من الأمن مع متطلبات إنفاذ القانون، حيث تعود جذور الكثير من هذا إلى تدابير مكافحة الإرهاب التي تدعو إليها الحكومات. الحق في إنشاء رسائل شاملة.
تكمن المشكلة في أن الحكومة وجهات إنفاذ القانون لا يمكنها الوصول إلى البيانات المشفرة من خلال “باب خلفي” دون أن يتم استغلال هذا الباب الخلفي من قبل جهات فاعلة ضارة. وسوف يتطلب الأمر من الشركات استخدام مورد موصى به من قبل الدولة للتشفير، مع اعتبار أي شيء آخر غير متوافق.
وبالمثل، فإن الحظر التام على الاتصالات الآمنة له تداعيات أخلاقية وعملية كبيرة، سواء بالنسبة للفرد أو المؤسسة؛ وبصرف النظر تمامًا عن حق الأشخاص الأساسي في الخصوصية الشخصية، في إشارة إلى الفقرات الافتتاحية، فإن التشفير هو عامل التمكين الأمني وراء الكواليس لعدد لا يحصى من الأنشطة عبر الإنترنت. إن تقييد التشفير أو الإضرار به بشدة من شأنه أن يجعل العديد من هذه الأمور غير آمنة – من التسوق عبر الإنترنت إلى الاتصالات الآمنة بالشبكات؛ كما أنه سيجعل من المستحيل نقل البيانات أو حماية معلومات التعريف الشخصية (PII)، مما يعني أن العديد من الشركات لن تكون قادرة على العمل.
يتسم عدم توافق الاتصالات الآمنة وحقوق الباب الخلفي بتهديدات العديد من شركات المراسلة للانسحاب من الدول وحيث يكون الوصول إلى أنظمتهم مطلوبًا من قبل من هم في السلطة؛ وإذا لم تعد خدماتها متاحة، فسيؤدي ذلك إلى تفاقم قدرة العديد من المنظمات على القيام بأعمال تجارية في هذه المناطق.
ولذلك فإن أحد أكبر التحديات التي تواجه التشفير هو التنقل بذكاء في التوازن الدقيق بين الخصوصية واللوائح القانونية التي تتطلع العديد من الحكومات إلى معالجتها.
إدارة المفاتيح ومديري كلمات المرور
على الرغم من أن التشفير يعد أداة رائعة لحماية البيانات، إلا أنه لا يقل قوة عن قوة المؤسسة عمليات الإدارة الرئيسية.
على سبيل المثال، يضمن جرد جميع مفاتيح التشفير رؤية مركزية وشاملة لجميع المفاتيح التي يتم الاعتماد عليها للحفاظ على البيانات آمنة، مما يجعل فقدان تتبع المفتاح أقل احتمالا وتوفير سجل للمعلومات المشفرة. يجب تخزين المفاتيح بشكل آمن ووضع خطة مناسبة للتعافي من الكوارث لتقليل التأثير في حالة حدوث اختراق. من المهم أيضًا مراقبة استخدام المفاتيح وتكرارها، بينما يدير التحكم في الوصول من يمكنه استخدام المفاتيح وما يمكنه فعله بها.
تغطي الإدارة الفعالة للمفاتيح أيضًا الإلغاء، حيث تتم إزالة مفاتيح التشفير واستبدالها في حالة فقدان (المفتاح) أو اختراقه.
هناك أنشطة إضافية يمكن للمؤسسات القيام بها لتعزيز أنشطة التشفير الخاصة بها. إن تدريب الأشخاص على استخدام برامج إدارة كلمات المرور المشفرة يقلل من خطر كشف أسماء المستخدمين وكلمات المرور (المكتوبة على دفاتر الملاحظات أو المحفوظة على محركات الأقراص المشتركة، على سبيل المثال)، في حين يمكن وضع الضوابط لضمان اعتماد الجميع لهذه الممارسة. ويعد تصحيح الثغرات الأمنية في الأجهزة والبرامج التي تستخدم التشفير، والتحقق من وجود تحديثات منتظمة، أمرًا ضروريًا.
التشفير: جزء واحد من لغز الحماية
على الرغم من أن التشفير فعال للغاية، إلا أنه يجب على المؤسسات اعتماد نهج “الدفاع المتعمق”. يساعد الحفاظ على مستويات متعددة من التدابير الأمنية، بما في ذلك تجزئة الشبكة وجدران الحماية وأنظمة كشف التسلل، إلى جانب تشفير الأصول والاتصالات الرئيسية، على حماية أصول البيانات الحيوية الخاصة بها من أولئك الذين لا ينبغي لهم الوصول إليها.
