הצפנה והגנה של המידע העסקי

הצפנה היא כלי חיוני להגנה על הנתונים שהחברה שלך מייצרת או אוספת. הדלפות מידע מהוות סיכונים לעסק ממנו דלף המידע – החל מאובדן נכסים רוחניים וידע מקצועי ועד דליפת פרטים אישיים. כל אלה יכולים להביא גם לפגיעה במוניטין וגם לקנסות כבדים.

5 דקות קריאה

5 דקות קריאה

מהי הצפנה ועל מה היא מגינה?

הצפנה היא תהליך בו פרטי מידע מסוימים מקודדים כך שגורמים לא-מורשים לא יוכלו לגשת אליהם. אם המידע המוצפן של חברה דולף, מי שגונב או מאתר את הנתונים לא יכול לקרוא אותם, מכיוון שללא מפתח ההצפנה אין אפשרות לחלץ מהקובץ נתונים של ממש.

רוב האנשים לא מודעים לכך שמידע רב כבר מוגן באמצעות טכנולוגיות הצפנה. לדוגמה, רכישות מקוונות ובנקאות מקוונת לא יעבדו ללא הצפנה טובה. ההצפנה באתרים אלה מתוכננת כך שתגן על הכסף והמידע האישי של המשתמשים. כשמדובר בסביבת העסק שלך, ההצפנה תשמש להגנה על הנכסים הרוחניים ועל הידע המקצועי של העסק, וכן על הנתונים האישיים שהחברה שלך מעבדת.

קרא עוד

גם המוצרים או השירותים שנוצרו ע"י החברה שלכם הם חלק מהנכסים הרוחניים והידע המקצועי שלה. כך גם השיטות בהם אתם משתמשים כדי למכור את המוצרים, או התהליכים שנועדו להבטיח שהם יתפקדו כראוי במהלך תקופת חייהם. גם התוכניות העסקיות והשיווקיות לשנה הקרובה הן חלק מהנכסים והידע. התוקף או גנב הסייבר יכולים למכור או לנצל את כל הנתונים האלה.

מידע אישי שהחברה שלכם אוספת ומעבדת עשוי לכלול גם מידע אודות הלקוחות והעובדים שלכם. אתם נדרשים על פי חוק להגן על הגישה לנתונים כאלה, כפי שמוגדר בתקנות הכלליות של האיחוד האירופי להגנה על נתונים (GDPR).

תקנות ה-GDPR והצפנה

תקנות ה-GDPR מגדירות מהו מידע פרטי. בהגדרה זו נכללים שמות פרטיים ושמות משפחה, תמונות, כתובות דוא"ל, מספרי טלפון, מספרי חשבונות, טביעות אצבע וקולות. תקנה זו, שהחל מה-25 באמי 2018 נכנסה לתוקף בכל המדינות החברות באיחוד האירופי, מתארת את ההצפנה כאמצעי אבטחה מפני סיכון למוניטין.

דמיינו מצב בו אחד מהעובדים שלכם מאבד דיסק-און-קי שכולל את רשימת הלקוחות שלכם. על פי תקנות ה-GDPR, עליכם ליידע את כל האנשים ברשימה הזו בנוגע לתקרית הזו. הם עשויים לחשוב על דליפת הנתונים הזאת כסיבה טובה להחלפת ספק. עם זאת, אינכם מחויבים ליידע את האנשים האלה אם הנתונים האישיים הוצפנו.

האם אתם יודעים מה לעשות במקרה של דליפת מידע מהחברה שלכם?

חובה להודיע לרגולטור:

אתם מוכרחים לדווח על כל דליפת נתונים אישיים לרשות הגנת הנתונים המתאימה. החובה הזאת לא חלה רק במקרים של תקריות חמורות, כמו דליפות של בסיסי נתונים גדולים, אלא גם בטעויות קלות. לדוגמה, אם ערבבתם בטעות את התכנים של מעטפות המיועדות לנמענים שונים, אתם מוכרחים לדווח על כך.

72 שעות

עליכם להודיע על התקרית לגורם הרלוונטי בתוך 72 שעות מהרגע בו נודע לכם על התקרית, ולא מהרגע בו התקרית התרחשה בפועל. אם לא עמדתם במסגרת הזמן הזאת, עליכם לספק הצדקה לעיכוב הזה (כלומר, הסיבות שבגללן הדליפה לא דווחה בתוך 72 שעות).

חובה להודיע לגופים הנפגעים

במקרים חמורים יותר, עליכם להודיע גם לגורמים שנתוניהם נפגעו על התקרית, בנוסף לרשות הגנת הנתונים. אך הצעד הזה אינו נדרש אם התקרית התרחשה לאחר שהחברה שלכם הטמיעה אמצעי אבטחה טכניים וארגוניים מתאימים, בייחוד כאלה שהופכים את הנתונים האישיים לחסרי משמעות לאדם שלא רשאי לגשת אליהם. המונח המשפטי המסובך המכונה "אמצעים טכניים" מכוון להצפנה.

קנסות פוטנציאליים הקשורים ל-GDPR

במקרה בו ארגון לא מדווח על דליפת נתונים לרשות המפקחת הרלוונטית, ניתן לקנוס אותו בסכום של עד 10 מיליון יורו, ואם מדובר בחברה ניתן לקנוס אותה בסכום שמגיע עד ל-2 אחוזים מההכנסות העולמיות השנתיות של השנה הקודמת לתקרית. בנוסף לקנס כספי גבוה, רשות הגנת הנתונים עשויה לנקוט גם בצעדים הבאים:

  • מגבלות זמניות או קבועות, ביניהן איסור על עיבוד של נתונים אישיים
  • מחיקת נתונים אישיים

המשמעות של כך עשויה להיות אובדן פרטי הקשר של הלקוחות הקיימים, או איסור זמני על אחסון של נתונים כאלה.

דליפות מידע משפיעות על עסקים גדולים וקטנים כאחד

עסקים רבים מאמינים שהם לא מהווים מטרה לתקיפות סייבר או להדלפות מידע, בשל גודלם הקטן ונכסיהם המוגבלים. לרוע המזל, זהו אינו המצב. על-פי אנליסטים מחברת IDC, 70% מכל תקריות אבטחת הסייבר מתרחשות בעסקים קטנים ובינוניים.

הרושם השגוי, לפיו עסקים אחרים לא מתמודדים עם מתקפות סייבר, עשוי לגרום לחברות לחוש בושה או לחשוש מתשומת לב שלילית אם ידווחו על מתקפת סייבר.

ESET ראתה שבמהלך השנה הראשונה לכניסת תקנות ה-GDPR לתוקף, הרשויות המפקחות באירופה עדיין היו בתהליך הסתגלות לחוקים החדשים. כיום סביר להניח שהם יטילו קנסות במקרים רבים יותר.

עם זאת, הניסיון שלנו מראה שאם החברה הנפגעת משתפת פעולה, היא נוטה לקבל קנס נמוך יותר. בנוסף, נראה שאם החברה שלכם אינה ענקית אינטרנט, הסיכוי לקבלת קנס מקסימלי, נמוך.

לכן אנחנו ממליצים לארגונים לעמוד בחובת הדיווח, לשתף פעולה עם הרשויות המפקחות ולחנך את העובדים בנוגע לסוג הנתונים הדורשים הגנה ובנוגע לאופן ההגנה על הנתונים האלה.

פתרונות ההצפנה של ESET

ESET Endpoint
Encryption

ESET Endpoint Encryption מגנה על המידע הרגיש שבמכשירי החברה באמצעות הצפנה. התוכנה מאפשרת הצפנה של קבצים ותיקיות, של הודעות דוא"ל והקבצים המצורפים אליהן, של התקני אכסון ניידים, של כוננים וירטואליים וכוננים שלמים. היא קלה לשימוש, מאפשרת שליטה מלאה מרחוק על מפתחות ההצפנה ואינה דורשת שרת להפצה. הירשמו לתקופת ניסיון חינמית של 30 ימים ונסו את תוכנת ESET Endpoint Encryption בחברתכם.