אפילו עם כל חוסר הוודאות המסתמן סביב מגיפת COVID-19 העולמית, אבטחת המערכת צריכה להישאר בחזית התכנון של חברות.
עסקים ברחבי העולם נסגרים תחת גזירות מקומיות, מדינתיות או לאומיות מכיוון שחששות מ-COVID-19 מביאים זהירות בנוגע להתכנסויות ציבוריות. באופן לא מפתיע, האקרים השתמשו בהזדמנות חסרת התקדים של כאוס ופאניקה כדי לחקור חולשות במערכות טכנולוגיות מידע. אחת מהמערכות האלה היה במקרה משרד הבריאות ושירותי האנוש של ארצות הברית, מה שהופך את המעשה לעוד יותר בוטה, בהתחשב בנסיבות.
אבל הבעיה חורגת מעבר להאקרים ולאיומים על חברות ואנשים פרטיים. בתקופות משבר, גם חירויות האזרח נמצאות בסכנה, והקריפטוגרפיה מספקת לעתים קרובות מגן מפני פלישות בלתי מוצדקות מצד הממשלה.
לכן, בין אם אתה עסק שמודאג מתשלום עלויות שרת ואבטחה במהלך המהומה הכלכלית הזו או אדם המגן על הנכסים הדיגיטליים שלך, קריפטוגרפיה יכולה לשרת אותך היטב.
האקרים ימשיכו להיות אופורטוניסטים
זה תוצר לוואי מצער של משברים, אבל האקרים יכולים להפעיל כאוס חברתי, כלכלי ופיננסי לרווחתם.
למשל האקרים הושק מתקפת מניעת שירות מבוזרת נגד משרד הבריאות ושירותי האנוש בחודש שעבר במטרה להאט את תגובת ה-COVID-19. הנרטיב הנוכחי גורם לפריצה להיראות זדונית במובהק במאמץ להאיט את תגובת המגפה, אך סביר להניח שיש עוד בסיפור.
מספר המקרים הגואה ובהרחבה אגירת מידע רפואי תחת מערכת ממשלתית מאוחדת מהווה הזדמנות להאקרים להתחמק עם מידע רגיש. יתרה מכך, כאשר תגובות חירום מעוררות תגובות מהירות, חלק גדול מאבטחת המערכת עשוי להיות טלאי של פרוטוקולים שלא נבדקו ביסודיות.
לדוגמה, מקרים המועלים מהשטח - כמו בתי חולים, מרכזי בדיקה מאולתרים וכו' - לשרתים ממשלתיים המצטברים ומציגים מדדי COVID-19 עדכניים עשויים להכיל ליקויי אבטחה חמורים בשל מהירות התפתחותם. אפליקציות שפותחו על ידי צוותים קטנים כדי לסייע לרופאים בעתות משבר עשויות גם לא לציית לתקני אבטחה, במיוחד חוק הניידות והאחריות של ביטוח הבריאות - המכונה בדרך כלל HIPAA - חוקי ציות, שהם אזוטריים ומחוץ לתחום של רוב המהנדסים הממוקדים בטכנולוגיה.
האקרים, שמחפשים מידע רפואי שניתן למכור במחיר גבוה בשווקים השחורים, כנראה רואים בזה מכרה זהב. אירוע הפריצה נגד משרד הבריאות הוא כנראה לא הראשון, וגם לא האחרון, בניסיונות מתמשכים לחדור למערכות אבטחה בולטות.
קריפטוגרפיה מספקת שכבת הגנה שימושית מפני חדירות כאלה. מיסוך מזהי נתונים רפואיים ומידע רגיש אחר אפשרי עם מגוון תקני הצפנה הזמינים כיום. פרויקטים רבים במגזר הקריפטו מתמקדים במפורש ביישומים פיננסיים, אך המודולים ההצפנה להגנה ואימות נתונים רגישים מתורגמים היטב לתעשיות אחרות, כמו שירותי בריאות.
זה לא אומר שהקריפטוגרפיה היא תרופת פלא לנשורת המתמשכת של COVID-19. במקרים מסוימים, ממשלות משתמשות בחשאי בדילמה כשיטה לחתור כליל של הצפנה, כמו שמתרחשת בארה"ב
מעקב ממשלתי זוכה בחסות בקרב משבר
מסתתר מאחורי כל הכותרות על הריבית של הפדרל ריזרב, מקרי הטנק S&P 500 ומקרי COVID-19 היה מאמץ חקיקה מוצע שיש לו השלכות עמוקות על תחום ההצפנה.
המכונה הצעת החוק EARN IT, יש לאנשי הקונגרס האמריקאי מוּצָע הצעת חוק שתעניק למעשה לממשלת ארה"ב את היכולת לגשת ל"כל הודעה דיגיטלית". הצעת החוק תיצור קונסורציום של רשויות אכיפת חוק בראשות משרד המשפטים שינהיג מנגנון אימות סטנדרטי לכל הודעה דיגיטלית. אם ההודעה אינה משתמשת ב"אימות" הסטנדרטי של הטכנולוגיה של הממשלה לאימות ההודעה, אזי ניתן לתבוע את הצדדים השולחים/מקבלים לשכחה.
לגבי קריפטוגרפיה, מדובר בהצעת חוק הרת אסון. המסמך המוצע נמנע בחוכמה משימוש מפורש במילה "הצפנה", אך השפה שלו מצביעה על כך שהקריפטוגרפיה תהפוך לבלתי חוקית, מכיוון שכל ההודעות אינן יכולות להיות פרטיות בין שני צדדים נגדיים. הממשלה מקבלת דלת אחורית.
ההצפנה תהפוך לבלתי חוקית כברירת מחדל מכיוון שהיא שומרת על פרטיות ואימות של הודעה בין שני צדדים, ומונעת את היכולת של צד שלישי לחטט בתוכן ההודעה.
הצעת החוק עדיין בשלביה הראשונים, אבל היא מראה, שוב, שממשלות לא מאשרים של שימוש נרחב בהצפנה בקרב הציבור. בין אם זה שבב הקליפר שערורייה של שנות ה-1990 או המהלך החתרני של הקונגרס המוסווה על ידי משבר לאומי, מאמצי הממשלה מתמשכים.
למרבה המזל, קריפטוגרפיה - שהיא אמפירית רק מתמטיקה - אינה דבקה בקפריזות של האקרים, ממשלות או הזדמנויות לערער את השפעתה. תנועת ההצפנה הבסיסית שהתחילה על ידי cypherpunks ומחוזקת על ידי קהילת הקריפטו הפיצה את הטכנולוגיה במידה שספק אם תיעלם בגזירת פיאט.
לעסקים הסובלים ממצב ה-COVID-19 הסוער, אל תשכח לקחת בחשבון את האבטחה שלך בזמנים פגיעים אלה. כיחידים, זכרו שהקריפטוגרפיה היא החבר שלכם אבטחה חירויות האזרח שלך במהלך משבר בריאות הציבור.
הדעות, המחשבות והדעות המובעות כאן הן של המחבר בלבד ואינן משקפות או מייצגות בהכרח את דעותיו ודעותיו של קוינטלגרף.
ד"ר הואנג לין הוא המייסד וה-CTO של Suterusu, פרויקט המפתח טכנולוגיית פרטיות ללא אמון. הוא בעל Ph.D. תארים בקריפטוגרפיה יישומית ומערכות מבוזרות לשמירה על הפרטיות מאוניברסיטת שנגחאי ג'יאו טונג ואוניברסיטת פלורידה. הוא עבד כפוסט דוקטורט ב- Ecole Polytechnique Federale de Lausanne בנושא קריפטוגרפיה יישומית לפרטיות גנומית ומונטיזציה מבוססת בלוקצ'יין.