Varför ska man kryptera?

Kryptering handlar om att skapa säkra informationskanaler mellan sändare och mottagare.

Det första man kommer att tänka på när man hör ordet kryptering är oftast att skydda informationen från avlyssning under överföringen. Det är ett av målet med kryptering , men kryptering är mer än att bara skydda informationen från obehörig avlyssning (sekretess). Kryptering handlar också om att skydda informationen från obehörig ändring under överföringen (riktighet), samt att säkerställa att både sändare och mottagare av informationen är autentiska och inte någon annan än vad man tänkt sig (autentisering). Målet kan också vara att säkerställa att informationen är bindande och överenskommelser som har gjort över kanalen håller juridiskt (icke-förnekelsebarhet).

En oskyddad kanal kan missbrukas av obehöriga. Exempelvis via avlyssning av informationen, ändring av informationen för att sabotera eller skapa förvirring, eller genom att kapa andras identiteter, exempelvis phishing. Ett exempel på en missbrukad kanal kan vara när lösenord för e-post har läckt till obehöriga, e-post servrar har blivit hackade eller trådlösa nätverk avlyssnade, osv.

Det enklaste sättet att skapa säkra kanaler är antagligen att säkra upp de befintliga kanalerna som redan finns, vilket i de flesta fall kan göras med kryptering av filer, dokument och annan information innan överföring via kanalen.

 

Det kan finnas många orsaker till kryptera sin kommunikation. Här är några exempel:

• Företagsspionage, oseriösa konkurrenter utomlands kan spionera på företaget för att få marknadsmässiga fördelar.
• Insynshandel, det kan vara svårt att kontrollera spridningen av insynsinformation i ett börsnoterat bolag utan lättanvänd och stark kryptering. Det finns också företag som hanterar insynsinformation om sina kunder. Läckt insynsinformation kan leda till insynshandel vilket försämrar möjligheterna för seriösa investerare i företaget.
• Sabotage, genom att någon obehörig läser trafiken och raderar eller ändra viktiga delar av informationen. Exempelvis vid anbud eller offerter.
• Personuppgifter, den som hanterar personuppgifter har skyldighet enligt dataskyddslagen (GDPR) att skydda dessa på ett passande vis. Vissa personuppgifter betraktas som extra känsliga och behöver därför ett extra starkt skydd.
• Information Mining, kriminella kan söka genom din trafik efter säljbar information. Exempelvis kontokortsnummer, lösenord, information som kan skada företaget, eller information som kan ge fördelar för andra företag. Kanske finns det information som kan säljas till media.
• Immateriella rättigheter, innovationer som kan leda till framtida patent kan vara värdefullt för innovatören att skydda, annars finns risk för patentstöld eller svårigheter i att senare få ett patent godkänt.
• Lagkrav, information kan behöva skyddas på grund av krav i lagar och förordningar. Exempelvis offentlighets- och sekretesslagen eller patientdatalagen.
• Rättssäkerhet, informationens äkthet kan behöva garanteras vid rättsprocesser. Kommunikation mellan klienter och ombud kan behöva krypteras för att undvika läckage av känslig information. Förundersökningssekretessen kan behöva bevaras.
• Sårbarhetstester, resultat av sårbarhets- eller penetrationstester bör hanteras med sekretess tills dess att bristerna är åtgärdade. Insikt i en organisations struktur, utrustning och rutiner bör skyddas annars ökar möjligheterna för it-baserade attacker eller kriminalitet riktad mot organisationen.
• Källskydd, som journalist är det viktigt att kunna garantera källors anonymitet och riktighet.
• Personlig integritet, information som skickas mellan två parter kanske är av privat natur och inte är ämnad att läsas av en utomstående tredje part.