Денис Суховей: «Потеря данных может стать точкой невозврата»
Данные – это критически важные активы организации. Шифрование и обезличивание позволяет не допустить потери, утечки, кражи критических данных. Это безопасно и необходимо как для рабочих станций, так и для СУБД.
Уязвимости при использовании распространенных западных решений – это узкие места, они могут стать точками отказа всей ИТ-инфраструктуры.
Большинство утечек идет изнутри – проблема внутреннего нарушителя сильно недооценена.
Шифрование данных позволит предотвратить возможность допущения точки невозврата.
Мы поговорили с Денисом Суховеем, руководителем департамента развития технологий компании Аладдин и узнали, какие технологии используются для шифрования и обезличивания данных, какие функции, помимо «функции безопасности», могут выполнять решения.
Темы защиты информации в СУБД и предотвращения утечек - это темы, которые сегодня находятся в мейнстриме. Они постоянно на повестке дня при обсуждении защиты крупных информационных систем. Расскажите, какие технологии используются в решениях компании Аладдин?
Компания Аладдин широко известна в области информационной безопасности. На рынке мы уже более 28 лет и являемся своеобразным микроинститутом по изучению проблем защиты данных. Это полностью российский софт, у нас нет сторонних включений, внешних библиотек западного софта, ПО зарегистрировано в реестре отечественного ПО.
Давайте подробнее остановимся на том, для чего данные необходимо шифровать.
Основной риск – это хищение информации, нарушитель может быть внешний или внутренний. Если установлено решение «Крипто БД» или решение подобного класса – зашифрованная информация непригодна для дальнейшего использования злоумышленниками. Получить неавторизованный доступ к ценной информации и скомпрометировать ее преступник не сможет. «Крипто БД» - это производительный защитный механизм, который устанавливается в среду СУБД, функционирует в этой среде и не зависит от операционной системы, на которой запущена СУБД.
А в сценарии хранения данных в облаке?
Некоторые компании предпочитают хранить важные и ценные данные в облачных средах на удаленных ЦОДах. Есть риск, что третьи лица (неблагонадёжные сотрудники провайдера) смогут получить физический доступ к серверу СУБД и виртуальным машинам – отследить такой инцидент крайне сложно. В случае установки «Крипто БД» этот риск полностью нивелируется, так как при таком сценарии всё, что получит злоумышленник, – это зашифрованные данные.
Расскажите об обезличивании данных.
Использовать «Крипто БД» можно для маскирования данных. Впервые мы обратили внимание на этот сценарий ещё несколько лет назад до пандемии.
Маскированные (обезличенные) данные могут предоставляться неавторизованным, но квалифицированным пользователям. Такие пользователи могут видеть структуру данных, но вместо истинных сведений они наблюдают случайные значения (маски) – и все это сопутствующий положительный эффект при решении системой ее основной задачи.
Функция маскирования данных очень удобна именно для крупных компаний, у которых есть сложная многоуровневая и распределенная ИТ-инфраструктура, которая оперирует большими массивами данных. С развитием направления big data данная функция становится ещё более актуальной, разработчики бизнес-систем выгружают маскированные данные для тестирования процессов.
Владелец информации может передавать данные из своей СУБД аналитикам и другим вторичным пользователям, совершая комплекс лишних, ненужных операций (используя старые методы), затрачивая на это лишние временные ресурсы (в том числе и на уничтожение остаточной информации уже после ее использования). Но можно автоматизированно шифровать данные с помощью «Крипто БД» и попутно маскировать их для других групп пользователей.
Сейчас данную функцию использует где-то треть наших клиентов, они маскируют данные и передают их третьей стороне, не переживая за возможность утечки.
Теперь поговорим про защиту архивов, в ней просто нет необходимости, если данные, которые подлежат архивации, уже предварительно были зашифрованы. Процедура в таком случае абсолютно прозрачна: данные СУБД просто резервируются в защищенном виде и на этом всё. Архив по умолчанию защищен.
Какие еще функции может выполнить решение?
Можно решить задачу независимого аудита. Данный сценарий более всего востребован телекоммуникационными компаниями, в которых функционируют большие биллинговые системы. Таким компаниям часто нужно не просто защитить данные, а иметь возможность отслеживать все обращения к определённым ячейкам или столбцам от узкого сегмента пользователей.
В «Крипто БД» встроен отдельный «движок», позволяющий совершать независимый аудит использования данных в БД. Данные об аудите мы можем перенаправлять на отдельный сервер службы безопасности. Информация об аудите может автоматически конвертироваться и перенаправляться в SIEM-систему, таким образом мы получим своевременное оповещение в случае возникновения нежелательных инцидентов.
Существует один экзотический сценарий, который тоже является частью нашей жизни, – это уничтожение данных в информационной системе.
Есть ряд случаев, когда чувствительная для заказчика информация должна быть гарантированно уничтожена: опасность судебного преследования компании, восстановление и продажа данных с дисков злоумышленниками.
Конечно, существуют альтернативные способы физического уничтожения дисков, которые способны гарантировать результат. Но это нецелесообразно экономически, так как старое оборудование зачастую используется для решения второстепенных задач или передается безвозмездно подшефным организациям.
Если преступник сумеет реализовать сложное восстановление данных по остаточной намагниченности диска или другим подобным способом, при использовании «Крипто БД» он получит только зашифрованные данные. При использовании шифрования дможно гарантированно уничтожать данные и использовать оборудование повторно для хранения другой информации.
Опубликовано 29.09.2023