10 июня 2019 г.
Сегодня «Коммерсант» рассказал о том, что в открытом доступе оказались данные клиентов ОТП-банка, Альфа-банка и ХКФ-банка. Сейчас эти компании проводят проверки. А эксперты предполагают, что доступ к данным мог стать последствием утечки через сотрудников.
Олег Гиацинтов, технический директор DIS Group, рассказывает, как компании эффективно защитить себя от утечек через сотрудников.
Больше данных — больше опасность утечки
Утечек данных с каждым годом становится больше. С одной стороны, это связано с ростом объёмов собираемой информации. С другой, — c увеличением числа сотрудников, у которых есть к этим данным доступ. Тем временем Gartner предсказывает, что уже к 2020 году 325 миллионов новых пользователей получит доступ к критичной корпоративной информации.
К сожалению, утечки информации через сотрудников не редкость. Согласно статистике InfoWatch, в 2018 году в 78% случаев виновными оказались сотрудники компаний, а в 9% — руководство организаций.
Данные могут попадать в открытый доступ через внешних разработчиков и тестировщиков (подрядчиков, сотрудников на аутсорсинге), внешние службы технической поддержки, собственных системных администраторов, техническую поддержку и других сотрудников.
Ситуацию усугубляет то, что многие компании до сих пор ограничиваются охраной периметра и недостаточно уделяют внимания тому, что происходит внутри него — недостаточно защищают данные.
Как оптимально защищать данные? Нужна стратегия сквозного управления ими, при которой учитывается необходимость защиты критичной и конфиденциальной информации (её маскирования). Поддерживает такую стратегию направление Data Governance.
Data Governance — поиск конфиденциальных и критичных данных
Data Governance позволяет понять, где и какие данные хранит организация, какие из них конфиденциальные и критичные, как они связаны, из каких источников они собраны и в какие системы перемещаются. Зная всё это, можно снизить риски утечки, перехватить её или оперативно на неё среагировать. Отмечу, что для решения подобных задач всё шире применяется искусственный интеллект. Он эффективен для выявления критичных и конфиденциальных данных и поиска связей между ними.
DIS Group опросил представителей крупного и среднего российского бизнеса. 33% опрошенных заявили, что их компании находятся на том или ином этапе внедрения Data Governance.
К сожалению, может быть и такое, что Data Governance существует в организации «на бумаге», но никак не поддерживается технологиями. Данные хранятся в нескольких разобщённых системах (в хранилище, в озере, в отдельных базах), общего понимания корпоративной информации нет. Если компания стремиться эффективно защищать сведения своих клиентов, такого быть не должно.
Маскирование — спрятать конфиденциальные данные
Когда чувствительная информация найдена, её нужно спрятать, маскировать, обезличить. Инструменты маскирования блокируют доступ к данным для конкретных пользователей или заменяют реальную информацию набором похожих данных: «Иван Иванович» заменяется на «Петра Петровича». В итоге пользователь увидит только ту информацию, которую система позволит ему увидеть.
Есть динамическое и статическое маскирование. Динамическое подразумевает изменение запроса к данным на лету, результат запроса формируется при отображении. При этом принимаются во внимание роль сотрудника в организации, области его ответственности, наличие прав доступа к базе данных, соответствующие параметры безопасности, типы приложений, из которых пользователь обращается к данным, а также правила маскирования, которые могут быть настроены максимально детализировано.
Статическое маскирование подразумевает изменение данных непосредственно в системе, где они хранятся. Эта технология используется для обезличивания информации в тестовых средах. При статическом маскировании сохраняется качество данных и их консистентность (согласованность, целостность, внутреннюю непротиворечивость), необходимые для разработки и тестирования (функционального и нагрузочного).
Среди тех, кто успешно использует динамическое маскирование — ПАО «Вымпелком», статическое — Сбербанк. Проекты по маскированию выполняются за очень короткий срок и оперативно помогают компаниям выйти на совершенно новый уровень информационной безопасности.
Качественная защита данных — обязательная составляющая эффективной работы с ними. Сейчас российские компании всё активнее стараются внедрять решения для этого. Надеюсь, что в ближайшие годы это значительно изменит ситуацию, мы все сможем быть уверены, что наши данные надёжно защищены, а утечек станет меньше.
Источник: Олег Гиацинтов, технический директор DIS Group