Безопасность в приоритете: как выбрать решение для маскирования данных?
О том, почему современным компаниям важно обезличивать информацию и по каким критериям необходимо оценивать имеющиеся решения на рынке, рассказывает генеральный директор DIS Group Павел Лихницкий.
В любой компании есть так называемые чувствительные данные – это конфиденциальная информация, которую нужно особенно тщательно защищать, чтобы она ни в коем случае не попала в руки злоумышленников. Это могут быть, к примеру, коммерческие показатели, персональная информация о сотрудниках и клиентах, стратегические планы по развитию бизнеса и так далее.
Учитывая растущий объем хакерских атак, крупные компании вынуждены постоянно усиливать направление кибербезопасности. Государство со своей стороны также ужесточает ответственность бизнеса за утечку персональных данных: так, в Госдуме сейчас рассматривается законопроект, который вводит серьезные штрафы для юридических лиц, допустивших утечку, а в некоторых случаях даже предусматривает уголовную ответственность для руководителей.
Одновременно для повышения конкурентоспособности бизнеса важна постоянная разработка новых сервисов, новых решений, а также совершенствование уже имеющихся продуктов. Проблема в том, что такую разработку невозможно сделать без использования чувствительных данных. И как быть в случае, если для создания нового мобильного решения, доработки внутренней ИТ-системы или тестирования новой концепции приходится привлекать аутсорсинговую компанию, системного интегратора или фрилансеров? Риск утечек данных возрастает в разы.
В таком случае основной вариант решения — это создавать тестовые среды с данными, которые не имеют никакого отношения к реальному бизнесу, но это может не лучшим образом сказаться на работоспособности новых решений. Никому не интересно, вложив миллионы в разработку нового ПО, столкнуться с тем, что оно работает совсем не так, как ожидалось. А все потому, что реальная база данных содержит набор параметров, отличный от того, который использовался разработчиками в тестовой среде.
Другими словами, бизнесу нужно решать, по сути, противоположную задачу: с одной стороны, максимально защитить данные, а с другой – дать внешним и внутренним ИТ-специалистам релевантную информацию для создания новых качественных продуктов.
Справиться с этой задачей помогают решения по маскированию (или деперсонализации) данных. В этом случае данные изменяются таким образом, чтобы сохранить их структуру и смысл, но сделать невозможной идентификацию. Например, решение по маскированию должно заменить несколько цифр в реальном номере телефона на другие в случайном порядке. Но структура телефонного номера и назначение этой комбинации цифр (телефонный номер, а не, допустим, адрес дома) будут сохраняться. Тут нужно пояснить, что в некоторых случаях часть данных не является критическими, но при их дополнении попадает под задачу деперсонализации. Скажем, номер телефона не является критически важной информацией, но, когда он дополнен ФИО, уже является таковым. И тогда решения по маскированию дают возможность сохранить конфиденциальность информации и выполнить законодательные требования по защите персональных данных.
Именно поэтому в госсекторе, медицине, банковской сфере, ритейле и в других отраслях, где накапливается много конфиденциальной информации, растет интерес к решениям по маскированию данных. Издание CNews в прошлом году даже представило первый в России рейтинг подобных систем данных.
В числе ведущих решений на российском рынке, вошедших в рейтинг, есть продукт DIS Group - Плюс7 ФормИТ Маскинг. Это комплексное программное решение, разработанное специалистами в области информационной безопасности, которое позволяет создать в организации централизованную «фабрику обезличивания». Плюс7 ФормИТ Маскинг предназначен для создания анонимизированных копий баз данных с использованием различных методов маскирования. С его помощью можно заменять конфиденциальные данные (такие как имена, адреса, номера телефонов) на фиктивную информацию, одновременно сохраняя структуру и целостность базы данных.
При выборе решений по маскированию аналитики, составившие рейтинг, предлагают ориентироваться на следующие критерии: функциональность системы, варианты лицензирования, поддерживаемые СУБД, поддерживаемые языки программирования, минимальные системные требования к серверу. Есть и еще несколько параметров, на которые стоит обратить внимание при выборе систем.
Один из них - качество данных. Так, Плюс7 ФормИТ Маскинг благодаря интеграционному движку позволяет эффективно создавать тестовые среды вне зависимости от того, какой источник данных для этого используется. И что самое главное – в этих тестовых средах сохраняется то же самое качество данных, которое было в системных источниках. А ведь качество данных – это один из самых ключевых аспектов, именно он определяет целесообразность использования тех или иных данных в целом. В состав решения Плюс7 ФормИТ Маскинг включен пакет, который занимается глубоким изучением или профилированием данных – так называемое частотное изучение качества. Он помогает оценить, соответствуют ли данные требуемым критериям, привести разрозненные данные к единому стандарту в соответствии с задачей. Благодаря этому инструменту, в частности, можно выявить все чувствительные данные в источниках, которые нужно замаскировать, ничего не пропустив, а затем правильно выстроить систему настройки обезличивания этих данных.
Кроме того, в Плюс7 ФормИТ Маскинг встроена опция по валидации данных, которая позволяет проверить сохранность качества данных и то, насколько хорошо они защищены. Этот инструмент предоставляет уникальные возможности по автоматизации тестирования различных интеграционных процессов и позволяет существенно сэкономить трудозатраты и сроки тестирования всего проекта в целом.
Еще один критерий выбора системы по маскированию – количество механизмов по обезличиванию данных, которое встроено в решение. Так, продукт от DIS Group работает практически со всеми механизмами по обезличиванию данных – от самых простых до самых сложных. При этом пользователь может самостоятельно указать, какие именно механизмы необходимо использовать для того или иного типа данных. Например – для фамилий в базе данных можно применять один механизм, а для дат рождений – другой.
В компаниях очень часто возникают ситуации, когда разрабатываемое в тестовой среде решение затрагивает не одну, а несколько ИТ-систем внутри компании. Причем они могут быть ничем не связаны между собой, кроме, например, номера паспорта клиентов. А это критичная информация, и значит, она должна быть замаскирована, но таким образом, чтобы ее можно было легко использовать в любой из тестовых сред. Удобно, когда информация, которая подвергается маскированию, сохраняет единообразие. К примеру, все «Ивановы» в базах данных при маскировании заменяются на «Степановы». То же самое касается и других типов данных – адресов, телефонных номеров и так далее. Поэтому важной особенностью продукта Плюс7 ФормИТ Маскинг является возможность создания единой среды обезличивания. Продукт позволяет получать логически связанные между собой тестовые среды. Это очень удобно не только для разработчиков, но и для специалистов, которые проверяют эти тестовые среды.
У DIS Group есть примеры использования решения Плюс7 ФормИТ Маскинг в различных компаниях, в том числе крупных организациях. После внедрения процесс создания новых продуктов в компаниях в среднем ускорился в 3-5 раз, а процесс проверки тестовой среды – в 8-10 раз. Это дает колоссальное преимущество с точки зрения скорости вывода на рынок новых сервисов и решений.
Еще одним преимуществом при внедрении Плюс7 ФормИТ Маскинг является возможность создания тестовых сред с маскированными данными в тех же самых системах, откуда были получены исходные данные. При этом все данные обрабатываются в памяти аппаратного обеспечения, благодаря чему не создается дополнительной нагрузки на инфраструктуру для хранения временных данных.