Что такое утечка информации
Перейти к содержимому

Что такое утечка информации

  • автор:

Что такое «утечка данных» и как предотвратить эту угрозу

Не так часто фраза «утечка данных» становится причиной пугающих мыслей у руководителя высшего звена.

Автор: Натхан Соррентино

Когда произошла утечка?

Какие данные утекли?

Кто виноват?

Существует множество способов предотвращения угроз подобного рода, но давайте начнем с начала. В этой статье мы коснемся основ утечки данных (что это такое, причины возникновения и так далее) и рассмотрим некоторые базовые шаги, которые организация может предпринять для снижения риска, связанного с появлением в завтрашних заголовках популярных изданий.

Что такое «утечка данных»

Утечка данных – это когда некто получает неправомерный доступ к информации.

По чьей вине возникает утечка данных

Обычно существует три категории людей, которые могут стать причиной утечки данных внутри организации.

Случайный инсайдер

Иногда утечка данных может быть случайной. Например, кто-то работал в организации и имел слишком большие привилегии. В этом случае папка или файл могут оказаться в поле зрения случайно или вследствие нездорового любопытства. У человека не было намерения причинить ущерб, просто кто-то оказался в ненужное время в ненужном месте. В случае со случайными инсайдерами раскрытая информация не представляет особой угрозы, но меры по устранению проблемы все равно должны быть предприняты.

Злонамеренный инсайдер

Ситуация схожа с предыдущей с тем лишь отличием, что у данного типа инсайдеров нечистоплотные помыслы. Альтернативный вариант: когда у сотрудника был нужный уровень полномочий, но возникла мысль о мести текущему или бывшему работодателю. Злонамеренный инсайдер – самый неприятный сценарий среди рассматриваемых в этой статье, поскольку некто, к кому было доверие, становится причиной намеренной утечки. Классический пример, о котором многие из вас знают, — Эдвард Сноуден. Работая в АНБ в качестве подрядчика, у Сноудена был соответствующий уровень доступа, что стало причиной утечки чрезвычайно секретной информации о противоречивых правительственных программах.

Злонамеренный деятель со стороны

Злонамеренный деятель со стороны – любой злоумышленник, который получает неправомерный доступ к информации. В эту категорию попадает широкая группа людей с разной мотивацией, начиная от скучающего тинэйджера и заканчивая группой хакеров, спонсируемой правительством. Последствия от утечек, связанных с посторонними деятелями, могут оказаться очень неприятными. Недавние примеры, попадающие в эту категорию, — атаки на компании Target и Sony .

Что становится причиной утечки данных

Касаемо утечки данных, решающую роль могут играть разные факторы. Некоторые среди наиболее распространенных причин указаны ниже:

Уязвимости в системе.

Слабые или повторно используемые пароли.

Избыточные права доступа.

Фишинг или спуфинг.

Украденные учетные записи.

Уязвимости в системе

Часто по случайности компьютер или система становятся подвержены атакам разного рода из уязвимости в коде. Довольно распространенное явление. Хотя многие организации устанавливают обновления, зачастую системные администраторы не могут сразу же накатить патч по разным причинам или просто не знают, что появилась новая уязвимость, на основе которой написан эксплоит. Во многих случаях злоумышленники намеренно используют известные экспоиты там, где соответствующие обновления еще не установлены, что приводит к взлому и утечкам.

Слабые или повторно используемые пароли

Слабые и повторно используемые пароли пригодны для реализации атак навроде credential stuffing. Организации должны внедрить правила, чтобы пароли были более устойчивы ко взлому, как, например, принудительное использование различных типов символов и минимальную длину.

Сотрудники нередко используют корпоративную электронную почту для регистрации в сетевых сервисах, которые нужны для работы. В случае если один из подобных сервисов будет скомпрометирован, злоумышленник может использовать электронную почту и пароль для доступа к корпоративным или другим сетевым ресурсам. Если злоумышленник сможет получить доступ только почте, то дальше сможет сбросить пароль в другой системе. Эта схема сработает даже если пароль другой, поскольку в большинстве систем на электронную почту присылается ссылка для восстановления пароля.

Национальный институт стандартов и технологий (документ 800-63b) и компания Microsoft разработали рекомендации, которые многие считают радикальными подходом к политике паролей. Логика, пришедшая на смену старой тенденции, существовавшей в течение трех десятилетий, заключается в том, что устаревшие политики были неэффективными и принуждали пользователей создавать и повторно использовать небезопасные пароли. Ситуация постепенно меняется.

Целевые атаки

Целевая атака – это атака, нацеленная на конкретную организацию, и может включать в себя несколько векторов, которые в том числе упоминаются в рассматриваемом нами списке. Целевые атаки обычно тщательно планируются, основываются на нестандартных сценариях и могут включать техники, начиная от выступления от имени коллеги по работе или вышестоящего менеджера для получения ценной информации и заканчивая целенаправленной отсылкой поддельных писем конкретному сотруднику.

Избыточные права доступа

Как упоминалось ранее, подобные причины утечек часто связаны с инсайдерами. Если у сотрудников есть права доступа к ресурсам, которые не нужны по работе, открываются возможности для утечки данных, намеренной или случайной. На первый взгляд кажется, что проблему легко решить, но подобные ситуации возникают снова и снова, когда у сотрудника меняется роль, или права нового сотрудника наследуются от кого-то еще.

Вредоносные программы

Весьма вероятно, что большинство людей, читающих этот пост, хотя бы раз в жизни сталкивались с вредоносными программы. Приложения подобного рода разрабатываются с единственной целью – принести ущерб вашей системе. Инфицирование может происходить разными методами, но обычно через вложения в электронные письма или вредоносные ссылки. После заражения, как правило, у злоумышленника появляется неограниченный доступ к системе, который используется в качестве отправной точки для дальнейшего перемещение во внутрь сети (вбок или вертикально) с целью получения ценной информации.

Фишинг или спуфинг

Фишинг, иногда ассоциирующийся с распространением вредоносов, представляет собой рассылку электронных писем от имени достоверного источника. Цель мероприятия подобного рода – спровоцировать жертву на нажатие вредоносной ссылки, загрузку файла с вредоносом или вовлечение в схемы, связанные с отправкой денег или получением конфиденциальной информации.

Украденные учетные записи

Украденные аккаунты обычно добываются посредством атак на основе фишинга. Пользователю отсылается поддельное электронное письмо, которое выглядит легитимно, а после нажатия на ссылку, появляется страница авторизации, полностью имитирующая оригинальную страницу сайта. После «авторизации» на поддельной странице у злоумышленника окажется информация об учетной записи. Поскольку большинство людей повторно используют пароли, украденная учетная запись потенциально может быть использована для доступа к нескольким сервисам или для получения ценной информации (особенно в сочетании с чрезмерными правами доступа!).

Что делать в случае утечки данных

Хотя утечка данных – явление неприятное (некоторые даже скажут, что неизбежное), организация может предпринять некоторые шаги для минимизации ущерба для данных и систем, а также сохранить репутацию бренда и доверие покупателей. Наиболее важный шаг – подготовка.

Есть ли у вас внутренние ресурсы для реагирования на инциденты и разработанный план? Если нет, рассмотрите возможность заключения договора с фирмой, которая предоставляет услуги подобного рода. Как насчет юридической стороны вопроса? Обладают ли ваши юристы достаточными компетенциями для сопровождения вас через бремя уведомлений и ответных обязательств? Когда в последний раз ваша команда проводила тестирование подготовленного плана во время учебной утечки данных? Четко ли распределены роли и сферы ответственности, чтобы действовать в едином ключе?

Когда произойдет настоящая утечка информации, у вас не будет времени, чтобы искать ответы на эти вопросы. Эффективное и своевременное реагирование подразумевает тщательную подготовку. Хотя невозможно затронуть все аспекты, но главное, что ваш отдел реагирования должен действовать сообща с юристами.

Кроме того, существует три основных вида мер, которые вы можете предпринять во время утечки данных.

Оповестить пострадавших

Этот шаг может казаться очевидным, но в реальности пренебрегаемый многими. Доверие чрезвычайно важно в бизнесе. На первый взгляд может показаться, что лучше не раскрывать информацию об инциденте, однако в долгосрочной перспективе честность выигрывает. Более того, за сокрытие информации об утечке от общественности и государства могут быть предусмотрены высокие штрафы.

Обновить пароли со всех учетных записей

Будь то сотрудники или пользователи, которые платят за ваши услуги, важный шаг – сбросить пароли со всех аккаунтов. У этой меры двойное назначение: блокировка учетных записей, украденных злоумышленником, и принуждение пользователей к замене паролей, которые могут быть скомпрометированы.

Как предотвратить утечку данных

Хотя есть множество мер, которые организация может предпринять для снижения риска утечки данных, есть несколько простых шагов для повышения уровня безопасности:

Внедрить политику безопасности.

Придерживаться принципа наименьших привилегий.

Внедрить корпоративную политику паролей.

Внедрение политики безопасности

Реализация политики или программы в сфере безопасности, которая сфокусирована не только на защиту конфиденциальной информации, но и учетных записей, обеспечивающих доступ к этой информации – критически важно для снижения рисков. Почему? Поскольку учетные записи и данные – два общих знаменателя в каждом инциденте, связанным с утечкой.

Принцип наименьших привилегий

Один из наиболее важных принципов, которого следует придерживаться, — принцип наименьших привилегий. То есть когда у всех сотрудников и аккаунтов (особенно у привилегированных пользователей) уровень доступа в строгом соответствии с выполняемыми функциями. Повторимся еще раз, особенно в случае с привилегированными пользователями следует придерживаться подхода к управлению привилегированным доступом (PAM), когда в случае отсутствия необходимости использование подобных аккаунтов полностью исключено. Когда все пользователи имеют доступ только к нужным ресурсам, риск от компрометирования отдельной учетной записи снижается экспоненциально.

Корпоративная политика паролей

Внедрив общекорпоративную политику паролей, ваша организация убудет защищена от многих атак на механизмы аутентификации. Подобная политика предусматривает отключение слабых или уже скомпрометированных паролей – вне зависимости, удовлетворяют ли эти пароли требованиям сложности. В дальнейшем принудительная гигиена касаемо паролей снижает возможности злоумышленников во время взлома или угадывания паролей при помощи автоматических и ручных методов.

Если вы не хотите использовать правила о периодической смене и сложности пароля, тогда рекомендации следующие: двухфакторная аутентификация, длина пароля не менее 14 символов и отсутствие в базе утечек. Если пароль обнаружен в подобной базе, требуется замена. Иначе пароль может оставаться навсегда.

Обучение сотрудников

Возможно, наиболее важная мера в этом списке. Организации должны тратить время и другие ресурсы на обучение сотрудников. Например, как вовремя распознать фишинговую атаку. Участие в этих мероприятиях нужно сделать обязательным. Небольшая инвестиция сейчас в дальнейшем может окупиться многократно. Даже если обучение поможет избежать хотя бы одной утечки, то вложение ресурсов уже окажется выгодным.

Как обезопасить свой смартфон от СЛЕДЯЩИХ ПРИЛОЖЕНИЙ ?

Присоединяйтесь к нашему ТГ каналу и ваш смартфон станет вашим оружием.

Утечки данных: как случаются и что с ними делать

Здравствуйте. На связи Людмила — маркетолог компании Altcraft. Сегодня рассмотрим, что такое утечка данных, как обнаружить и сообщить о краже информации и защитить бизнес.

Рада вам сообщить, что у нас появился Telegram-канал. Там вы найдёте самые интересные тренды и новости в сфере маркетинга и технологий. Подписывайтесь и будьте в теме 🙂

Утечка случается, когда данные попадают к третьим лицам без разрешения. Обычно это служебная или конфиденциальная информация — личные профили сотрудников и клиентов, номера банковских карт, коммерческие тайны и так далее.

  • Кража информации, которая идентифицирует пользователей: имена, номера телефонов, адреса и другие.
  • Утечка финансовых данных: банковской информации, номеров кредитных карт, email-адресов, паролей и логинов, которые мошенники используют, чтобы красть деньги с счетов клиентов банков.

В ноябре 2021 года в приложении для торговли акциями и инвестиций Robinhood случилась утечка данных: похищено пять миллионов адресов электронной почты пользователей. Хакеру удалось получить полные имена двух миллионов пользователей. Преступник потребовал деньги взамен на неразглашение данных.

Компания Robinhood сообщила о вымогательстве в правоохранительные органы и заключила контракт с Mandiant — топовой компанией по кибербезопасности, чтобы помочь устранить утечку данных.

Позже Robinhood связалась с владельцами счетов, чью информацию украли, и опубликовала заявление для аудитории по поводу утечки данных.

В июле 2022 году у онлайн-сервиса путешествий Tutu.ru случилась утечка данных. Сервис атаковали хакеры из-за рубежа. По заявлению сотрудников, платёжные данные клиентов не пострадали. Команда Tutu.ru оперативно сообщила пользователям об утечке и разобралась со сложившейся ситуацией.

По отчёту the Verizon 2022 года расследования утечек данных популярный способ — криминальное хакерское вмешательство. Используются методы: фишинг, грубые атаки на серверы данных, шпионские и вредоносные программы.

Утечки происходят и внутри компаний. Например, когда сотрудник случайно читает информацию на компьютере коллеги без разрешения. Хотя доступ случайный, а «секрет» не передаётся дальше, такой инцидент считается нарушением безопасности данных. Также в компании может работать сотрудник, который намеренно получает доступ, чтобы использовать информацию недобросовестно.

Признаки кражи данных:

  • Внутренняя информация о компании появляется в сети.
  • Случаются неавторизованные скачивания данных с корпоративной сети.
  • Странные попытки входа в систему из неожиданных мест.
  • Повышенная активность корпоративной сети в нестандартное время.
  • Повторяющиеся сбои.
  • Неожиданные смены паролей и блокировки учётных записей пользователей.
  • Сбои платежей в электронной коммерции.

Как только вы заметили утечку данных, немедленно сообщите об этом. Способ обращения зависит от локации бизнеса и клиентов. В США (по данным NCSL) в 50 штатах действует законодательство, по которому компания должна уведомлять клиентов о нарушении сохранности данных.

Если бизнес в Евросоюзе, то работает GDPR. По этому закону о нарушении данных нужно сообщить в DPA (организацию, которая отвечает за защиту данных) в течение 72 часов с момента получения информации об инциденте.

Здесь работает правило «лучшая защита — нападение». Если делать профилактику, а не действовать на авось, уровень безопасности данных увеличится. Некоторые действия для защиты информации:

Разделение и ограничение — популярная стратегия предотвращения утечки данных. Пусть сотрудники видят только информацию, которая нужна для работы. В случае кражи будет легко определить виновного.

С устаревшим ПО бизнес становится уязвимым для атак. Обновления устраняют дыры в безопасности из предыдущих версий программного обеспечения. Убедитесь, что вовремя обновляете софт компании.

Когда хакеры узнают пароли чужих учётных записей, то входят в них, когда захотят. Чтобы обезопасить данные, меняйте пароли каждые 90 дней и придумывайте сложные.

Концепция BYOD (bring your own device) — использование для работы личных гаджетов в компаниях. Но устройства сотрудников — риск для данных бизнеса. Обезопасьте BYOD с антивирусами и VPN.

Доверьте бизнес-данные надёжной платформе для автоматизации маркетинга и контролируйте потоки информации. Altcraft Platform подстраивается под требования безопасности заказчика: возможно развёртывание платформы клиентских данных на сервере клиента. On-premise решение — это безопасность, быстрое внедрение. Также с Altcraft Platform нет ограничений на количество хранимых данных и отправки и не нужны сторонние вендоры.

Утечки информации

Утечки информации — неправомерная передача конфиденциальных сведений (материалов, важных для различных компаний или государства, персональных данных граждан), которая может быть умышленной или случайной.

Любые сведения, находящиеся в компьютере, имеют свою стоимость. Поэтому похищение личных данных владельца компьютера способно нанести ему вред. Имея доступ к логинам и паролям, а также к банковским картам и счетам, злоумышленники крадут деньги граждан, промышленные секреты и тайны предприятий.

Информация утекает в результате бесконтрольного распространения секретов за пределы кабинета, здания, предприятия. Утрата ценных сведений может случиться при неправильном использовании норм и правил политики безопасности. Несоблюдение правил защиты и хранения данных влекут за собой их утечку и распространение в общедоступных местах, таких как сеть «Интернет».

Классификация видов утечки информации

Утечка информации возможна по разным причинам.

    :

      и избыточные права. К этому виду относятся случаи, основной причиной которых стали действия сотрудников, имеющих доступ к секретам легально, в силу своих служебных обязанностей. Все варианты инсайда условно можно разделить на две группы: в одном случае сотрудник, не имея доступа к информации, получает ее незаконно, а в другом он обладает официальным доступом к закрытым данным и умышленно выносит их за пределы компании. . Проникновение в компьютер с помощью вредоносных программ и похищение информации с целью использования в корыстных интересах. На хакерские атаки приходится 15% от всего объема утечек информации. Вторжение в устройство извне и незаметная установка вредоносных программ позволяют хакерам полностью контролировать систему и получать доступ к закрытым сведениям, вплоть до паролей к банковским счетам и картам. Для этого могут применяться различные программы вроде «троянских коней». Главный атрибут данного вида утечки — активные действия внешних лиц с целью доступа к информации. Приложения, используемые в рабочем процессе или на личном компьютере сотрудника, часто имеют незакрытые уязвимости, которые можно эксплуатировать и получать тем самым различные небезопасные возможности вроде исполнения произвольного кода или повышения привилегий. (бекдоры, трояны) нацелены на причинение вреда владельцу устройства, позволяют незаметно проникать в систему и затем искажать или полностью удалять информацию, подменять ее другими, похожими данными. Весьма распространенный вариант утечек, который случается в результате преднамеренного хищения устройств с информацией — ноутбуков, смартфонов, планшетов и других съемных носителей данных в виде флешек, жестких дисков.

    Утечки информации

    Анализ риска

    Для защиты от утечки конфиденциальной информации используются:

    • системы аутентификации и идентификации,
    • системы криптографической защиты дисковых данных, а также информации, передаваемой по сетям,
    • программные решения для управления ключами шифрования.

    Средства аутентификации и идентификации позволяют ограничить доступ к ресурсам сети. Для этого у пользователя запрашивается некая информация, известная только ему, после чего открывается доступ. Для реализации этой возможности используются:

    • биометрия — физиологические особенности людей (отпечатки пальцев, изображение радужной оболочки глаза и так далее);
    • конфиденциальная информация — пароли, ключи и прочее.

    Для криптографической защиты информации применяются специальные средства, помогающие маскировать содержимое данных. В результате шифрования преобразовывается каждый символ защищаемых сведений. Суть шифрования сводится к перестановке символов, замене, аналитическим преобразованиям или гаммированию. Распространены комбинированные средства шифрования, когда несколько различных методов используются поочередно.

    «Утечка данных»: в чем опасность и как с этим бороться?

    Если какая-нибудь неприятность
    может произойти, то она
    обязательно произойдет.
    Закон Мерфи.

    *Прежде чем приступить к изучению весьма актуальной, но вместе с тем и непростой темы, предлагаем читателю ознакомиться с терминологией.

    Персональные (личные) данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ФЗ N 152 «О персональных данных» от 27.07.2006, статья 3 пункт 1).

    Сенситивные данные — информация, которая является коммерческой тайной и которую недопустимо передавать в иные приёмники хранения или третьем лицам. В данном случае СД — более широкое понятие, чем персональные данные.

    Деперсонализация данных — общее название любого процесса удаления связи между совокупностью идентифицирующих данных и субъектом данных.

    Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ФЗ N 152 «О персональных данных» от 27.07.2006, статья 3 пункт 9).

    Псевдонимизация — то же самое, что и Обезличивание.

    Анонимизация — преобразование, искажение персональных данных без возможности совершения обратной операции (восстановления к исходному виду).

    «Здравствуйте, Иван Иванович! Я сотрудник службы безопасности банка. Вы недавно пытались оформить кредит…» С таких слов начинается типичный телефонный разговор мошенника с жертвой. Подобные «разводы» стали сегодня привычными. «Креативности» авторов махинаций можно только позавидовать: звонки из якобы службы безопасности банка, сообщения о выигрыше, СМС о блокировке карты и прочее. А в этом году стали модными «спасение» денег при переводе их на безопасные счета, избавление от затруднений с международными переводами, получение прибыли в инвестиционных проектах, сборы на гуманитарные нужды, сделки на сайтах продаж. В 2021 году объём киберпреступности побил все рекорды – у россиян «увели» почти 9 млрд рублей! И пока нет никаких оснований думать, что мошенников станет меньше или не появятся их новые виды.

    И более того, сейчас активно «процветает» промышленный шпионаж: «утечка» коммерческой тайны. По статистике, данные в различном виде утекают из 91% российских компаний. Представители малого и среднего бизнеса на обеспечение инфобезопасности тратят в среднем 4,7 млн рублей в год. При этом 52% компаний по всему миру считают, что основная угроза их корпоративной безопасности – это свои же сотрудники. А компаниям это обходится в приличные суммы: ущерб от утечки информации может составлять до десятков миллионов рублей.

    Только из недавних случаев — появление в открытом доступе личных данных сотрудников крупного ретейлера:

    «Судя по всему, данные украли вместе с базой пользователей».

    Еще один показательный пример – утечка данных продуктового маркетплейса:

    «В компании объяснили, что инцидент произошел из-за недобросовестных действий одного из сотрудников.»

    И третий — ситуация в ведущем банке страны:

    «Данные как минимум 5 тыс. кредитных карт клиентов банка в Сеть выгрузил начальник сектора управления прямых продаж. Для этого ему потребовались права администратора, более десяти часов, корпоративная почта и флеш-карта на 8 Гб».

    Кроме того, мы и сами часто и смело «отдаем» наши данные в сеть: оформляем интернет-заказы, заводим личные кабинеты. Кто пользуется уникальными паролями для регистрации личных кабинетов в интернет-магазинах? Владея полученной оттуда информацией, мошенники звонят и обращаются по имени-отчеству, ведут разговор с потенциальными жертвами, как с хорошо знакомыми людьми, завоевывая доверие, получают от нас данные критического уровня (например, данные платежных карт).

    У мошенников цель одна – поживиться лёгкими деньгами. Для этого им нужно получить:

    персональные данные клиентов;

    списки сотрудников, поставщиков, партнёров, договоры;

    коммерческую тайну, техническую информацию, финансовые и юридические документы, данные о сделках и тендерах и пр.

    В нашей стране предусмотрен закон от 27.07.2006 N 152-ФЗ “О персональных данных”. В пункте 2 статьи 5 говорится, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. В статье 6 — обработка персональных данных осуществляется с согласия субъекта персональных данных. Это требует от людей, чья работа связана с информацией такого рода, особого внимания при разработке или обслуживании программных комплексов, хранящих сенситивную информацию.

    Однако! Часто в компаниях доступ к закрытой информации открыт для широкого круга. Вот такой парадокс: множество сотрудников имеет доступ к инструментам выгрузки данных. К примеру, системный администратор уверен, что сотрудники PR-отдела или отдела маркетинга не владеют его навыками и не могут подключиться удаленно к серверу с базой данных и, тем более, выгрузить и скопировать данные. В некоторых комплексах есть возможность выгрузки информации через пользовательский интерфейс, и для этого нужен соответствующий профиль или данные учетной записи с высоким уровнем доступа. Но нет гарантии, что некоторые сотрудники не поддадутся соблазну получить деньги, выгрузив содержимое базы данных (а это могут быть в том числе и ваши личные данные) за пределы компании. Поэтому меры профилактики не просто желательны, а крайне необходимы.

    Рассмотрим наиболее типичный сценарий, в ходе которого может возникнуть утечка данных. В этом случае данные не выносятся за пределы компании, а попадают в места хранения с широким кругом доступа.

    В статье мы описываем работу с СУБД PostgreSQL. Это один из самых распространенных и динамично развивающихся инструментов управления базами данных.

    Часто в процессе разработки необходимо перенести содержимое баз данных из «рабочего окружения» (уже работающая система) в другие места, чтобы тестировать и отлаживать функционал. Иногда требуется провести показ новых возможностей потенциальным клиентам на примере, максимально приближенном к рабочему процессу. К данным в рамках тестирования или разработки имеют доступ, как правило, все сотрудники компании. И важно: во избежание утечек база данных, которая переносится в этот момент из источника на другой носитель, не должна содержать коммерческую тайну.

    Для решения проблемы в таких ситуациях применяются различные решения. На сегодняшний день это такие инструменты, как:

    *О работе инструментов можно узнать, перейдя по ссылкам.

    Разработка компании Tantor Labs призвана бороться с утечкой данных из крупных компаний. Речь идет об opensource-приложении «Инструмент поиска и маскирования конфиденциальных данных» (документация) pg_anon (github) по деперсонализации любых баз данных, основанных на PostgreSQL. Приложение разработано, в том числе, на основе требований наших заказчиков и опробовано на имеющихся у них базах данных.

    концепт как работает наш тул

    Приложение pg_anon клонирует базы данных, заменяя сенситивные данные на хэшированные значения или на результаты вызова иных пользовательских функций PostgreSQL, в том числе функций шифрования из расширения pgcrypto. То есть разработка компании Tantor Labs решает задачу обезличивания (псевдонимизации) и анономизации — замены конфиденциальных данных. Можно «деперсонализировать» сенситивную информацию полностью или только частично. Например, ФИО клиента остаётся, а номер телефона, паспортные данные, информация о его счетах заменяется на хэшированные значения. Тем самым обеспечивается разрыв связи между данными и субъектом данных.

    Избирательность деперсонализации данных выполняется за счет специального файла-словаря. Этот файл — «сценарий» проводимой операции. В нем указан объект с местами хранения сенситивных данных и список операций, которые нужно с ними произвести с учетом поставленной задачи. Получить файл можно автоматическим и ручным способом. Автоматический подразумевает генерацию словаря путем сканирования БД (в дальнейшем мы будем называть подобное сканирование «разведкой»). Ручной способ — это заполнение словаря специалистом, знающим места хранения сенситивных данных. Все описанные функции приложение выполняет в различных режимах.

    Разные словари позволят решать задачи любой сложности по деперсонализации данных. Для полной анонимизации можно использовать один словарь, а для частичной (обезличивание) — другой. Получается, что вы создаете только видимость доступа к информации, маскируя ее. Так благодаря работе с приложением pg_anon только вы сами будете управлять и определять, какая информация станет доступной и открытой, а какая — никогда не выйдет за пределы секретности.

    Более подробно о работе приложения компании Tantor Labs pg_anon – в следующих материалах. А пока ознакомиться с описанием приложения можно на сайте компании. И помните: защитить коммерческую тайну и личные данные и тем самым избежать больших финансовых потерь — возможно! Необходимо только выбрать эффективный инструмент защиты и знать четкий алгоритм действий. Информационная безопасность – в ваших руках. Берегите себя и свои данные!

    *Все ссылки на новостные ресурсы являются рабочими на день публикации этой статьи.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *