Защита документов от утечек
Защита данных от утечек
Новый продукт
Защита документов от утечек
Защита данных от утечек
Новый продукт

DATA SECIRUTY PLATFORM: единая платформа для защиты баз данных

DATA SECIRUTY PLATFORM: единая платформа для защиты баз данных
Ситуация с утечками персональных данных ухудшается, и государство уже во втором чтении приняло закон об оборотных штрафах. Рассказываем, какие у бизнеса есть технические возможности для защиты данных и что такое DSP.

По данным исследований, за 2023 год из российских компаний утекло более 1 млрд записей персональных данных. Прирост инцидентов к прошлому периоду составил 60%, а на одну утечку в среднем пришлось 1,7 млн записей. Мишенью для атаки всё чаще становятся базы данных, содержащие большое количество информации о клиентах.

Государство вводит санкции за дискредитацию личной информации

В начале года Госдума приняла в первом чтении поправки в КоАП и УК об усилении ответственности за утечку персональных данных. Если утечка составляет от 1 тыс. до 10 тыс. субъектов персональных данных (граждан), штраф для юрлиц и индивидуальных предпринимателей составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предполагается штраф от 0,1% до 3% выручки за предыдущий год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.

При этом новый законопроект не даёт бизнесу никаких рекомендаций о том, как можно избежать штрафов. Компании должны будут самостоятельно оценивать свои риски, выбирать и внедрять средства информационной безопасности и разрабатывать меры защиты на основе собственных возможностей и ресурсов. Ответственность за выбор и эффективность этих мер полностью ложится на сам бизнес​.

Какие подходы к защите баз данных применяют сегодня

Существует несколько подходов, направленных на защиту баз данных от утечек, несанкционированного доступа и атак.

Многие современные базы данных обладают собственными механизмами защиты: шифрование на уровне базы данных, контроль доступа на уровне записей, защиту от SQL-инъекций и аудит действий пользователей. Такой функционал интегрирован в саму архитектуру баз данных и не требует использования стороннего ПО для реализации базовой защиты.

Другой вариант — применение стороннего ПО. На рынке есть несколько классов подобных решений.

DBF (Database Firewall) системы предотвращают несанкционированный доступ и вредоносные атаки, такие как SQL-инъекции. Они работают как межсетевые экраны, фильтруя трафик на основе заданных правил безопасности.

DAM (Data Activity Monitor) решения отслеживают активность пользователей и операций с данными в реальном времени и позволяют проводить ретроспективный анализ инцидентов.

Другой класс решений — PAM (Privileged Access Management) — предназначен для управления доступом привилегированных пользователей к критическим системам и конфиденциальной информации.

Перечисленные подходы направлены на усиление безопасности баз данных, но каждый из них фокусируется на собственных аспектах. Однако разрозненные решения предполагают сложную интеграцию и управление, что отрицает качественное покрытие всей инфраструктуры — значит, в защите баз данных остаются уязвимости.

DSP системы — новый тренд?

Более выгодным вариантом выглядит единый комплексный подход к защите данных с возможностью масштабирования. На глобальном рынке сравнительно недавно наметился новый тренд — Data Security Platform. Решения этого класса предлагают сразу несколько инструментов защиты в режиме единого окна и единые сценарии реагирования на различные события безопасности.

DSP системы предполагают решение различных задач по защите информации через единый интерфейс.
● Шифрование данных на всех уровнях — от базы данных до приложения.
● Гибкие политики контроля доступа для пользователей и систем.
● Отслеживание всех действий с данными. Весь трафик проверяется и регистрируется, а действия пользователей логируются.
● Стратегия минимальных привилегий — доступ к данным ограничивается даже у привилегированных пользователей, включая администраторов БД.
● Классификация данных — данные можно разложить по классам и уровням критичности для бизнеса.
● Мониторинг всей инфраструктуры данных, фиксирование изменений.

Компания «ЭВРИТЕГ» создала своё решение класса DSP — «ЭВРИТЕГ Платформа безопасности данных». Мы дополнили типичный функционал DSP: предусмотрели возможность запускать базы данных в безопасной среде, контроль информации, которая отдается на запросы к базе данных, маскировка чувствительных данных при массовых выгрузках.

Идея заключается в том, чтобы не строить сложную систему для защиты данных, а предоставить клиентам простое и автоматизированное решение на bare-metal сервере или виртуальной машине, которое сделает массовые утечки данных невозможными — ни по вине хакеров, ни вследствие ошибок ИТ администраторов.

Одна из важных особенностей продукта — концепция нулевого доверия. Фактически мы предотвращаем любой доступ даже со стороны привилегированных пользователей — например, администраторов баз данных. Любое нестандартное поведение пользователя легко распознаётся и сразу блокируется. Такой подход гарантирует, что эти привилегированные пользователи не смогут обойти установленные политики работы с данными.

Вместо заключения

Перечисленные подходы в разной мере обеспечивают защиту данных, имея свои особенности, плюсы и минусы.

Если у компании есть время, ресурсы и компетенции, можно придерживаться классического подхода и выстраивать защиту из возможностей собственной архитектуры. Однако стоит учитывать риски и зависимость от внутренних специалистов и их уровня квалификации.

Отдельные коробочные решения уже доказали свою эффективность в решении точечных задач. Если есть потребность охватить больше функционала, можно внедрить несколько продуктов. Но из-за их разрозненности интеграция может быть сложной, дорогостоящей и самое главное — длительной. И даже в этом случае нет никакой гарантии отсутствия уязвимостей в защите.

Платформенное решение DSP — совсем новый подход к защите баз данных, и пока нет наработанной практики в использовании этого инструмента. Но интегрированное взаимодействие нескольких технологий в обеспечении защиты баз данных явно имею преимущества в упрощении запуска таких систем. Такой подход экономит ресурсы при эксплуатации и закрывает те векторы атак, от которых не могут защитить разрозненные решения или встроенные защитные меры на самой базе данных.
11 / 01 / 2022

Другие новости