Государство вводит санкции за дискредитацию личной информации В начале года Госдума приняла в первом чтении поправки в КоАП и УК об усилении ответственности за утечку персональных данных. Если утечка составляет от 1 тыс. до 10 тыс. субъектов персональных данных (граждан), штраф для юрлиц и индивидуальных предпринимателей составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.
За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предполагается штраф от 0,1% до 3% выручки за предыдущий год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
При этом новый законопроект не даёт бизнесу никаких рекомендаций о том, как можно избежать штрафов. Компании должны будут самостоятельно оценивать свои риски, выбирать и внедрять средства информационной безопасности и разрабатывать меры защиты на основе собственных возможностей и ресурсов. Ответственность за выбор и эффективность этих мер полностью ложится на сам бизнес.
Какие подходы к защите баз данных применяют сегодняСуществует несколько подходов, направленных на защиту баз данных от утечек, несанкционированного доступа и атак.
Многие современные базы данных обладают собственными механизмами защиты: шифрование на уровне базы данных, контроль доступа на уровне записей, защиту от SQL-инъекций и аудит действий пользователей. Такой функционал интегрирован в саму архитектуру баз данных и не требует использования стороннего ПО для реализации базовой защиты.
Другой вариант — применение стороннего ПО. На рынке есть несколько классов подобных решений.
DBF (Database Firewall) системы предотвращают несанкционированный доступ и вредоносные атаки, такие как SQL-инъекции. Они работают как межсетевые экраны, фильтруя трафик на основе заданных правил безопасности.
DAM (Data Activity Monitor) решения отслеживают активность пользователей и операций с данными в реальном времени и позволяют проводить ретроспективный анализ инцидентов.
Другой класс решений —
PAM (Privileged Access Management) — предназначен для управления доступом привилегированных пользователей к критическим системам и конфиденциальной информации.
Перечисленные подходы направлены на усиление безопасности баз данных, но каждый из них фокусируется на собственных аспектах. Однако разрозненные решения предполагают сложную интеграцию и управление, что отрицает качественное покрытие всей инфраструктуры — значит, в защите баз данных остаются уязвимости.
DSP системы — новый тренд?Более выгодным вариантом выглядит единый комплексный подход к защите данных с возможностью масштабирования. На глобальном рынке сравнительно недавно наметился новый тренд —
Data Security Platform. Решения этого класса предлагают сразу несколько инструментов защиты в режиме единого окна и единые сценарии реагирования на различные события безопасности.
DSP системы предполагают решение различных задач по защите информации через единый интерфейс.
● Шифрование данных на всех уровнях — от базы данных до приложения.
● Гибкие политики контроля доступа для пользователей и систем.
● Отслеживание всех действий с данными. Весь трафик проверяется и регистрируется, а действия пользователей логируются.
● Стратегия минимальных привилегий — доступ к данным ограничивается даже у привилегированных пользователей, включая администраторов БД.
● Классификация данных — данные можно разложить по классам и уровням критичности для бизнеса.
● Мониторинг всей инфраструктуры данных, фиксирование изменений.
Компания «ЭВРИТЕГ» создала своё решение класса
DSP — «ЭВРИТЕГ Платформа безопасности данных». Мы дополнили типичный функционал DSP: предусмотрели возможность запускать базы данных в безопасной среде, контроль информации, которая отдается на запросы к базе данных, маскировка чувствительных данных при массовых выгрузках.
Идея заключается в том, чтобы не строить сложную систему для защиты данных, а предоставить клиентам простое и автоматизированное решение на bare-metal сервере или виртуальной машине, которое сделает массовые утечки данных невозможными — ни по вине хакеров, ни вследствие ошибок ИТ администраторов.
Одна из важных особенностей продукта — концепция нулевого доверия. Фактически мы предотвращаем любой доступ даже со стороны привилегированных пользователей — например, администраторов баз данных. Любое нестандартное поведение пользователя легко распознаётся и сразу блокируется. Такой подход гарантирует, что эти привилегированные пользователи не смогут обойти установленные политики работы с данными.
Вместо заключенияПеречисленные подходы в разной мере обеспечивают защиту данных, имея свои особенности, плюсы и минусы.
Если у компании есть время, ресурсы и компетенции, можно придерживаться классического подхода и выстраивать защиту из возможностей собственной архитектуры. Однако стоит учитывать риски и зависимость от внутренних специалистов и их уровня квалификации.
Отдельные коробочные решения уже доказали свою эффективность в решении точечных задач. Если есть потребность охватить больше функционала, можно внедрить несколько продуктов. Но из-за их разрозненности интеграция может быть сложной, дорогостоящей и самое главное — длительной. И даже в этом случае нет никакой гарантии отсутствия уязвимостей в защите.
Платформенное решение DSP — совсем новый подход к защите баз данных, и пока нет наработанной практики в использовании этого инструмента. Но интегрированное взаимодействие нескольких технологий в обеспечении защиты баз данных явно имею преимущества в упрощении запуска таких систем. Такой подход экономит ресурсы при эксплуатации и закрывает те векторы атак, от которых не могут защитить разрозненные решения или встроенные защитные меры на самой базе данных.