Государство усиливает ответственность за утечку персональных данных. Как обеспечить защиту ПДн, чем помогут в этом DSP-системы (Data Security Platform)? Можно ли использовать сразу несколько решений для защиты и какие варианты существуют на сегодняшний день?
- Введение
- Государство вводит санкции за дискредитацию личной информации
- Обеспечение комплаенса полностью ложится на плечи бизнеса
- Какие подходы к защите баз данных применяют сегодня
- DSP-системы — новый тренд?
- Есть ли аналоги на российском рынке?
- Выводы
Введение
По данным исследований, за 2023 год из российских компаний утекло более 1 млрд записей персональных данных. Прирост инцидентов к прошлому периоду составил 60 %, а на одну утечку в среднем пришлось 1,7 млн записей. Мишенями атак всё чаще становятся базы данных, содержащие большое количество информации о клиентах.
Государство вводит санкции за дискредитацию личной информации
В начале года Госдума приняла в первом чтении поправки в КоАП и УК об усилении ответственности за утечку персональных данных. Закон об оборотных штрафах будет определять санкции на основе оборота компании. Если утечка охватывает 1–10 тыс. субъектов персональных данных (граждан), штраф для юрлиц и индивидуальных предпринимателей составит от трёх до пяти миллионов рублей; за утечку данных 10–100 тыс. субъектов — от 5 до 10 млн рублей; более 100 тыс. — от 10 до 15 млн рублей.
За повторное нарушение при любом объёме дискредитированной информации от 1 тыс. субъектов предполагается штраф от 0,1 до 3 % выручки за предыдущий год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.
Бизнес посчитал штрафы слишком высокими, а распределение ответственности — несправедливым: компании по-разному вкладываются в защиту своих данных. В апреле при участии Минцифры были разработаны поправки, направленные на смягчение санкций. Однако ко второму чтению администрация президента их не одобрила. «Интерфакс» считает, что окончательно закон будет принят в этом году, и пока неизвестно, будет ли смягчение штрафов в финальной версии.
Проблема утечек носит глобальный характер, и некоторые страны уже приняли аналогичные законы. Например, Европейский Союз ввёл Общий регламент по защите данных (GDPR), который предусматривает штрафы до 20 миллионов евро или 4 % от годового мирового оборота компании — в пользу большей суммы.
Обеспечение комплаенса полностью ложится на плечи бизнеса
Новый законопроект не даёт бизнесу никаких рекомендаций о том, как можно избежать штрафов. Цель закона — ввести жёсткие санкции за утечки данных и усилить ответственность. Предполагается, что он простимулирует компании к улучшению защиты персональных данных. При этом конкретных инструкций или руководств по предотвращению таких утечек нет.
Также есть вопросы к формулировке состава правонарушения, который сейчас описан как «действие или бездействие лица, повлекшее неправомерную передачу информации». Поскольку большинство атак происходят извне, а ни одна система не даёт стопроцентной гарантии защиты, закон фактически лишает бизнес права на смягчающие обстоятельства.
Компании должны будут самостоятельно оценивать свои риски, выбирать и внедрять средства информационной безопасности и разрабатывать меры защиты на основе собственных возможностей и ресурсов. Ответственность за выбор и эффективность этих мер полностью ложится на сам бизнес.
Какие подходы к защите баз данных применяют сегодня
Существует несколько подходов, направленных на защиту баз данных от утечек, несанкционированного доступа и атак. Концептуально их можно разделить на встроенные и накладные средства защиты информации.
Многие современные СУБД обладают собственными механизмами безопасности: шифрование на уровне самой базы данных, контроль доступа на уровне записей, защита от SQL-инъекций и аудит действий пользователей. Такая функциональность интегрирована в саму архитектуру баз данных и не требует использования стороннего ПО для реализации основ безопасности. С другой стороны, встроенные средства защиты ограничены в гибкости настроек и часто требуют дополнительных ресурсов для оптимизации производительности.
Другой вариант — применение стороннего ПО. На рынке есть несколько классов подобных решений. Каждый из них фокусируется на определённых аспектах безопасности: контроле привилегий, мониторинге активности, фильтрации трафика и т. п. Часто их комбинируют для более комплексной защиты.
Системы класса DBF (Database Firewall) предотвращают несанкционированный доступ и атаки вроде SQL-инъекций. Они работают как межсетевые экраны, фильтруя трафик на основе заданных правил безопасности. Такие решения контролируют доступ пользователей, защищают от атак на исчерпание ресурсов системы, блокируют нежелательные транзакции и логируют потенциально опасные запросы. DBF позволяют отслеживать обращения к БД в настоящем времени, но могут снизить производительность базы данных.
Решения класса DAM (Data Activity Monitor) отслеживают активность пользователей и операций с данными в настоящем времени и позволяют проводить ретроспективный анализ инцидентов. Они контролируют действия пользователей и администраторов, следят за работой базы данных и выявляют несанкционированные попытки копирования. Здесь фокусируются на отслеживании взаимодействий с базой данных, включая действия привилегированных пользователей, и быстрой реакции на инциденты.
Другой класс решений — PAM (Privileged Access Management) — предназначен для управления доступом привилегированных пользователей ко критическим системам и конфиденциальной информации. PAM-системы ротируют учётные данные, минимизируют привилегии и ведут подробный журнал событий, что делает их полезными для аудита.
Перечисленные подходы направлены на усиление безопасности баз данных, но каждый из них фокусируется на собственных аспектах. Встроенные средства защиты, как правило, сосредоточены на шифровании и ролевом управлении доступом, DBF фильтрует запросы и предотвращает атаки, DAM анализирует активность и выявляет инциденты, а PAM управляет доступом привилегированных пользователей.
Хотя все подходы и решения обеспечивают важные меры защиты и показывают свою эффективность, они не предотвращают всех возможных атак на БД. Кроме того, разрозненные решения предполагают сложную интеграцию и управление, что отрицает качественный охват всей инфраструктуры — а значит, в защите баз данных остаются уязвимости.
DSP-системы — новый тренд?
Более выгодным вариантом выглядит единый комплексный подход к защите данных с возможностью масштабирования. Он предлагает сразу несколько инструментов защиты в режиме одного окна и единые сценарии реагирования на различные события по части безопасности.
На глобальном рынке сравнительно недавно наметился новый тренд, выразившийся в классе продуктов «платформа безопасности данных» (Data Security Platform).
DSP-системы предполагают решение различных задач по защите информации через единый интерфейс:
- Шифрование данных на всех уровнях — от БД до приложения.
- Гибкие политики контроля доступа для пользователей и систем. DSP исключают возможность доступа к сервису вне рабочего места пользователя. В случае потери контроля над рабочим местом это усложняет автоматизированный сбор данных.
- Отслеживание всех действий с данными. Весь трафик проверяется и регистрируется, а действия пользователей логируются. DSP распознаёт аномальную активность, такую как, например, частое обращение к карточке клиента или запросы в нерабочее время. В таких случаях система генерирует событие по части безопасности и блокирует запросы к базе данных или учётную запись.
- Стратегия минимальных привилегий — доступ к данным ограничивается даже у привилегированных пользователей, включая администраторов БД.
- Классификация данных — информацию можно разложить по классам и уровням критической значимости для бизнеса.
- Мониторинг всей инфраструктуры данных, фиксирование изменений.
DSP-системы содержат сразу несколько механизмов защиты БД и способны охватить всю инфраструктуру данных в компании. Важная особенность этого класса решений — единый оркестратор для управления несколькими БД. Это упрощает администрирование, даёт больше автоматизации и снижает количество возможных ошибок. DSP-системы легко масштабируются как вертикально, так и горизонтально, что позволяет адаптироваться к изменению нагрузки.
Есть ли аналоги на российском рынке?
DSP — это молодой класс решений, и на мировом рынке пока нет окончательно сформировавшихся стандартов. Тем не менее как международные, так и российские вендоры работают над развитием таких платформ. Например, компания «ЭВРИТЕГ» создала своё решение класса DSP — «ЭВРИТЕГ Платформа безопасности данных». Разработчик дополнил типичную функциональность возможностью запускать БД в безопасной среде, контролем информации, которая отдаётся на запросы к базе данных, возможностью маскировать данные при массовых выгрузках конфиденциальной информации при необходимости.
Идея заключается в том, чтобы не строить сложную систему защиты важных данных, а предоставить клиентам простое и автоматизированное решение на сервере без ОС (bare metal) или виртуальной машине, которое сделает массовые утечки данных невозможными — ни по вине хакеров, ни вследствие ошибок ИТ-администраторов. Александр Корзников, технический директор «ЭВРИТЕГ», отмечает:
Одна из важных особенностей продукта — концепция «нулевого доверия». Фактически мы предотвращаем любой доступ даже со стороны привилегированных пользователей — например, администраторов баз данных. Любое нестандартное поведение пользователя легко распознаётся и сразу блокируется. Такой подход гарантирует, что эти привилегированные пользователи не смогут обойти установленные политики работы с данными.
Для защиты на физическом и сетевом уровнях шифруются и сами вычислительные узлы, и обмен данными между компонентами системы. В случае необходимости создания резервной копии либо извлечения данных они могут быть сохранены только легитимным способом и зашифрованы на разделённом между ответственными лицами ключе. Это делает кражу информации невозможной ни с помощью копирования с сервера, ни при прослушивании трафика. При этом клиент может быть уверен, что он сможет восстановить данные в случае какого-либо сбоя на дисках или в среде виртуализации.
Выводы
Законопроект об оборотных штрафах нацелен на защиту ПДн граждан и данных российских компаний от кражи. При этом растёт и ответственность самого бизнеса, а вместе с нею — и спрос на эффективные меры защиты конфиденциальной информации. Перечисленные подходы в разной мере обеспечивают безопасность данных, имея свои особенности, плюсы и минусы.
Если у компании есть время, ресурсы и компетенции, можно придерживаться классического подхода и выстраивать защиту исходя из возможностей собственной архитектуры. Однако стоит учитывать риски, а также зависимость от внутренних специалистов и их уровня квалификации.
Отдельные «коробочные» продукты уже доказали свою эффективность в решении точечных задач. Если есть потребность охватить больше функциональности, можно внедрить несколько продуктов. Однако из-за их разрозненности интеграция может быть сложной, дорогостоящей, а самое главное — длительной. И даже в этом случае нет никакой гарантии отсутствия уязвимостей в защите.
Платформенное решение класса DSP — совсем новый подход к обеспечению безопасности баз данных, и пока нет наработанной практики использования этого инструмента. Тем не менее интегрированное взаимодействие нескольких технологий в защите БД явно имеет преимущества. Такой подход упрощает запуск, экономит ресурсы при эксплуатации и закрывает те векторы атак, которым не могут помешать разрозненные решения или встроенные защитные меры самой СУБД.