В России о маскировании данных почти ничего не знают даже специалисты
Такие результаты показал совместный опрос, который провели "К2 Кибербезопасность" и ГК "Гарда". В ходе исследования аналитики опросили более 200 ИТ- и ИБ-директоров российских компаний, а также старших специалистов в сфере информационной безопасности. По итогам опроса оказалось, что почти половина (42%) не знают о технологиях маскирования и обезличивания персональных данных, 32% лишь слышали о существовании подобного рода инструментов и только 23% используют их для защиты данных.
В серой зоне
Начальник отдела информационной безопасности "СерчИнформ" Алексей Дрозд назвал причинами непопулярности технологий маскирования проблемы с терминологией и ИБ-зрелостью компаний: "В сознании специалистов нет единого знаменателя. Кто-то называет маскирование обфускацией, другие имеют в виду замену одних данных на другие и т.д. Зрелые в плане ИБ компании понимают ценность данных, поэтому выстраивают комплексные системы ИБ. Незрелые, соответственно, не занимаются построением ИБ или делают это по минимуму. Поэтому о маскировании, скорее всего, даже не слышали. А если и слышали, то посчитали сложной и непонятной технологией, а как следствие ненужной".
Владелец продукта "Сфера. Обезличивание данных" платформы "Сфера" Максим Пеньков подчеркнул, что, прежде чем внедрять инструменты обезличивания данных, бизнес должен находиться на определенном этапе эволюционного пути: иметь выстроенный цикл ИТ-разработки и продуманный процесс производства ПО.
Архитектор ИТ-инфраструктуры практики "Стратегия трансформации" "Рексофт Консалтинг" Александр Черный напомнил, что технологии маскирования рекомендует использовать ФСТЭК в приказе №21, который вышел еще в 2013 г.: "Я сомневаюсь, что действующий специалист по ИБ, а тем более директор по ИБ, не знает, что такое обезличивание персональных данных. Либо авторы опроса под термином "маскирование" понимают что-то иное, либо сам вопрос был поставлен так, что респонденты неверно поняли контекст. В потенциале такие результаты опроса могут говорить о том, что сам процесс передачи персональных данных в большинстве из опрошенных организаций осуществляется только в рамках действующего законодательства и не требует обезличивания (например, передача данных в ФНС) либо все их ИСПДн классифицированы не выше 4-го уровня защищенности".
"Количество и объемы утечек данных стремительно растут. При этом их треть связана с компрометацией крупных баз данных при передаче внутри компании или третьим лицам для решения разных задач. Маскирование как раз позволяет комплексно решать эту проблему и создавать обезличенные копии баз данных, которые можно передавать третьим лицам без рисков утечек и нарушений требований регуляторов. Опрос показал, что, к сожалению, очень мало компаний знают и используют такой необходимый инструмент. Это может быть связано в том числе и с тем, что только 20% опрошенных обращаются к ИТ-аутсорсингу", - прокомментировал результаты опроса руководитель направления защиты бизнес-приложений "К2 Кибербезопасность" Вадим Католик.
"Около 10 лет назад была распространена практика ИТ-аутсорсинга. Крупные компании отдавали все задачи автоматизации внешним ИТ-командам несмотря на наличие ИТ-отдела. Эти же организации отдавали предпочтение готовым и популярным решениям на рынке, а не пытались создавать собственные продукты, - считает Максим Пеньков. - Ситуация изменилась. Крупные компании понимают, что ИТ - важная часть безопасности предприятия. Поэтому они стараются формировать внутренние технологические центры компетенций и самостоятельно управлять ИТ-инфраструктурой. Однако, несмотря на эти изменения, большинство компаний по-прежнему имеют недостаточно высокую культуру работы с данными".
"При этом потребность в решениях по обезличиванию данных лишь растет. Например, совершая онлайн-покупки, вы оставляете личную информацию: имя, адрес, контактные данные и прочее. Интернет-площадки агрегируют и хранят ее, что требует от бизнеса дополнительных усилий по ее обезличиванию, а также разграничению доступа к данным среди сотрудников. Например, курьер не должен знать состав и сумму доставки, ему нужны лишь номер посылки, адрес и номер телефона получателя. За счет такого "дробления" компания сможет избежать излишнего доступа к персональной или критически важной информации, если она действительно не нужна, в том числе снижая риски утечки, - уверен представитель платформы "Сфера". - К тому же и сам объект не знает, какие данные о нем собираются и где используются, практически не имея рычагов влияния на это. Часто B2C-компании накапливают большой объем данных для аналитики - хранение в обезличенном виде также минимизирует издержки".
"Продумывать защиту данных и информации необходимо на самом первом этапе проектирования архитектуры информационной системы. Нужно предусмотреть обязательное разделение учетных данных и идентификаторов, выбрать эффективные технологии обезличивания, - рекомендует пресс-служба Роскомнадзора. - Сформировать такую культуру создания информационных систем у ИТ-компаний поможет в том числе принятие закона об оборотных штрафах за утечки информации. Меры ответственности должны побуждать компании серьезно относиться к защите персональных данных, инвестировать в развитие инфраструктуры информационной безопасности".
Технический директор IW Group Алексей Обухов прямо связал применение технологий маскирования с активностью регуляторов, причем не только государственных, но и отраслевых: "Там, где требования регулятора жесткие, там ситуация лучше, чем в среднем по рынку. Например, для банков есть требования PCI DSS - стандарт безопасности данных индустрии платежных карт, который предусматривает в том числе маскирование чувствительных данных платежных карт. Но в отраслях, где отсутствуют обязательные стандарты, ситуация хуже. По моему мнению, нельзя полностью полагаться на регулятора, а ИТ-специалистам более ответственно относиться вообще к персональным данным: не хранить их в явном виде и, помимо шифрования, использовать в том числе маскирование как эффективный инструмент для защиты данных".
Но при этом работа с обезличенными персональными данными находится в серой зоне: на уровне федеральных норм не определены правила обезличивания и работы с дата-сетами, отметил зампред комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Борис Едидин для Forbes.
https://www.comnews.ru/content/233233/2024-05-20/2024-w21/1009/metodom-…
Вместе с тем проблему регуляторных барьеров, которые мешают обороту обезличенных данных, признают высшие руководители страны. Эту тему затронул в том числе президент Владимир Путин в выступлении на конференции AI Jorney’2022, где дал поручение ускорить прохождение через палаты Федерального Собрания законопроекта, который позволяет использовать обезличенные данные, например, для обучения нейросетей. Этот законопроект еще в 2021 г. внесло в Госдуму правительство. Документ дает бизнесу возможность обрабатывать персональные данные клиентов с последующим использованием в обезличенном виде. В первом чтении законопроект был принят, но дальнейшее его прохождение застопорилось.
https://www.comnews.ru/content/223227/2022-11-25/2022-w47/pravitelstvo-…
Заместитель генерального директора ООО "Атом Безопасность" (входит в ГК СКБ "Контур") Юрий Драченин связывает ситуацию с применением технологий обезличивания с ничтожными наказаниями за утечки данных, с одной стороны, и слабой активностью вендоров систем маскирования - с другой: "Отсутствие строгих требований регуляторов по обязательному маскированию данных и несерьезные санкции за утечки информации для компаний привели к обесцениванию проблемы. Руководители не принимают дополнительных мер безопасности, поскольку считают, что это замедлит обмен информацией и увеличит затраты на ее обработку. Кроме того, поставщики услуг, действительно, не слишком активно продвигают решения для защиты данных. Поэтому рынок находится в начальной стадии развития и нуждается в значительных инвестициях".
"Я связываю малую осведомленность о технологиях маскирования данных с недостаточной ответственностью при их утечке: уже не первый год идут разговоры об ужесточении санкций за утечку персональных данных, но пока компании отделываются мелким штрафом, и этого бывает недостаточно, чтобы задуматься о дополнительных технологиях защиты информации, таких как маскирование данных", - отметил руководитель дирекции развития информационных систем Crosstech Solutions Group Али Гаджиев.
"Спрос на подобные решения будет сформирован, если регуляторы, вендоры и бизнес определят допустимый формат маскирования персональных данных, который позволит обеспечить защиту информации, но при этом массив информации будет достаточен для работы с клиентами в бизнесе", - считает пресс-служба Angara Security.
Сложности минимальны
Большинство (44%) опрошенных компаний используют маскирование, чтобы снизить риски при передаче данных подрядчикам, 35% - чтобы выполнить требования регуляторов, 21% - для прочих внутренних нужд. Активнее всего обезличивание используют для баз данных PostgreSQL (55%), Oracle (35%), 1С (29%), NoSQL (10%), SAP HANA (3%), ClickHouse (3%). Среди наиболее важных критериев при маскировании 72% опрошенных выделили отсутствие ошибок, 59% - скорость, 34% - количество обработанных таблиц, 19% - частоту маскирования.
Руководитель технического сопровождения продаж по направлению "Защита данных" ГК "Гарда" Дмитрий Горлянский привел ключевые требования к системам маскирования: "Ключевые требования заказчиков к системам маскирования подчеркивают преимущества специализированных решений перед Open Source, ведь они снижают затраты времени и ресурсов на выполнение задачи за счет простоты и удобства настройки, нетребовательности к квалификации сотрудника ИБ, контролируемости процесса на всех этапах, а также возможности работы в многопоточном режиме".
Юрий Драченин считает, что на рынке существуют эффективные методы маскирования данных, которые позволяют скрыть личные сведения и выполнить различные задачи обработки данных, сохраняя при этом конфиденциальность исходной информации и не влияя на производительность: "Важно, что при маскировании данные не шифруются, а подменяются. Значит, невозможно восстановить исходную информацию из замаскированной. Это эффективно для задач обезличивания, так как конфиденциальность сохраняется, а обрабатываемые данные все еще могут быть использованы для анализа и других целей. Сложность процесса маскирования данных зависит от конкретного случая, но при использовании правильных и протестированных инструментов не вызывает значительных трудностей. Обработка замаскированных данных позволяет получать релевантные результаты, при этом злоумышленники не смогут получить доступ к исходной информации и создать проблемы владельцам или субъектам первоначальной базы данных".
"Данные технологии весьма эффективны: они не просто ограничивают доступ к данным, а позволяют в десятки раз уменьшить поверхность атаки путем замены всей чувствительной информации на обезличенные во всех копиях продуктива. То есть даже если копия утечет - не страшно, в ней уже нет исходных данных, - уверен Али Гаджиев. - Конечно, на первых порах потребуется настройка решения и его встраивание в процессы непрерывной интеграции и развертывания ПО (CI/CD), что замедлит процессы выпуска разрабатываемых продуктов в продуктивную эксплуатацию, но качественная система по маскированию поможет автоматизировать подготовку тестовых данных и уменьшить Time2Market уже после первого года использования".
Руководитель направления сервисов защиты облачного провайдера "Нубес" (Nubes) Александр Быков предупреждает, что эффективность технологий маскирования достигается при достижении определенных условий: "Технологии обезличивания данных, безусловно, эффективны. Однако важно правильно настраивать соответствующие решения. Они должны быть конфигурированы таким образом, чтобы маскированные данные в случае их утечки не смогли стать ключом к компрометации настоящих. Также стоит иметь в виду, что использование маскирования может снизить удобство интеграции новых информационных систем, а также затруднить передачу данных из одной системы в другую внутри компании или при передаче в партнерские системы. Кроме того, обезличивание и восстановление исходных данных дополнительно нагружает информационную систему, но обычно это не усложняет работу".
Александр Черный напоминает, что удобство и быстродействие технологий маскирования очень сильно зависит от применяемого метода: "Роскомнадзор в методических рекомендациях определил четыре метода обезличивания персональных данных (ПДн): метод введения идентификаторов, метод изменения состава или семантики, метод декомпозиции и метод перемешивания. Каждый из них обеспечивает свой набор свойств обезличенных ПДн, например, полноту, структурированность, анонимность и т.д. Таким образом, в зависимости от поставленной задачи организация путем определения необходимых ей итоговых свойств обезличенных ПДн может выбрать подходящий и наиболее эффективный для выполнения данной задачи метод обезличивания".
Алексей Обухов назвал технологии очень эффективными, в том числе против очень многих технологий деанонимизации, на которые ссылаются скептики. Но при этом он обратил внимание, что использование технологий маскирования может быть неудобным, особенно для разработчиков, поскольку искажает данные тестирований из-за того, что реальные данные могут заменяться однотипными символами.
"Основной минус деперсонализации заключается в том, что крайне сложно "сшить" данные, полученные из разных источников. Более того, в результате ряд ценных данных оказывается непригодным для дальнейшего анализа. И эта проблема касается не только ретейла, массовых сервисов, но социально значимых направлений - например, медицины", - прокомментировали потенциальные сложности при использовании технологий маскирования данных в пресс-службе Angara Secutity.
Максим Пеньков видит потенциальные сложности при внедрении обезличивания в том, что требуются изменения в бизнес-процессах компаний и устоявшихся алгоритмов работы: "Трудность кроется в том, что внедрение инструментов обезличивания данных требует изменений в сложившихся бизнес-процессах. Как правило, компании, обратившиеся к вендорам с соответствующим запросом, не готовы к принципиальным изменениям существующих алгоритмов работы, замедляя тем самым достижение первоначальных целей".