DevOps и CISO на заметку - маскирование данных зачем и когда применяется | Infognito

#itsecurity #softprom #infognito

Для разработчиков реальные данные важны для внесения изменений в код, тестирования новых функций и повседневной работы, но любой директор по информационной безопасности будет настаивать на том, что конфиденциальные данные не могут быть предоставлены никому, даже самому надежному разработчику. Потому что это может привести к утечке информации и, как следствие, к серьезным последствиям для компании. Чтобы сохранить паритет и сделать условия для ИТ-отдела максимально комфортными, Софтпром включил в свой портфель решение от израильской компании Infognito, позволяющее «на лету» маскировать любой объем данных.

Содержание статьи:

1.Маскировка данных - зачем она нужна

2.Маскировка - не равно шифрование

3.Infognito - как работает маскировка

4. Какие алгоритмы используются для искажения и маскировки данных

5.Переходим к самому главному - области применения маскировки

Маскировка данных - зачем она нужна

В процессе разработки, тестирования или обновления программного обеспечения часто используются публичные облачные сервисы, которые не обладают высоким уровнем защиты и в 99% случаев не соответствуют требованиям регуляторов, устанавливающих стандарты в области персональных данных. защита. Кроме того, к тестированию часто привлекаются сторонние компании, и передача реальной деловой информации таким подрядчикам совершенно недопустима.

Выход есть - маскировка личных данных. Использование искаженных наборов данных или части базы данных может привести к тому, что при работе с реальными данными программное обеспечение станет неработоспособным по многим причинам, например, количество записей в базе данных намного больше, чем протестировано, или поля для «цифр» заполнились «буквами» и так далее. Несоответствия на этапе внедрения потребуют дополнительной доработки, а это дополнительные затраты, как финансовые, так и временные. Таким образом, Infognito решает сразу две задачи: защищает информацию и оперативно предоставляет ее внутренним и внешним командам.

Маскировка - не равно  шифрование

На первый взгляд может показаться, что маскирование и шифрование - эквивалентные методы защиты конфиденциальных данных, а шифрование - это частный случай маскирования. Часто люди, недостаточно знакомые с областью информационной безопасности, связывают эти концепции друг с другом. Между тем, замаскированные данные не могут быть возвращены к их исходному значению, и любой зашифрованный код можно расшифровать с помощью соответствующих ключей или хороших алгоритмов Brute force (Брутфорс) и большего времени.

Другое дело - замаскированные данные, полученные на выходе - они не содержат исходных данных. Например, два результата процесса маскирования дадут разные выходные результаты. Благодаря такому подходу замаскированные данные можно безопасно передавать внешним и внутренним командам, не опасаясь утечек и огласки. Маскирование - эффективный метод защиты ваших данных. А иногда даже способ предотвратить утечки через инсайдерские каналы (подробнее об этом в другой раз).

Как работает маскирование с помощью Infognito

Есть разные подходы к маскировке. Они могут использовать как разные методы, так и разные схемы хранения данных, включая обогащение исходных данных для нужд тестирования. В этом 3-минутном видео BDM от Softprom Роман Вельбовец расскажет, как работает маскирование в Infognito.

Какие алгоритмы используются для искажения и маскировки данных

Теперь поговорим о методах самой подстановки значений. Infognito использует около 20 различных алгоритмов в зависимости от того, какая работа выполняется и какие характеристики данных необходимо сохранить. Например, когда речь идет о персональных данных, чаще всего используется метод псевдонимизации для объединения фамилии, имени и отчества. То есть система выбирает другую фамилию, а также меняет имя и отчество, сопровождая их новым идентификатором в системе. Таким образом, становится невозможным отнести данные к тому же лицу, которому они изначально принадлежали.

Такие записи, как номера счетов или кредитных карт, перемешиваются. Маскирование подразумевает получение случайных последовательностей с сохранением общих характеристик данных. Таким образом, вы также получите на выходе 16 цифр, но совершенно случайную последовательность. Они позволят вам протестировать программное обеспечение, которое работает с платежными данными, но не будет нарушать права клиентов и подвергать опасности их платежные активы.

Наконец, одним из самых популярных является метод обфускации или замены другими данными с сохранением функциональности, но затрудняющим анализ и понимание информации. Обфускация давно успешно применяется для маскировки программного кода с целью исключения возможности его анализа и кражи. Теперь «сбивающие с толку» данные используются и в целях тестирования. Примеры обфускации включают подстановку, смешивание, изменение числовых значений, редактирование / обнуление данных.

Каждое поле в исходной базе данных можно маскировать по-разному, в зависимости от ваших потребностей в тестировании и разработке. Вы можете потребовать от системы сохранения гендерной идентичности субъектов персональных данных или, например, не искажать их рост, ограничиваясь псевдонимизацией имени. Все зависит от того, как эти данные будут использоваться дальше. Infognito, как самая продвинутая система маскирования, также позволяет поддерживать согласованность полей значений друг с другом. Например, если вы замаскируете номер карты клиента, вы можете убедиться, что номер будет одинаковым для нескольких разрабатываемых продуктов, чтобы увидеть, распознают ли системы данного клиента одного и того же человека (в данном случае вымышленное лицо).

Переходим к самому главному - области применения маскировки

Грамотное внедрение системы маскировки данных позволяет решить сразу несколько задач. Во-первых, замаскированные данные можно безопасно передавать специалистам по разработке и тестированию. Во-вторых, они отлично подходят для выявления статистических закономерностей и передачи информации во внешние аналитические системы. В-третьих, хорошо настроенное динамическое маскирование создает у злоумышленников иллюзию доступа к реальным данным, помогая поймать злоумышленников, пытающихся украсть и опубликовать поддельные данные.

Сегодня, учитывая ужесточение нормативных требований, таких как GDPR, HIPAA или российский № 152-ФЗ, инструменты маскировки являются одним из необходимых компонентов для построения комплексной системы защиты конфиденциальных данных. Поэтому Softprom добавила решение Infognito в свой портфель дистрибуции, которое использует все типы маскировки при разработке и тестировании программного обеспечения для любых клиентов, чтобы сохранить конфиденциальность важной информации. Современные решения позволяют работать с различными базами данных, включая Oracle, Microsoft SQL Server, SAP (Sybase) ASE, PostgreSQL, MySQL и другие, а также с облачными сервисами, такими как Amazon AWS, SunGard, VMware Hybrid Cloud и так далее. Это позволяет обеспечить повсеместную защиту данных и создать комплексную инфраструктуру безопасности при взаимодействии с разработчиками, аналитиками и тестировщиками любого программного обеспечения.