Защита персональных данных вышла на первый план как для бизнеса, так и для государственных органов в 2022 г. В нашем распоряжении всё ещё нет на 100 % надёжных способов сохранить конфиденциальность сведений в корпоративных базах данных. На них регулярно совершаются хакерские атаки, да и утечки по вине сотрудников тоже нередки.
Поэтому российские организации стремятся как можно скорее найти решения, снижающие риск утечек и взломов. Давайте послушаем Максима Кутузова, коммерческого директора Платформы Сфера (Группа Т1), который в интервью «Ъ» описал свой вариант обезличивания информационных баз с целью увеличения сохранности сведений о клиентах.
В прошедшем году было совершено рекордное количество атак злоумышленников на IT-инфраструктуру. «Лаборатория Касперского» сообщает о 168 случаях обнародования баз данных российских фирм, общее число записей в которых перевалило за два миллиарда.
Это стало одной из причин настороженности российских пользователей: исследование ВШЭ показало, что россияне опасаются цифровизации из-за риска передачи их личных сведений подозрительным третьим лицам или их распространения незаконными способами. 84 % пользователей испытывают абсолютное бессилие во всём, что касается контроля за персональными данными в интернете. Более 50 % опрошенных действительно боятся, что их данные будут украдены.
Персональные данные входят в число сведений, защищаемых максимально тщательно. Но иногда они всё же оказываются скомпрометированы. К примеру, если доступ к ним получили подрядчики, которым эти базы были необходимы для работы, либо распределённые команды программистов, то становится проще украсть эти сведения: атака ведётся на среду тестирования или разработки.
Обезличить, чтобы сохранить
Чтобы ценная информация оставалась в безопасности, можно применить старый проверенный способ: обезличить в базе те сведения, которые критически важны, если работать с ними будет широкий круг лиц. Ограничение доступа к особо чувствительной информации позволяет строго контролировать её использование.
По словам Максима Кутузова, коммерческого директора Платформы Сфера (Группа Т1) , обезличивание происходит так: делают копию настоящей БД, в которой лежат имена пользователей, их телефоны и адреса, реквизиты банковских карт, данные паспортов и ИНН, сведения, составляющие медицинскую тайну, и т. д. Затем, чтобы изменить персональные данные, их либо шифруют, либо частично подменяют или удаляют, либо перемешивают в них символы.
Надёжность и качество обезличивания данных оцениваются, в первую очередь, по невозможности восстановить исходники. Этому критерию практически в полной мере соответствует FPE-шифрование: из десятибуквенного русского слова после кодирования получается другое десятибуквенное русское слово. Однако, владея алгоритмом и ключом к шифру, злоумышленники всё-таки могут восстановить исходные данные, и это является единственной уязвимостью этого метода. В связи с чем меры защиты усиливают: понижают размерность алфавита, не употребляют некоторых букв, и т. д. Пример — продукт Сфера.Обезличивание данных.
Он входит в число 40 других модулей Платформы Сфера, созданной Группой Т1, которая разрабатывает, тестирует, поддерживает и эксплуатирует технологические продукты. Модулем Сфера.Обезличивание можно легко заменить аналогичные инструменты в продуктах западных технологических корпораций — Datprof, Informatica, Vector, IBM и т. д.
Целостность шифруемой информации не нарушается, данные остаются вполне читабельными. К примеру, алгоритмы Платформы.Сфера, по словам её авторов, способны различать и сохранять при обработке различные варианты ФИО: написанные целиком или только с инициалами.
Поэтому с помощью копии БД можно вполне успешно обучать персонал, тестировать ПО, проверять работоспособность систем. Как утверждает Максим Кутузов, «Фактически сотрудник компании или подрядной организации оперирует с той же базой, но без возможности скомпрометировать реальные данные».
Данные под защитой нейросетей
Если задействовать искусственный интеллект, то технология, предназначенная для защиты и обмена информацией, станет ещё эффективнее. Крупные компании владеют множеством отдельных баз данных суммарной ёмкостью на тысячи терабайт, и в целом их IT-ландшафт весьма запутан. Поэтому не так-то просто найти и замаскировать чувствительную личную информацию. Но ИИ справляется с этим.
Алгоритмы нейросети, обучившись на огромных наборах данных, способны найти и выявить персональные сведения, подлежащие усиленной защите. У Сферы.Обезличивание есть возможность распознавать сведения более чем 35 разных типов.
М. Кутузов акцентирует внимание на том, что «...в крупной финансовой организации сотни IT-систем, в которых используются тысячи баз данных: они есть у каждого банковского продукта, будь то ипотечный кредит или накопительный счет. Обеспечить эффективную защиту в таких условиях можно, только создав фильтр, через который будут проходить все сведения перед передачей за корпоративный периметр. Для крупных финансовых организаций внедрение системы обезличивания данных — единственная возможность решить задачу быстро и качественно».
Проект Сфера.Обезличивание появился, когда коллектив Группы Т1 трудился над реализацией заказа от крупного банка. Этот продукт был протестирован в банковских приложениях с высокой нагрузкой и теперь стал доступен для всех: бэкграунд его таков, что отрасль может быть любой.
Практическое обезличивание
Идея о том, что данные нужно делать анонимными, вовсе не нова. IT-компании, занимающиеся разработкой, ещё десяток лет назад начали использовать программы, решающие задачу автоматического выявления чувствительной информации и её обезличивания без возможности дешифровки. В частности, подобные решения, гарантирующие бесперебойность в бизнес-процессах, предлагались зарубежными вендорами Ataccama и Informatica, говорит Максим Кутузов.
Этими разработками охотно пользовались на постоянной основе многие крупные российские фирмы, в первую очередь — финансовые организации. Когда в 2022 г. грянули санкции и западные вендоры ушли с отечественного рынка, стала очевидна острая потребность в замене их продуктов местными разработками, причём чем скорее, тем лучше.
Ряд компаний начал разрабатывать такое ПО собственными силами. М. Кутузов комментирует эту тенденцию так: «Нередко крупные компании, имеющие внутри большие IT-команды, запускают создание системы обезличивания, но тысячи человеко-часов и миллионы рублей затрат не являются гарантией хорошего результата».
У этих предприятий есть одно важное преимущество: огромный опыт внедрения и использования таких продуктов, причём на больших массивах информации. Поэтому есть надежда на то, что скоро в этой нише появятся конкурентоспособные инструменты обезличивания.
Максим Кутузов утверждает, что и промышленные, и финансовые корпорации в России уже давно защищают персональные данные посредством обезличивания. В этой технологии нуждаются, прежде всего, руководители команд разработки, аналитики и все, кто использует централизованную систему управления задачами в своей работе.
