Мы наблюдаем на рынке рост интереса к теме защиты данных. В том числе он обусловлен непрекращающимся потоком утечек информации ограниченного доступа. По данным Infowatch, в первой половине 2023 г. утекло более 700 млн записей, содержащих персональные данные, — это на 74% больше, чем за аналогичный период 2022-го. Также эксперты отмечают рост интереса злоумышленников к сведениям, содержащим коммерческую и государственную тайну, — доля последних в российских утечках 2023 г. превысила 30%.
Сложившаяся ситуация вызвала повышенное внимание к теме со стороны государства и регуляторов. В январе 2023 г. вышло поручение президента о необходимости ужесточения штрафов за утечки данных. Оно трансформировалось в законопроект об оборотных штрафах: можно с уверенностью сказать, что именно он стал одной из самых обсуждаемых тем 2023 г. в ИБ-сообществе.
Кроме того, повышенный интерес к вопросу защиты данных со стороны участников рынка обусловлен технологическими трендами. За последние несколько лет инфраструктура данных среднестатистической крупной компании эволюционировала и экспоненциально выросла. Сегодня это большой и динамично меняющийся организм, который содержит сотни терабайт разнородных, но связанных между собой данных. Вокруг этой инфраструктуры строятся целые конвейеры (Data Pipelines) и сложнейшие бизнес-процессы, многие из которых являются критичными для решения операционных, тактических и даже стратегических задач. Более того, компании создают отдельные департаменты (Positive Technologies не исключение), основная задача которых — построение культуры и процессов управления данными (Data Governance). В этом контексте задача по обеспечению защиты данных становится бизнес-критичной.
Новый запрос и vs традиционные решения
Трансформация инфраструктуры данных породила запрос на изменение средств и методов ее защиты. Растет потребность в комплексной безопасности: какой бы большой, сложной и динамичной ни была инфраструктура, компаниям важно в реальном времени получать ответы на четыре вопроса:
- Сколько в инфраструктуре данных прямо сейчас, где они находятся и как связаны друг с другом?
- Где хранятся чувствительные данные, за которыми нужен более пристальный контроль?
- Кто имеет доступ к этим данным и как его разграничить?
- Кто и как обращается к чувствительным данным, как предотвратить зловредные запросы?
Существующие инструменты защиты данных оказались не готовы к новым вызовам, поскольку создавались задолго до трансформации инфраструктуры и для решения конкретных задач. Одни — для мониторинга обращений к БД; другие — для контроля действий пользователей в файловых хранилищах; третьи — для маскирования чувствительных данных и последующей передачи командам разработки и тестирования. Кроме того, подобные инструменты не учитывают контекст, в котором живут данные: их жизненный цикл, связи, связанные бизнес-процессы и т.д.
Чтобы выстроить комплексную защиту современной инфраструктуры за счет классических инструментов, придется внедрить множество разнородных решений. Для этого потребуются не только большие финансовые вложения, но и существенные трудозатраты со стороны сотрудников компании. Им нужно будет самостоятельно поддерживать и интегрировать решения как между собой, так и в другие внутренние процессы. Как правило, при таком подходе невозможно обеспечить качественное покрытие инфраструктуры, собирать актуальную информацию в любой момент времени и, в конечном счете, получить ответы на четыре поставленных вопроса.
Data Security Platform: новый запрос vs и новое решение
Необходимость трансформации подходов к защите данных нашла отражение не только в России, но и на глобальном рынке. Об этом пишут разные аналитические агентства (например, KuppingerCole и Forrester), а Gartner уже обозначили новый класс решений — Data Security Platform (DSP) (см. рис. 1).
Идея Data Security Platform заключается в унификации подхода работы с данными — как бы они ни выглядели и где бы ни находились. Решения этого класса призваны работать в современной гетерогенной инфраструктуре любого масштаба и предоставлять единый интерфейс для решения целого комплекса задач:
- Инвентаризация инфраструктуры данных. Real-time мониторинг состояния инфраструктуры, обнаружение новых элементов, а также изменений в структуре и конфигурации уже существующих.
- Классификация данных по уровню чувствительности. Категорирование данных по уровню критичности для бизнеса: например, сведения, составляющие коммерческую тайну, чувствительные персональные или платежные данные клиентов.
- Анализ и разграничение доступа к данным. Анализ текущей матрицы доступов к чувствительной информации, выявление недостатков, предоставление инструментов для разграничения и выстраивания принципа минимальных привилегий (least privilege).
- Мониторинг обращений к данным со стороны пользователей. Логирование запросов к данным со стороны пользователей, обнаружение и предотвращение аномальной и зловредной активности.
Как результат — Data Security Platform помогает оптимизировать затраты на приобретение и поддержку средств защиты данных, обеспечивает эффективное управление механизмами ИБ и существенно упрощает работу специалистов.
Рынок Data Security Platform
В мире пока нет полноценных решений класса DSP, однако крупные производители уже движутся в эту сторону. Мировые лидеры сегмента защиты данных подхватили тренд и активно наращивают функционал своих решений, чтобы превратить их в унифицированные системы. Например, компания Imperva добавила в свои продукты возможность работы с файловыми хранилищами, облачными сервисами и другими источниками и реализует собственную концепцию Data Security Fabric. Мы тоже видим запрос со стороны наших клиентов и планируем двигаться в направлении DSP.
Как защитить данные, собранные в 1000 информационных систем: опыт «Магнита»
У нас более 1000 информационных систем: около 700 размещены в продуктивной среде, остальные развернуты в тестовых. Объем обрабатываемых данных составляет несколько десятков петабайт. Критичной для бизнеса, к примеру, считается следующая информация: коммерческие условия (т.е. закупочные цены и т.д.), данные о потенциально выгодных локациях для открытия торговых точек, предстоящие акции и продажи. Кроме того, с точки зрения закона мы обязаны уделять особое внимание персональным данным наших клиентов и сотрудников. Защита информации является одним из приоритетов моей деятельности. Мы прикладываем максимум усилий, чтобы обеспечить надежность внутренних ИС, обезопасить данные клиентов и сотрудников нашей компании.
У нас есть запрос на комплексный сервис, который объединит все необходимые нам инструменты защиты данных в рамках единого окна и позволит использовать единые политики безопасности для разного класса событий. Это значительно сократит трудозатраты на регулярное формирование/обновление политик и правил безопасности в различных инструментах.
Защита конфиденциальной информации делится на два больших этапа. На первом мы с помощью политик безопасности контролируем обращения к БД и неструктурированным данным, также дополнительно включаем точечный контроль за критичными показателями, по которым контролируется каждое подключение. Это происходит с помощью средств защиты, в которые идет копия трафика со всех ИС, обрабатывающих и хранящих пользовательские и конфиденциальные данные. Второй этап — контроль пограничного периметра (когда информация выходит за пределы компании). Все это обеспечивают три класса систем защиты: Database Activity Monitoring (DAM), Data Centric Audit and Protection (DCAP) и DLP.
Мы регулярно проводим различные мероприятия, направленные на снижение инцидентов в области ИБ. Они связаны с внедрением новых технологических решений, проведением внутренних и внешних проверок, автоматизацией процессов.
Отмечу, что нам приходится использовать сразу несколько независимых решений, чтобы обеспечить эффективную защиту данных. Причем для каждого из этих инструментов мы с нуля пишем политики безопасности, создаем системы классификации и т.д. (из-за особенностей ИТ-ландшафта мигрировать наработки невозможно). Соответственно, у нас есть запрос на унифицированное решение — комплексный сервис, который объединит все необходимые нам инструменты в рамках единого окна.
Мы ведем системную работу в области защиты персональных и конфиденциальных данных. Осуществляем мониторинг информационных систем в части корректной обработки этих данных, контролируем обращения и права доступа к ним, а также на регулярной основе проводим обучение сотрудников для предотвращения инцидентов.