Не переходя на личности
Обезличивание помогает компаниям снизить риски утраты данных
В 2022 году сохранность персональных данных оказалась одним из приоритетов бизнеса и госсектора. И хотя по-прежнему нет гарантированного способа полностью обезопасить корпоративные информационные базы, которые подвергаются хакерским атакам или могут быть утрачены по вине сотрудников, российские компании в крайне сжатые сроки находят решения, минимизирующие риски утечек. Коммерческий директор Платформы Сфера (Группа Т1) Максим Кутузов рассказал “Ъ”, что представляет собой механизм обезличивания баз данных и как с его помощью повысить сохранность информации о клиентах.
Прошлый год стал беспрецедентным по числу атак на IT-инфраструктуру: специалисты «Лаборатории Касперского» зафиксировали 168 случаев публикации значимых баз данных российских компаний, содержащих более 2 млрд записей. Во многом из-за этого большинство россиян, согласно исследованию Высшей школы экономики, считают угрозу передачи персональных данных третьим лицам или их незаконное распространение главным риском цифровизации. При этом 84% граждан ощущают себя бессильными, когда речь идет о контроле личной информации в сети, и свыше половины респондентов опросов опасаются кражи данных.
Эти сведения находятся под максимальной защитой, однако в ряде случаев информация может быть скомпрометирована. Например, такое может произойти из-за того, что доступ к персональной информации получают сотрудники подрядных организаций, которые оперируют базами данных, или распределенных IT-команд: это делает сведения более легкой добычей при атаке на среды разработки или тестирования.
Обезличить, чтобы сохранить
Один из способов обезопасить ценную информацию — обезличивание критически важных сведений в базах данных, если работа с ними требуется широкому кругу лиц. Таким образом сокращается и жестко контролируется доступ к чувствительной информации.
В процессе обезличивания, объясняет коммерческий директор Платформы Сфера (Группа Т1) Максим Кутузов, создается копия реальной базы данных, содержащей, например, ФИО, номера банковских карт, ИНН и паспортные данные, медицинские сведения, адреса и номера телефонов. При этом в персональные данные вносятся изменения одним из способов: с помощью шифрования, перемешивания символов или значений, удаления или подмены части информации.
Одним из главных критериев качества и надежности обезличивания является невозможность восстановить исходные материалы. FPE-шифрование (при котором на выходе сохраняется формат введенной информации, то есть русскоязычное слово из восьми букв после кодировки будет русскоязычным словом из восьми букв) практически полностью решает эту задачу. Остается единственная «лазейка»: если злоумышленник знает ключ и алгоритм шифрования, он может восстановить исходную информацию. Поэтому, например, в продукте Сфера.Обезличивание данных действенность этого типа защиты усилена: при создании обезличенных данных не используются некоторые буквы, и понижение размерности алфавита делает дешифровку невозможной.
Сфера.Обезличивание данных — один из 40 модулей, включенных в Платформу Сфера. Эта разработка Группы Т1 обеспечивает полный цикл создания технологических продуктов, их тестирования, эксплуатации и поддержки. Модуль Сфера.Обезличивание данных достаточно просто заменяет соответствующие по функциональности инструменты в решениях таких западных компаний, как IBM, Informatica, Vector, Datprof и другие.
При этом сами данные остаются легко читаемыми, их целостность сохраняется. Например, поясняют эксперты Платформы Сфера, алгоритм распознает варианты написания ФИО — полные или с инициалами — и сохраняет их при обработке.
Благодаря этому копия базы данных может использоваться для проверки работоспособности систем, тестирования программного обеспечения или обучения персонала. «Фактически сотрудник компании или подрядной организации оперирует с той же базой, но без возможности скомпрометировать реальные данные»,— говорит Максим Кутузов.
Данные под защитой нейросетей
Действенность технологии, способствующей безопасному обмену информацией, повышается использованием искусственного интеллекта. У крупного бизнеса сложно устроенный IT-ландшафт со множеством разрозненных баз данных, общая емкость которых зачастую превышает тысячи терабайт. Это не позволяет быстро находить и маскировать персональные данные. На помощь человеку приходит искусственный интеллект.
Обученные на больших массивах информации, алгоритмы нейросети ищут и классифицируют персональные данные самостоятельно. Например, продукт Сфера.Обезличивание данных распознает свыше 35 типов сведений.
«Если в системе обезличивания применяются технологии машинного обучения, это экономит время на поиск критической информации и минимизирует риск упустить что-то важное. Когда пользователь открывает для системы базы данных, встроенная нейросеть сама найдет все персональные данные и выполнит с ними необходимые действия»,— подчеркивает Максим Кутузов.
По оценке экспертов Группы Т1, задействование искусственного интеллекта приводит к сокращению до 90% временных затрат специалистов по информационной безопасности на профилирование данных для дальнейшего обезличивания. Это доказано на реальных кейсах.
«Например, в крупной финансовой организации сотни IT-систем, в которых используются тысячи баз данных: они есть у каждого банковского продукта, будь то ипотечный кредит или накопительный счет. Обеспечить эффективную защиту в таких условиях можно, только создав фильтр, через который будут проходить все сведения перед передачей за корпоративный периметр. Для крупных финансовых организаций внедрение системы обезличивания данных — единственная возможность решить задачу быстро и качественно»,— уверен Максим Кутузов.
Сфера.Обезличивание данных сформировалась именно при выполнении командой Группы Т1 проекта для крупного банка. Прошедший испытание в высоконагруженных банковских приложениях, сейчас он доступен для российского рынка. Однако бэкграунд решения позволяет использовать его во многих отраслях.
Практическое обезличивание
Сама идея необходимости обезличивания данных не нова. Для бизнеса, который занимался собственной разработкой, еще десятилетие назад стали появляться продукты, упрощающие этот процесс. Так, например, решения западных вендоров Informatica или Ataccama позволяли автоматически выделять чувствительную информацию, обезличивать данные без возможности восстановления, а также гарантировать бесперебойность рабочих процессов, рассказывает Максим Кутузов.
Большинство крупных отечественных организаций, особенно компании из финансового сектора, использовали эти решения в своей ежедневной работе. В 2022 году из-за ухода с российского рынка западных вендоров и санкционных ограничений стало очевидно, что импортным продуктам необходимо найти отечественную замену и сделать это как можно быстрее.
Многие бизнес-игроки начали самостоятельную разработку утраченного ПО. «Нередко крупные компании, имеющие внутри большие IT-команды, запускают создание системы обезличивания, но тысячи человеко-часов и миллионы рублей затрат не являются гарантией хорошего результата»,— отмечает Максим Кутузов.
Преимуществом при создании конкурентоспособного продукта становится значительный опыт внедрения и эксплуатации подобных решений на больших данных. У ряда российских IT-разработчиков он есть, что позволяет ожидать, что ниша не будет долго пустовать.
На данный момент мировой рынок инструментов обезличивания, по разным оценкам, составляет от $500 млн до $600 млн со среднегодовым темпом роста более 12%, отмечают в Группе Т1. Детального исследования российского рынка обезличивания данных пока не проводилось, но, по экспертным оценкам, он уже превышает 2 млрд руб. в год.
По словам Максима Кутузова, обезличивание как способ защиты данных уже применяют компании в финансовом и промышленном секторах. Технология востребована в первую очередь аналитиками, лидерами команд разработки, сотрудниками, работающими с централизованной системой управления задачами и многими другими.