Захист великих даних – як правильно почати і мінімізувати можливі ризики?

Раніше серйозну інфраструктуру для зберігання та аналізу Великих даних (Big Data) могли дозволити собі тільки масштабні організації, наприклад, державні структури або великі підприємства. Сьогодні ж, по мірі того, як технології стають все більш доступними, великі дані знаходять все більш різноманітне застосування в самих різних областях. При цьому, як і у випадку багатьох інших нових технологій, розвиток великих даних не тільки відкриває можливості, але і пов'язане з численними труднощами, і багато організації задаються питанням, яким чином їм краще вчинити з нагромаджуваними даними?



Одна з найбільш складних завдань полягає в аналізі Великих даних з метою отримання загальної картини і ідей, що сприяють прийняттю більш оптимальних рішень та підвищення ефективності бізнесу. Замість того, щоб покладатися на аналіз, здійснюваний фахівцями, сучасні організації все частіше використовують технології машинного навчання та когнітивні технології, які часто дозволяють більш ефективно використовувати великі дані.

Джерела вразливості інформаційної безпеки
У доповіді Альянсу безпеки хмарних обчислень (Cloud Security Alliance), опублікованій під заголовком «Керівництво щодо забезпечення безпеки і конфіденційності великих даних: 100 передових практик» (Big Data Security and Privacy Handbook), повідомляється, що вразливості інформаційної безпеки визначаються різноманіттям джерел і форматів великих даних, потокової природою збору даних і необхідністю передачі даних між розподіленими хмарними інфраструктурами. Крім того, збільшення поверхні атаки сприяють і великі обсяги таких даних.

Іншими словами, ті самі атрибути, які фактично визначають Великі дані, і є тими факторами, які впливають на вразливість даних: великий обсяг, різноманіття джерел і форматів і швидкість їх передачі.

У пошуках балансу між доступністю і обмеженнями у доступі
Корисність і конфіденційність даних часто є взаємовиключними поняттями. Зрозуміло, якщо надати всім користувачам безкоштовний та вільний доступ до даних, то зацікавлені сторони будуть максимально повно і ефективно використовувати ці дані. Але це навряд чи можна назвати правильним рішенням. На щастя, можна досягти розумного балансу між наданням необхідного доступу до даних і обмеженням неавторизованого доступу.

Забезпечення безпеки та шифрування великих обсягів даних являє собою дуже непросту задачу. Згідно з індексом критичності витоків даних Gemalto 2015 Breach Level Index, сьогодні все більше організацій не здатні запобігти витоку даних і захистити свої інформаційні активи, незалежно від розмірів цих активів.

Автори «Керівництва щодо забезпечення безпеки та конфіденційності даних» стверджують, що «традиційних механізмів безпеки, призначених для захисту невеликих обсягів статичних даних, що знаходяться за міжмережевим екранами в полуизолированных мережах, вже недостатньо для захисту від сучасних загроз».

Рішення для забезпечення безпеки не повинні позначатися на продуктивності систем і не повинні призводити до затримок. Так чи інакше, висока швидкість доступу до даних є однією з ключових, визначальних характеристик Великих даних.

Захист особистої інформації
Найчастіше робота з великими даними передбачає обробку публічно доступних даних – наприклад, про характер дорожнього руху або статистичних даних про населення. Загальноприйнятим рішенням в цьому випадку є анонимизация даних. Але на жаль, цього недостатньо.

Точно так само, як і у випадку з ІТ-активами організацій, коли технології захисту периметра вже не в змозі забезпечити належний рівень безпеки, Великі дані вже «виросли» з тих прийомів, які застосовувались для захисту даних в самому початку розвитку цих технологій. Сьогодні анонимизация не забезпечує достатнього рівня безпеки, особливо на тлі появи все нових масивів даних, в результаті чого з'являється можливість поєднання цих наборів даних для вилучення особистої інформації. І, зрозуміло, анонимизация ніколи не була дієвим способом для захисту великих масивів пропрієтарних даних.

Тим не менш, в числі передових практик, згаданих в «інструкції...» CSA, наводиться необхідність виключити можливість вилучення персональних даних (de-identify). Вся інформація, що дозволяє встановити особу, (personally identifiable information, PII), у тому числі імена, адреси, номери страховок, і т. д. повинні бути приховані (mask), або видалені з цих даних.
Хоча сама по собі процедура деидентификации, в результаті якої з отриманих масивів даних неможливо отримати дані для встановлення особи, не є достатньою, вона може виявитися важливим і дієвим елементом більш масштабної стратегії безпеки.

Потреба в шифруванні великих даних
Хоча запобігання витоку як і раніше залишається одним з важливих елементів стратегії ІТ-безпеки, ця міра також не вирішує проблему повністю. Відповідно до індексу впевненості «2016 Data Security Confidence Index», незважаючи на зростаюче число витоків даних і понад 3,9 мільярдів вкрадених записів по всьому світу за останні три роки, дві третини ІТ-керівників передбачають можливість доступу неавторизованих користувачів до своїх мереж, однак при цьому керівництво не виділяє спеціальних засобів шифрування даних.

На основі досліджень, в «Індексі критичності витоків даних» (Gemalto Breach Level Index) сформульовані такі рекомендації: «Сучасна стратегія безпеки передбачає зміну парадигми мислення і включає впровадження рішень, що дозволяють контролювати доступ і аутентифікацію користувачів, забезпечувати шифрування всіх критичних даних, а також захищене управління та зберігання всіх ключів шифрування».

Як і щодо будь-якого іншого аспекту інформаційної безпеки, безпека великих даних повинна розуміти багаторівневий підхід для забезпечення максимальної ефективності. Безпеку слід розглядати у вигляді комплексу різних рівнів, який включає в себе не тільки зусилля, спрямовані на запобігання витоків, але і заходи, що дозволяють пом'якшити наслідки витоку.

Організаціям слід захищати дані, а не просто периметр, і все це повинно здійснюватися одночасно з заходами, спрямованими на забезпечення безпеки витоків, що передбачає як захист самих даних, так і захист користувачів, що працюють з цими даними. Крім того, організаціям слід передбачити захищене зберігання і управління всіма ключами шифрування, а також управління доступом і аутентифікацією користувачів.

Комплексний захист даних
Як ні сумно, якщо намагатися вибудовувати належний захист великих даних заднім числом, це може виявитися складніше, ніж якщо організувати таку захист з самого початку. Комплексна, всебічна захист передбачає не лише шифрування даних протягом їх життєвого циклу – під час зберігання і при переміщенні, а також їх захист з самого початку вашого проекту по роботі з Великими даними.

Сьогодні питання безпеки дуже часто відсуваються на другий план, ними займаються з небажанням, при цьому процедури безпеки сприймаються як дратує затримка при запуску нової програми або проекту. Але якщо з самого початку приділити цьому питанню належну увагу і реалізувати комплексну програму шифрування великих даних з декількома повними кільцями захисту, то це допоможе мінімізувати ризики для вашого бізнесу і позбавити вас від тих численних і неприємних наслідків, до яких можуть привести витоку даних – як користувачів, так і компаній.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.