Статья

Как защитить информацию в базе данных

Безопасность Российское ПО
мобильная версия
, Текст: Павел Притула

Возрастающие убытки бизнеса, законодательство и стандарты ИБ требуют снижать риски утечек корпоративной информации и персональных данных, в том числе из баз данных. В свете сложившейся обстановки и общего курса на импортозамещение добавляется еще один критерий – снижать риски необходимо за счет применения систем защиты, созданных на основе отечественного ПО и сертифицированных алгоритмов шифрования.

Практически все современные корпоративные информационные системы, а также мобильные и веб-сервисы массового назначения построены с использованием баз данных. Информация, хранящаяся в них, становится все более ценной и желанной добычей как для хакеров, так и для собственных сотрудников.

В силу своей распространенности и повсеместного использования современные СУБД подвергаются внушительному количеству атак. Самыми значимыми из списка угроз являются те, которые приводят к утечке важной, конфиденциальной или критической информации.

Беспечность менеджеров и служб ИБ может дорого обойтись

Похищенные данные используются как средство конкурентной борьбы, шантажа и политического давления. А банальная продажа конфиденциальных сведений о гражданах и юридических лицах уже давно стала отдельной отраслью теневой экономики.

Говорить о том, что большинство современных СУБД никак не защищены, нельзя. Это неправда: вопрос в деталях, методах и способах защиты. Так, для обеспечения ИБ самого сервера СУБД разработаны стандарты защиты, а на рынке представлен ряд решений, реализующих их на практике. «А вот с защитой конфиденциальной информации, обрабатывающейся и хранящейся в базах данных, дело обстоит значительно хуже. В силу повышенной сложности процесса, внушительных объемов хранящейся информации, а также высокой загрузки баз данных вопросы защиты непосредственно информации зачастую обходятся стороной. Многие менеджеры пытаются сэкономить на этом, полагая, что утечка информации может произойти откуда угодно, но только не из этой конкретной компании», – уверен Денис Суховей, директор по развитию бизнеса направления баз данных компании «Аладдин Р.Д.».

К чему эта уверенность привела, теперь прекрасно знают в американской компании Avid Life Media, которой принадлежит несколько сайтов знакомств с аудиторией в 50 млн пользователей. В их числе – ныне печально знаменитый Ashleymadison.com, на котором женатые и замужние мужчины и женщины заводили новые знакомства для измены своему супругу.

Хакеры известной группы The Impact Team, движимые моральными и этическими мотивами, 20 июля 2015 г. взломали информационную систему ресурса и похитили из базы данных 37 млн аккаунтов. После этого злоумышленники выложили в открытый доступ почти 10-гигабайтный архив с данными о 32 млн человек для всеобщего обозрения. Как оказалось, владельцы ресурса решили сэкономить именно на средствах шифрования информации в базе данных...

Системный администратор: от любви до ненависти – один шаг

Похищают информацию не только хакеры. Этим неблаговидным делом занимаются и собственные сотрудники компаний, из них особую опасность могут представлять потерявшие лояльность к своей организации системные администраторы. В нынешнее кризисное время это далеко не редкость.

Так кто же обычно имеет доступ к базе? Во-первых, для поддержания бизнес-процессов доступ должен быть предоставлен тем сотрудникам, которые должны собирать, обрабатывать, хранить, а также передавать контрагентам конфиденциальные данные.

В крупных корпорациях таких людей может быть несколько тысяч человек. Уследить за всеми просто физически невозможно. А если есть недочеты в системе идентификации и аутентификации или она попросту отсутствует, то доказать, что инцидент связан с конкретным сотрудником, далеко не всегда возможно. Мало ли кому могли стать известны его логин и пароль!

Во-вторых, с базой данных работают технические специалисты и системные администраторы. Им по долгу службы приходится иметь дело с внутренними компонентами базы данных, ее резервными копиями, журналами логов и т.д. Что-то скопировать и подчистить следы после себя, даже под прицелами камер внутреннего наблюдения, таким нечистым на руку сотрудникам особенного труда не составляет.

Почему так происходит? Системные администраторы СУБД – это «суперпользователи», то есть те люди, которые имеют максимальный уровень привилегий и прав доступа к любой информации, хранящейся в базе данных. Требуется что-то более надежное, чем «контролер» над каждым системным администратором. Более того, использование специальных средств контроля действий администратора – это ложный и очень сложный путь в решении задачи предотвращения утечки данных из СУБД. Решение должно быть простым, понятным и недорогим. Специалисты полагают, что единственным решением, которое реально может защитить информацию от «суперпользователей», является шифрование данных внутри СУБД.

Законодательство не дает расслабляться

Решать проблему утечек информации из баз данных заставляет и законодательство. Во-первых, это ФЗ-153 «О персональных данных» от 27 июля 2006 г. с изменениями и дополнениями, которые вступили в силу с 1 сентября 2015 г.

Нововведения в основном коснулись ограничения места хранения личных данных о россиянах. Теперь эта информация может храниться и обрабатываться сугубо на территории России. Те организации, которые имеют необходимость владения персональными данными о гражданах России, обязаны размещать свое оборудование на территории этого же государства.

Владимир Герман, начальник отдела информационной безопасности Фонда «Центр инноваций и информационных технологий» при Федеральной Нотариальной Палате, делится своим мнением: «В России действует немало иностранных компаний и банков, которые используют для своей работы централизованные информационные системы, развернутые в штаб-квартирах, выполняя в РФ по сути функции филиалов для работы с клиентами. Теперь им придется решать, уходить им с российского рынка или выполнять требования закона».

Во-вторых, при выборе ПО для построения систем ИТ и ИБ придется выполнять Постановление Правительства № 1236 от 16 ноября 2015 г. Оно устанавливает запрет на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд.

Но, как известно, отечественный бизнес предпочитает перестраховаться, чем потом «попасть под раздачу» в случае дальнейшего изменения законодательства. Поэтому крупный частный бизнес в РФ воспринял это Постановление для госструктур как сигнал к самим себе.

И, наконец, существуют государственные и отраслевые нормативные документы, например, ФСТЭК России или Центрального Банка РФ. В них четко прописаны требования к защите данных от утечек, в том числе из баз данных. Никто не отменял и требования международного стандарта PCI DSS для систем, использующих банковские карты.

Шифрование и многофакторная аутентификация требуют к себе внимания

Возрастающие убытки бизнеса, законодательство и стандарты ИБ требуют снижать риски утечек корпоративной информации и персональных данных, в том числе из баз данных. В свете сложившейся обстановки и общего курса на импортозамещение добавляется еще один критерий – снижать риски необходимо за счет применения систем защиты, созданных на основе отечественного ПО и сертифицированных алгоритмов шифрования. Какие подходы и решения могут предложить отечественные разработчики средств безопасности?

Прежде всего, следует обратить внимание на такую технологию, как защита баз данных путем шифрования. Она позволяет существенно снизить риски несанкционированного просмотра и изменения со стороны неуполномоченных на то пользователей, в том числе администраторов баз данных и системных администраторов. Дополнительным плюсом этого подхода является определенное упрощение задач защиты информации, так как отпадает необходимость создания VPN-соединения между пользователем и сервером СУБД. Передача данных в зашифрованном виде исключает утечку при ее передаче.

Какие подходы и решения могут предложить отечественные разработчики средств безопасности?

Дополнительный уровень безопасности придает и использование многофакторной аутентификации всех пользователей при помощи аппаратных электронных ключей на базе токенов и смарт-карт. Теперь каждый пользователь сможет работать в системе только под своим именем, а безнаказанно проводить действия, противоречащие политикам безопасности, у него просто не получится.

В следующей статье будет рассмотрено, что именно в базах данных следует шифровать, какие криптографические алгоритмы подходят для этих целей и насколько просты и удобны решения в установке и в работе.

Татьяна Ведешкина