Защита данных: маскирование и шифрование не одно и то же!

Защита данных сейчас – не только антивирусы и DLP-системы. Объёмы Big Data растут. Уже недостаточно охранять информацию от хакерских атак и утечек. Её нужно прятать – шифровать или маскировать, чтобы уберечь от использования злоумышленников. Ришу Гарг, инженер в Informatica, рассказывает о том, зачем нужно прятать данные и чем маскирование отличается от шифрования. Если вы считаете, что защита данных не нужна вашей компании, читайте другую статью блога.

Главное различие – обратимость

Несомненно, между маскированием и шифрованием много сходства. А оптимальной защиты данных можно добиться, только если использовать их совместно. Часто даже специалисты в области защиты данных считают шифрование разновидностью маскирования. Что ещё хуже, есть те, кто считает, что это одно и то же. Но, по сути, это два разных с технической точки зрения процесса.

Для шифрования большую роль играет обратимость процесса. Для маскирования обратимость –недостаток. Ни при каких условиях пользователь не должен видеть первоначальную информацию, которая была замаскирована. Если маскируете данные, процессы редактирования (фрагментирование данных, скрывание или удаление) важных элементов дата-сета необратимы.

Ключ от шифра, где данные лежат

Шифрование данных – трансформация информации с помощью шифра в нечитаемый набор знаков. Восстановить её можно, только использовав ключ и соответствующий алгоритм. Этот метод широко применяется, чтобы защитить файлы на локальных дисках, дисках сети или облака, сетевых коммуникаций или для того, чтобы защитить интернет-траффик и почту.

Нет доступа? Увидишь фейковые данные

При маскировании информация не шифруется. Элементы данных прячутся не ото всех, а только от пользователей, чьи роли не подразумевают доступа к ним. Эти элементы заменяются искусственно сгенерированными данными. Они выглядят как настоящие и соответствуют требованиям систем тестирования и требованиям работы с маскированными результатами. Гарантируется, что важные части персональной информации (например, номер паспорта или полиса) скрыты совсем или по ним нельзя идентифицировать владельца данных.

По сути, формат данных остаётся исходным. Шифровальных ключей не нужно. По мере изменения правил безопасности и должностных обязанностей пользователя, меняются и элементы информации, к которой у него есть доступ.

Динамическое маскирование может трансформировать данные «на лету», в реальном времени. Этот метод часто используется для того, чтобы обезопасить транзакционные системы. Он значительно ускоряет скрытие данных.

Защита данных с помощью маскирования более надёжна, чем шифрование. Даже самые лучшие системы шифрования можно взломать (качественные – через миллионы лет). Замаскированные данные нельзя размаскировать. Такие данные не содержат никаких отсылок к первоначальной информации, а значит они совершенно бесполезны для злоумышленников. Напоминаю, маскирование не требует обратимости. Мы можем отойти от принципов 1 к 1 и однозначности. А это обеспечивает ещё лучшую защиту данных.

Что выбрать для оптимальной защиты данных?

Обе технологии сравнительно просто применять, когда вы знаете, что и как делать. Обе они нужны, чтобы обеспечить защиту данных компании, а значит, и её репутации, и клиентской лояльности.

Используйте шифрование, если нужна защита данных в продуктивной среде от неавторизованного доступа, но данные важны в своём текущем контексте. Шифрование часто используется для защиты данных при их трансфере между компьютерами или сетями.

Маскируйте – если нужно использовать данные продуктивной среды в тестовой, где реальное содержание данных не имеет значение. Также этот метод подходит, когда чувствительная информация проходит через много рук, если с ней работают сотрудники на аутсорсинге, удалённые сотрудники, подрядчики и так далее.

Читайте о том, как ПАО «Вымпелком» маскирует чувствительные данные с помощью Informatica Dynamic Data Masking, а Сбербанк – с помощью Test Data Masking.