BPM

17 000 руб On-Prem

Low-code BPM

для комплексной автоматизации

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

Операционные системы

5 280 руб.

BaseALT Альт Рабочая станция 10

архитектура 64 бит

СЭД

от руб.

Корпоративные мессенджеры

Стоимость по запросу

Тариф IVA One

Корпоративный портал

от 500 000 руб.

Российское решение

аналог Microsoft Sharepoint

IaaS

По запросу

По вашим правилам

Dedicated, SaaS/PaaS

  • IaaS

    от 490руб./мес

    VMware / ПО РФ

    SLA 99,95% Pay-as-you-go

  • Операционные системы

    5 280 руб.

    BaseALT Альт Рабочая станция 10

    архитектура 64 бит

  • СЭД

    от руб.

  • Корпоративные мессенджеры

    Стоимость по запросу

    Тариф IVA One

  • Корпоративный портал

    от 500 000 руб.

    Российское решение

    аналог Microsoft Sharepoint

  • IaaS

    По запросу

    По вашим правилам

    Dedicated, SaaS/PaaS

  • Low-code

    от 833 руб.

    Цифровая трансформация

    с ELMA365

  • Kubernetes

    от руб.

  • ВКС

    Стоимость по запросу

    Тариф IVA MCU

Low-code

от 833 руб.

Цифровая трансформация

с ELMA365

Kubernetes

от руб.

ВКС

Стоимость по запросу

Тариф IVA MCU

СЭД

от руб.

IaaS

По запросу

ФЗ-187, КЗ-1 ФЗ-152

УЗ-1, ГОСТ 57580.1

Kubernetes

от 5.51 руб/час

Kubernetes as a Service

Отказоустойчивые кластеры, быстрый запуск, удобное управление

СЭД

17 000 руб On-Prem

Цифровая трансформация

с ELMA365

Максим Пеньков, платформа Сфера: «Защита данных начинается с их деперсонализации»

Безопасность Маркет

В ближайшее время в России могут ввести оборотные штрафы и уголовное наказание за утечку данных. Так законодатели хотят защитить граждан от утраты чувствительной информации и заставить бизнес внимательнее подходить к вопросам безопасности. Впрочем, обвинять компании в недостатке киберзащиты не всегда верно, поскольку в большинстве случаев бизнес вынужден балансировать между тем, чтобы обеспечивать качественную безопасность данных и продолжать эффективно их использовать. Каким способом можно разрешить это противоречие Market.CNews рассказал Максим Пеньков, владелец продукта Сфера. Обезличивание данных.

Market.CNews: В 2024 г. государство может серьезно ужесточить ответственность за утечку персональных данных — предлагается ввести оборотные штрафы и даже уголовную ответственность. Оправданы ли такие строгие меры?

Максим Пеньков: Я думаю, что принятие такого закона давно назрело. К сожалению, статистика утечек данных говорит о том, что компании уделяют недостаточно внимания их защите. На мой взгляд, это закономерное следствие бурного развития автоматизации в нашей стране и столь же быстрого импортозамещения: в новых решениях могут быть какие-то недостатки в архитектуре, пробелы в защищенности собираемой информации.

Подчеркну, что говорить о том, что усиленная защита нужна только персональным данным, не совсем верно. Например, в Москве достаточно много видеокамер, которые способны распознавать номер автомобиля. Эта информация не относится к персональной, однако очевидно, что имея к ней доступ, можно запросто контролировать передвижение конкретного человека.

Еще один пример. Допустим, у фармацевтической компании есть рецептура того или иного препарата или описание производственного процесса, их утечка может обернуться серьезными неприятностями: потерей доли рынка, финансовым и репутационным ущербом.

Полученные из разных источников данные объединяются и взаимно обогащаются, что дает возможность выяснить много информации про каждого из нас или про компанию. Сегодня такие данные — востребованный продукт на хакерском рынке. При этом для бизнеса, допустившего утечку, штраф в пару миллионов рублей оказывается настолько несущественным, что им проще заплатить его раз в год, чем инвестировать в системы защиты информации. И долгожданный законопроект — сигнал всем, что надо менять отношение: оборотный штраф заставит взглянуть на ситуацию по-другому.

Market.CNews: Те, кто работают с данными, могут возразить, что чрезмерная забота об их защищенности может сделать, например, разработку ИТ-решений неэффективной. Есть ли способ разрешить эту коллизию?

Максим Пеньков: Создание программных продуктов невозможно без доступа к живым данным, хотя бы потому что в процессе разработки и тестирования команде придется проверить, все ли сценарии поддерживаются, не сломает ли новый функционал то, что уже работает.

Самый простой путь — взять часть существующей у компании базы данных и на ее основе провести тестирование. Способ простой, но небезопасный: чем больше людей имеет доступ к данным, тем выше вероятность их утечки.

С этим можно пытаться бороться, жестко контролируя периметр разработки с помощью, в том числе, внедрения системы разграничения и контроля доступа. Это сужает круг лиц, но не гарантирует чистоплотность каждого работника и то, что он сам не станет объектом фишинговой атаки.

Есть иной подход к обеспечению безопасности данных, задействованных в разработке, который практикуется в Холдинге Т1 — их деперсонализация.

Market.CNews: Расскажите, пожалуйста, подробнее в чем специфика деперсонализации данных, необходимых команде разработки ИТ-решений?

Подход основан на том, что персональная информация сначала меняется так, что по ней невозможно идентифицировать конкретного человека, и только потом может использоваться для разработки и тестирования. Когда речь идет о небольших массивах, замену можно сделать вручную, но, если мы говорим о сложных системах, БД, состоящих из множества связанных между собой подсистем, каждая из которых обладает собственным хранилищем данных, очень важно в процессе деперсонализации не потерять свойство консистентности данных, то есть не утратить их целостность и внутреннюю непротиворечивость.

Иными словами, нельзя заменить значимые для системы идентификаторы случайным набором цифр, так как при этом теряется бизнес-смысл. Например, если при замене реальной даты рождения получается, что клиент банка достиг возраста 150 лет или, наоборот, стал младше 18, база будет признана ошибочной и не пройдет валидацию.

Аналогичная ситуация с ИНН, сложным 12- или 10-значным показателем. Он представляет собой несколько групп чисел, каждая из которых имеет значение: код региона, номер налоговой инспекции и идентификатор субъекта. А последние один или два знака — это контрольная сумма, которая вычисляется по определенной формуле на базе всех предыдущих цифр. Если этот порядок при замене данных не соблюсти, то они будут признаны невалидными.

Валидация — важный процесс, который позволяет бороться с ботами и получать «чистые» данные. Например, при заполнении человеком онлайн-заявки на кредит скоринговая модель банка должна проверить, действительно ли все указанные данные принадлежат пользователю и введены корректно. В связи с этим при маскировании информации важно учитывать множество аспектов, чтобы база деперсонализированных данных смогла пройти валидацию.

Market.CNews: Какие инструменты деперсонализации вы используете при разработке своей платформы Сфера? Какие преимущества они дают?

Для деперсонализации баз данных мы разработали собственный инструмент, который сегодня активно используем – в частности для оптимизации процесса разработки тестирования новых продуктов и сокращения времени вывода продукта на рынок. Сфера. Обезличивание данных — это коробочное решение, которое позволит обезличить ваши данные в соответствии с потребностями конкретной команды или под определенные задачи.

Используя его, компании закрывают сразу несколько общих задач. Во-первых, появляется возможность минимизировать число людей, которые будут иметь доступ к реальной базе данных. Например, для маркетинговых целей можно использовать деперсонализированные данные — предлагаемый нами алгоритм деперсонализации сохраняет все их важнейшие характеристики. В частности, мы можем изменить дату рождения клиента, но при этом он останется в той же возрастной группе. А значит, маркетологи смогут сделать рассылку предложений в зависимости от возрастной категории, не имея доступа к реальным данным.

Во-вторых, понятно, что для хакеров ценность деперсонализированной базы данных стремится к нулю. А значит и похитить ее желающих не найдется. Более того, при работе с нашей системой, пользователь взаимодействует только с интерфейсом системы и возможности посмотреть всю БД, возможности нет.

В-третьих, деперсонализировав реальную базу данных, бизнес получает не только безопасный процесс разработки и тестирования, но и снижает количество промышленных багов и ускоряет процесс вывода продукта на рынок (time2market) за счет упрощения подготовки тестовых данных. Их качество становится выше и сами они разнообразнее, потому что это те же боевые данные, только маскированные.

В сочетании с комплексными мерами информационной безопасности, решение по обезличиванию позволит повысить защищенность данных, при этом не усложняя процесс их использования как для нужд разработчиков, так и для бизнеса.

erid:LjN8KFkYnРекламодатель: ООО "Т1 Инновации"ИНН/ОГРН: 9718107268/1187746683519Сайт: https://www.t1-consulting.ru/

Короткая ссылка