19.05.20 

»спользование решений Thales дл€ защиты информации в авиационном бизнесе ѕродвижение »“ технологий в сфере авиаперевозок в значительной степени упростило взаимодействие заказчика и исполнител€

ѕродажа большинства авиабилетов и заказов на перевозку груза осуществл€ютс€ с помощью онлайн-сервисов. Ћюди быстро привыкли к экономии времени и комфорту. ћногие планируют свои отпуска за полгода и больше, покупа€ авиабилеты с максимальной скидкой. ќднако информаци€ в базах данных авиаперевозчиков, отражающа€ планы своих клиентов  во врем€ ихотсутстви€ в стране, €вл€етс€  идеальной целью дл€ злоумышленников. ѕолучение последними доступа к базе данных авиакомпании позвол€ет им тщательно спланировать свои действи€ на врем€ вашего отсутстви€. 

—бор информации о выездах граждан за границу осуществл€етс€ не только соответствующими государственными органами. —ущественные изменени€ в кадровой политике, котора€ осуществл€етс€ в ”краине в течение последних шести лет, привели к тому, что граждане порой за несколько лет проход€т путь от обычного гражданина до руководител€ государственной компании, предпри€ти€, станов€тс€ политическими де€тел€ми. ¬ таких услови€х у определенных бизнес и политических элит растет заинтересованность в любой конфиденциальной информации относительно граждан. 

Ќа основании анализа перемещений человека, делаетс€ вывод о его предпочтени€х  по посещению стран, выдвигаютс€ предположени€ по цели пребывани€ в них, вы€сн€етс€ пребывани€ в это же врем€ в этой стране конкурентов по бизнесу или других политических де€телей. Ќе исключено, что со временем, и сам гражданин будет заинтересован в уничтожении информации из базы данных авиакомпании (аэропорта). ≈сли имеющиес€ в базе данные дают основани€ подать на развод,  который приведет к нежелательному разделу имущества (подскажет, в какой стране у другой стороны может быть недвижимость или бизнес). —пуст€ какое-то врем€ подобные данные могут повли€ть на его рейтинг и перспективы роста, дадут возможность заподозрить гражданина в св€з€х с конкурентами по бизнесу или с политическими оппонентами. 

«начительный резонанс в обществе вызвала информаци€, подтверждающа€ прибытие в ”краину одного из наших политических лидеров на самолете авиакомпании, зарегистрированной в стране, которую он обвин€ет в нарушении территориальной целостности ”краины. 

»спользование подобных данных в открытой печати может привести к обвинени€м и искам против авиакомпаний (аэропортов) в ненадлежащем хранении данных, что может привести к репутационным и финансовым потер€м. 

 роме того, отдельным фактором, который требует специального внимани€ к проблеме защиты конфиденциальной информации, содержащейс€ в базах данных, €вл€ютс€ требовани€ общего регламента по защите персональных данных - GDPR, действующий с 2018 года на территории ≈вропейского —оюза. ƒанна€ норма также примен€етс€ и дл€ компаний нерезидентов, осуществл€ющих сбор, обработку и хранение информации о персональных данных граждан ≈вропейского —оюза. ѕоэтому под действие регламента несомненно попадают также и украинские авиаперевозчики и аэропорты. ќтветственность за нарушение регламента предусматривает штраф до 20 тыс. евро или 4% от годового оборота компании. 

¬ данной статье рассматриваютс€ варианты предотвращени€ кражи критической информации дл€ учреждений/компаний с любым количеством человек. — учетом индивидуальных потребностей дл€ заказчика будет отработан приемлемый дл€ него вариант. 

ќрганизаци€ защиты конфиденциальных данных: рекомендации и средства

Ѕольшинство предпри€тий в своей де€тельности сталкиваютс€ с необходимостью сохранени€ конфиденциальной информации различных видов, поэтому безопасность корпоративных данных имеет важнейшее значение дл€ существовани€ и развити€ бизнеса. 

ѕервоочередными и уже хорошо всем известными способами защиты информации в корпоративной сети €вл€етс€ установление надежных паролей, наличие резервных копий, безопасное использование приложений, обновлени€ системы и изменение настроек по умолчанию.  роме этого, особое внимание при обеспечении безопасности корпоративной сети следует уделить защите баз данных. ѕоскольку информаци€, которую они содержат, особенно ценна дл€ компаний и привлекательна дл€ конкурентов, базы данных требуют особого внимани€ и дополнительной защиты. 

»менно поэтому мы подготовили несколько основных советов по защите баз данных предпри€тий. 

„то нужно сделать?

1. онтроль доступа к базам данных. ѕредотвратить атаки киберпреступников помогут ограничени€ разрешений и привилегий.  роме базовых системных разрешений, следует применить: 

ќграничение доступа к конфиденциальным данным дл€ определенных пользователей и процедур, которые могут делать запросы, св€занные с конфиденциальной информацией. 

ќграничение использовани€ основных процедур только определенными пользовател€ми. 

ѕредотвращение использовани€ и доступа к базам данных в нерабочее врем€. 

“акже дл€ предотвращени€ атак злоумышленников следует отключить все службы и процедуры, которые не используютс€.  роме того, базу данных следует размещать на сервере, недоступном непосредственно через »нтернет, чтобы предотвратить удаленный доступ злоумышленников к корпоративной информации. 

2. ќпределите критически важные данные. ѕервым шагом должен стать анализ важности защиты конкретной информации. ƒл€ облегчени€ определени€ места и способа сохранени€ конфиденциальных данных следует пон€ть логику и архитектуру базы данных. Ќе все данные €вл€ютс€ критически важными или нуждаютс€ в защите, поэтому на них нет смысла тратить врем€ и ресурсы. 

ѕроведите инвентаризацию баз данных компании, об€зательно учитыва€ все отделы. Ёффективным способом дл€ предотвращени€ потери информации может быть фиксаци€ всех копий и баз данных компании. »нвентаризаци€ особенно важна при выполнении резервного копировани€ информации дл€ учета всех критически важных данных. 

3. Ўифруйте информацию. ѕосле идентификации критически важных данных, нужно применить надежные механизмы и алгоритмы шифровани€ конфиденциальной информации. »спользу€ у€звимости приложени€ или иные механизмы несанкционированного доступа к серверу баз данных  злоумышленники в первую очередь попытаютс€ похитить базы данных, которые, как правило, содержат много ценной информации. Ћучший способ защитить базу данных - зашифровать ее дл€ лиц, которые пытаютс€ получить доступ без авторизации. 

4. —делайте анонимными непродуктивные базы данных. ћногие компании инвестируют врем€ и ресурсы на защиту своих продуктивных баз данных, но при разработке проекта или создани€ тестовой среды они просто делают копию исходной базы данных и начинают использовать ее в среде с менее жестким контролем, тем самым раскрыва€ всю конфиденциальную информацию. 

— помощью маскировани€ и анонимизации можно создать аналогичную версию с той же структурой, что и оригинал, но с измененными конфиденциальными данными дл€ их защиты. ƒанные можно измен€ть при сохранении формата при помощи нескольких технологий. ћаскирование замещает часть данных специальными символами. “окенизаци€ замещает все конфиденциальные значени€ аналогичными (токенами), но не имеющими смысла. јналогичным свойством обладает шифрование с сохранением формата.  онкретный метод, правила и форматы, завис€т от выбора администратора, но независимо от выбора, метод должен обеспечить невозможность получени€ исходных данных с помощью обратной инженерии. 

Ёти методы рекомендуетс€ использовать дл€ баз данных, которые €вл€ютс€ частью среды тестировани€ и разработки, поскольку они позвол€ют сохранить логическую структуру данных, обеспечива€ отсутствие доступа к конфиденциальной информации вне производственной среды. 

5. ѕроводите мониторинг активности базы данных. јудит и отслеживание действий внутри базы данных предполагает знание о том, кака€ информаци€ была обработана, когда, как и кем. «нание полной истории транзакций позвол€ет пон€ть шаблоны доступа к данным и модификаций, и таким образом, помогает избегать утечки информации, контролировать опасные изменени€ и вы€вл€ть подозрительную активность в режиме реального времени. 

 ак можно сделать?

ј теперь несколько слов о средствах защиты баз данных. Ќа сегодн€шний день существует большое количество различных решений, позвол€ющих построить в организации более или менее защищенную систему хранени€ и обработки данных. Ќо нам бы хотелось выделить продукты компании Thales

Thales на сегодн€шний день €вл€етс€ крупнейшим на рынке информационной безопасности провайдером средств многофакторной аутентификации, шифровани€, комплексных решений дл€ банковского сектора, вооруженных сил и правоохранительных органов и других структур. »деологи€, которой руководствуетс€ компани€ при создании своих продуктов, базируетс€ на элементарных пон€ти€х - продукт должен быть надежным, пон€тным и простым в использовании. 

»менно такими характеристиками и обладает совокупность продуктов Thales Data Protection. —оответствие бренда высоким современным стандартам подтверждаетс€ использованием его решений в Ќј“ќ 

https://www.thalesgroup.com/en/group/press-release/thalesraytheonsystems-and-leonardo-memorandum-understanding-strengthen    

ƒл€ решени€ проблем у€звимости предлагаютс€ следующие решени€: 

Tokenization service/ProtectDB - программное обеспечение дл€ шифровани€ данных в базах Oracle, DB2, SQL.  

ѕозвол€ет шифровать только определенные столбцы в базе и создавать гранулированную политику доступа к зашифрованным данным. ќтказ от встроенного «нативного» шифровани€, которое чаще всего примен€етс€ дл€ шифровани€ всей базы данных или отдельных таблиц, , позвол€ет значительно улучшить показатели производительности системы. 

Vormetric Transparent Encryption - программное обеспечение дл€ шифровани€ файлов и папок, в том числе и папок общего доступа (file shares). Ќе всегда конфиденциальные данные могут хранитьс€ в SQL базах. »ногда дл€ организации баз используют, например, обычные файлы Excel. ¬ таком случае зашифровать данные в такой базе можно с помощью именно VTE. 

ProtectV - программное обеспечение дл€ шифровани€ логических дисков на виртуальных машинах. ¬ случае, когда классификаци€ конфиденциальных данных невозможна или слишком трудоемка€ и требует значительного времени, проще зашифровать все данные, содержащиес€ на сервере.  роме того ProtectV позвол€ет еще и защитить виртуальную машину от несанкционированного запуска. Ёто означает, что дл€ запуска сервера нужно не только инициировать процесс из консоли управлени€ гипервизора, но и получить разрешение на запуск из консоли администрировани€ ProtectV Manager. Ёта опци€ абсолютно полезна дл€ организаций, использующих ресурсы различных хостинг-провайдеров дл€ размещени€ своих серверов. 

»спользование решений Thales дл€ защиты информации в авиационном бизнесе ¬ажным моментом, требует отдельного внимани€, €вл€етс€ то, что все из вышеуказанных программных средств используют отдельную аппаратную платформу дл€ хранени€ ключей шифровани€ - Keysecure. “аким образом, достигаетс€ максимальна€ надежность системы защиты, так как, даже если зашифрованные данные и попадут в руки злоумышленников, то ключей шифровани€ в этих данных не будет. 

≈сли в организации уже используетс€ защита баз данных, то можно использовать KeySecure дл€ хранени€ ключей шифровани€ в аппаратном устройстве с помощью протокола совместного управлени€ ключами KMIP (Key Management Interoperability Protocol). “акой вариант позволит ограничить доступ к базе данных неавторизованных пользователей и программ. 

¬ывод

—охранение конфиденциальности информации €вл€етс€ чрезвычайно важным аспектом, который должны учитывать любые организации. ѕренебрежение основными принципами информационной безопасности грозит потерей средств, репутации, а иногда может поставить под сомнение и существование самого бизнеса. “акже важно осознавать, что одного шифровани€ мало, необходимо также обеспечить управление жизненным циклом ключей шифровани€ (создание, хранение, ротаци€, резервное копирование и удаление). ¬ данной статье мы привели основные рекомендации и средства по организации защиты конфиденциальных данных.

 

¬ладимир Ќужный, ќќќ ЎЌ«
Ётот e-mail защищен от спам-ботов. ƒл€ его просмотра в вашем браузере должна быть включена поддержка Java-script

¬ладимир «дор, Thales
Regional Sales Manager
Cloud Protection & Licensing
Ётот e-mail защищен от спам-ботов. ƒл€ его просмотра в вашем браузере должна быть включена поддержка Java-script