Так, новый национальный проект «Экономика данных» в одном из своих направлений предполагает совершенствование системы предоставления социально значимых государственных и муниципальных услуг гражданам. В нем предусмотрят меры по защите персональных данных и противодействию киберпреступлениям. Этот тренд точно будет основой для изменений не только в ближайший год, три, но и шесть, согласно официальным срокам. И поскольку информации / цифровых следов / данных — с точки зрения защиты разница невелика — становится с каждым днем все больше, построим свои прогнозы вокруг них.

В этой статье на основе ретроспективного анализа путей развития средств защиты данных Рустэм Хайретдинов, заместитель генерального директора, и Андрей Вишняков, директор по продуктам и техническому сопровождению продаж, попробовали заглянуть в будущее на несколько лет вперед, используя внешнюю аналитику и опыт работы с клиентами группы компаний «Гарда».

Например, DBF хорошо защищает данные в СУБДⓘ на основе ролевой модели, но если ролевая модель позволяет пользователю выгрузить какие-то данные в файл, то данные в файле выгрузки уже не контролируются DBF: они уже покинули СУБД, но при этом DCAP еще не проиндексировал этот файл, и система защиты, например DLP, не получила команду включить необходимые политики для защиты этого файла. В этот период данные беззащитны — сегодня такая проблема решается в основном через полные запреты выгрузок, что в свою очередь замедляет основанные на них бизнес-процессы. Таких стыков между хорошими решениями довольно много, данных становится все больше, а роли их пользователей становятся все разнообразнее — теперь это не только клиенты приложений и администраторы, но и разного рода аналитики, разработчики и даже тренеры нейросетей.

В 2021 году в обиход вошел термин «платформа защиты данных» (DSPⓘ), означающий консолидацию различных средств обеспечения безопасности данных с точки зрения единого управления данными, их классификации и методов защиты. Действительно, к концу 2021 года к виртуализации серверной инфраструктуры и контейнеризации приложений стали прибегать практически во всех крупных компаниях, а, согласно исследованию аналитиков, уровень использования облачных провайдеров, да еще и не одного (multi-cloudⓘ), в повседневной работе превысил 50%.

Таким образом, платформы защиты данных должны были нивелировать риски обеспечения безопасности данных при хранении (at rest), при передаче (in motion), делая это как внутри периметра (on prem), так и в облаке (cloud). На платформу накладывались значительные функциональные требования: управление жизненным циклом защищаемых данных, анализ рисков, обнаружение и классификация данных, мониторинг баз данных, криптографическая защита, маскирование и токенизация, защита от утечек, аналитика и т. д.

Российские компании не следуют сегодня напрямую открытой «облачной» стратегии западных коллег, переносящих большую часть вычислительных мощностей и данных во внешние дата-центры в целях экономии на капитальных затратах и обслуживании. Однако трудности с закупкой и обслуживанием высокопроизводительного IT-оборудования также толкают российские компании в облака как в архитектуру, то есть скорее через централизацию собственной вычислительной инфраструктуры и использования «дружественных» или даже зависимых провайдеров.

Фабрика данных собирает информацию обо всех данных в компании, включая информацию об их использовании: кем, как часто, для каких целей, на какой платформе и т. д. (то есть метаданные или данные о данных), строит графы связей, обогащает данные бизнес-семантикой. Набор опций фабрики данных эволюционировал от простого аудита активов данных до применения технологий искусственного интеллекта для аналитики, когда система способна решать практические задачи на основе обрабатываемых данных, замещая функционал бизнес-аналитика или существенно облегчая ему работу.

В настоящий момент подобные data-каталоги уже используются в крупных компаниях, где есть отдел обработки больших данных либо в штате присутствуют несколько бизнес-аналитиков. Как правило, именно этим сотрудникам нужна витрина данных, понимание, где и какие данные они могут найти, чтобы ответить на практические вопросы. Общаясь с заказчиками из российских банков, розничных торговых сетей, контент-провайдерами и операторами связи, мы видим, что одни из них самостоятельно разрабатывают решения для использования в качестве data-каталога, другие — прибегают к системам на основе открытого исходного кода: Apache Atlas, Open MetaData и DataHub. Все пользователи data-каталогов размечают категории данных (приватные, персональные, открытые и т. д.), поэтому data-каталог из-за открытости и гибких интерфейсов становится универсальным и единственным местом, куда сведена информация о цифровых активах компании.

Упомянутая платформа защиты данных должна либо реализовывать функцию data-каталога, либо интегрироваться с ним для взаимного обогащения. К примеру, если платформа защиты данных определяет, что данные, помеченные как общедоступные, по синтаксису и контексту использования напоминают конфиденциальные, она должна уведомлять офицера безопасности и при необходимости блокировать передачу информации.

Российский бизнес несколько десятилетий работает с классической ролевой моделью, в какой-то момент она стала дополняться контролем доступа на основе атрибутов или признаков объектов, а сейчас широкое распространение получает подход Policy-as-a-Code (PaCⓘ). Здесь на высокоуровневом языке программирования политика описывается как набор IF-условий, в которых сравниваются динамические объекты, например, учитывается дата, время, IP-адрес или GeoIPⓘ регион подключения, то есть в качестве значения может использоваться произвольный набор параметров. Политика PaC для своей работы использует как код (те самые IF-условия), так и внешние данные для сравнения, при этом они могут динамически подгружаться из сторонней системы, к примеру data-каталога.

Идея вынести учет того, что разрешено пользователям, в отдельную систему не нова, на рынке существует отдельная ниша систем управления учетными данными (Identity Management или IAM/IdMⓘ). В массе IAM/IdM системы используют ролевой доступ, который проецируется на модели авторизации отдельных информационных систем, управления учетными записями и их правами.

Проблемой такого подхода является то, что политики доступа разбиваются на две части: одна хранится в IAM/IdM и вторая в самой информационной системе. Усугубляется ситуация статичностью политик: пользователь находится в какой-то группе, за которой закреплена определенная роль. Намного эффективнее было бы агрегировать решения о доступах пользователей в единой системе, в том сервере политик, куда могут обращаться как информационные системы, так и средства информационной безопасности для уточнения и аудита полномочий пользователей.

Целевой образ DSP-платформы защиты данных выглядит как интеграция реестра пользователей в виде LDAPⓘ или AD-каталогаⓘ, централизованного сервера политик, а также средств защиты данных и расширений информационных систем, например, в виде агентов безопасности, которые ведут мониторинг, учет и контроль действий пользователей на основании централизованных динамических PaC-политик безопасности. Общаясь как с представителями IT-, так и ИБ-подразделений заказчиков, мы видим, что уже сейчас складывается понимание, что IT-актив, которым является data-каталог, представляет ценность для сотрудников, отвечающих за безопасность цифровых активов.

Целевой образ DSP-платформы защиты данных выглядит как интеграция реестра пользователей в виде LDAPⓘ или AD-каталогаⓘ, централизованного сервера политик, а также средств защиты данных и расширений информационных систем, например, в виде агентов безопасности, которые ведут мониторинг, учет и контроль действий пользователей на основании централизованных динамических PaC-политик безопасности. Общаясь как с представителями IT-, так и ИБ-подразделений заказчиков, мы видим, что уже сейчас складывается понимание, что IT-актив, которым является data-каталог, представляет ценность для сотрудников, отвечающих за безопасность цифровых активов.

Теперь собственно прогнозы. В перспективе одного года ожидаем совместного IT- и ИБ-подхода к формализации задач каталогизирования данных и создания единого репозитория правил доступов. Сразу несколько компаний, специализирующихся на защите данных, объявят о создании решений в области защиты data-каталогов и интеграции с ними с целью защиты данных во всех их представлениях на уровне корпорации.

На горизонте трех лет произойдет реальная агрегация разрозненных средств защиты данных в единую платформу, что будет стимулироваться как инициативами внутри самих клиентов, так и появлением новых продуктов и унификацией API-интерфейсов от производителей.