Президент Российской Федерации подписал закон, ужесточающий ответственность за утечки персональных данных. Теперь бизнесу грозят оборотные штрафы, размер которых может достигать 3% от годового оборота компании. Такие изменения заставляют компании пересмотреть свои подходы к информационной безопасности и искать эффективные технологии для защиты данных.

Одним из таких решений является маскирование данных — процесс замены чувствительной информации на синтетическую или обезличенную ее версию. Маскирование позволяет избежать хранения критических данных в незащищенных средах: тестовые базы данных, не производственные контуры или при передаче информации сторонним организациям. Даже в случае утечки данные не будут содержать реальную личную информацию, если решение для маскирования настроено корректно и соответствует требованиям компании.

Если организация только планирует внедрить маскирование, то первым шагом необходимо провести аудит всех данных, содержащихся в базе. Процесс включает в себя анализ всей информации и создание списка критичных сущностей, то есть конфиденциальных данных организации. Например, фамилии и имена клиентов, номера карт, паспортные данные, ноу-хау разработки, утечка которых может привести к потере конкурентоспособности на рынке.

Второй шаг — разработка регламента, регулирующего процесс защиты и обезличивания данных. В регламенте указываются итоги аудита и описывается, как именно полученные данные обезличивать. Например, следует ли номер паспорта заменять на нули, или необходимо только заменить последние цифры на звёздочки, или требуется полностью сгенерировать замену.

Третьим шагом необходимо выбрать решение для автоматизации процесса маскирования. Какие критерии следует учитывать при поиске продукта?

«Во-первых, скорость обезличивания данных. Многие команды разработки в крупных компаниях нуждаются в большом объеме новых замаскированных данных каждый день. Поэтому им не подойдет решение, которое выполняет свою задачу медленно. Во-вторых, гибкость или расширенный перечень возможных правил маскирования. Часто для крупных компаний простого обезличивание персональных данных недостаточно, необходимо сохранить их структуру, длину. Маскируя Петрова Петра Петровича под Иванова Ивана Ивановича, необходимо одинаково его заменить во всех базах данных и документах» — рассказывает Али Гаджиев, руководитель по продукту компании Crosstech Solutions Group.

Частой ошибкой многих компаний при внедрении инструментов маскирования является недостаточное тестирование решения на различных сценариях. Ошибки возникают, если компании сразу начинают использовать решение в реальной среде без предварительной отладки.

Отсутствие обучения сотрудников работе с новым инструментом по маскированию данных также может негативно сказаться на его внедрении. Если специалисты по информационной безопасности плохо понимают процесс или не знают, как обращаться с обезличенными данными, это вносит хаос в работу компании.

Выстраивание автоматизированного процесса маскирования данных может потребовать значительных временных и финансовых вложений. Однако такие затраты несопоставимы с потенциальными штрафами за утечку пользовательских данных.

«Для клиентов мы предоставляем информацию, насколько решения, автоматизирующие процесс маскирования, выгоднее разработки собственных скриптов. Продукты окупают примерно половину затрат на инженеров, которые бы занимались данным процессом. В случае оборотных штрафов компания будет экономить от 3 млн рублей и более», — комментирует Али Гаджиев.