https://itch.pl/wp-content/uploads/2020/05/ITCh-6-zasad-ochrony-danych-1.mp4
Przedstawiciele strony biznesowej w organizacji oczywiście oczekują, że dane będą dostępne dla wszystkich systemów produkcyjnych IT oraz aplikacji internetowych B2B i B2C przygotowanych dla klientów. Dostępność danych w reżimie 24×7 to wymóg każdej branży. Business first! Taka sytuacja stanowi duże wyzwanie dla wewnętrznego działu bezpieczeństwa, który zasoby firmowe postrzega przez pryzmat doniesień o cyber włamaniach i wyciekach danych. Wdrożenie poniższych, wydawałoby się, prostych zasad pomoże organizacji w zminimalizowaniu zagrożenia dotyczącego utraty danych.
1. Zidentyfikuj dane wrażliwe oraz krytyczne
Większość projektów związana z bezpieczeństwem danych rozpoczyna się od wyszukania informacji wrażliwych oraz krytycznych. Wiele projektów kończy się porażką już na tym etapie. Zadanie, choć wydaje się proste to przysparza firmom sporych problemów. Dlaczego? Punkt widzenia zależy od punktu siedzenia. Inaczej o istocie danych mówi ich właściciel biznesowy, inaczej postrzega je dział IT, a regulacje wewnętrzne i zewnętrzne to kolejny kamyczek do ogródka. Doświadczenie mówi, że nawet najlepiej opracowana ankieta nie wyłoni kluczowych dla przedsiębiorstwa danych za pierwszym razem. Jednak, prowadząc konsultacje ze wszystkimi zainteresowanymi stronami, można wypracować właściwą listę danych, które będą podlegały ochronie. Pamiętajmy, że nie wszystkie dane wymagają ochrony i nie warto tracić czasu ani pieniędzy na opracowywanie i wdrażanie metod ich zabezpieczenia.
Od jakości wykonania tego działania będzie zależała skuteczność podjętych środków ochrony.
2. Kontroluj dostęp do danych
Polityka dostępu do danych powinna powstać zanim baza wejdzie w fazę produkcyjną. To jeden z podstawowych etapów w fazie projektowania aplikacji i repozytorium danych. Do polityki powinny zostać przygotowane akty wykonawcze czyli procesy i procedury. Tworząc reguły dostępu do danych, warto kierować się zasadą „minimalnych uprawnień”, czyli przydzielać minimalne dostępy i uprawnienia, które są konieczne do wykonania danej procedury. Szczególnym ograniczeniom powinny być poddane uprawnienia do danych wrażliwych i krytycznych, które zostały zidentyfikowane w pierwszym etapie. Tylko określona grupa użytkowników oraz wybrane procedury danych powinny mieć dostęp do kluczowych i wymagających ochrony informacji. Według danych z raportu Ponemon Institut, powodem większości wycieków danych, w pierwszej kolejności są ataki na tle kryminalnym (48%), następnie błędy ludzkie (27%) i błędy i usterki systemu (25%).
Wdrożone w ten sposób uprawnienia, przydzielone konkretnym osobom muszą być zawsze aktualne! To spore wyzwanie dla wielu organizacji. Tym niemniej proces certyfikacji uprawnień, czyli weryfikacji zasadności nadanych uprawnień w cyklicznych odstępach, jest konieczny dla utrzymania poprawnego stanu uprawnień w bazie danych. Może w tym pomóc integracja z systemem klasy IAM (Identity Access Management), który posiada wbudowane narzędzia do sprawnego wykonywania recertyfikacji oraz umożliwi efektywne zarządzanie uprawnieniami day-by-day. Równie ważnym elementem jest monitorowanie dostępu do wrażliwych danych przez użytkowników uprzywilejowanych. W tym przypadku bardzo dobrze sprawdzają się narządzie typu PAM (Privilige Access Management) jak np. Wallix uzupełniony o narzędzie audytujące dostęp do danych plikowych w środowisku Microsoft: ManageEngine ADAudit.
Innym, ważnym elementem kontroli dostępu jest polityka haseł. Mimo iż wielu użytkowników tego nie lubi, wykorzystywane hasła muszą mieć odpowiednią złożoność i być okresowo zmieniane.
3. Szyfruj dane
Szyfrowanie danych pozwoli chronić informacje przed kradzieżą, gdy niepowołana osoba uzyska dostęp do serwera lub systemu, wykorzystując podatność systemu operacyjnego. Istotne jest aby rozwiązanie, które realizuje operacje szyfrowania i deszyfrowania w minimalnym stopniu wpływało na wydajność środowiska IT. Mechanizmy i narzędzia wybrane do szyfrowania, powinny chronić informacje przechowywane w lokalnych plikach i bazach danych przed nadużyciami. Szyfrowanie danych pomoże przedsiębiorstwu spełnić wymagania wynikające z norm branżowych i przepisów prawa, takich jak PCI DSS (Payment Card Industry Data Security Strndard) czy RODO.
Jeżeli wrażliwe dane są przechowywane na komputerach to pamiętajmy również o szyfrowaniu ich dysków.
4. Anonimizuj dane nieprodukcyjne
Środowiska deweloperskie zawierają często kopie danych produkcyjnych. Z tego powodu również w tym obszarze należy zadbać o ochronę danych. To komplikuje i zwiększa koszt systemu bezpieczeństwa – tego typu środowiska są bardziej podatne na zagrożenia związane z wyciekiem informacji – jednak nie można pominąć tego obszaru w podjętych działaniach.
Proces tworzenia środowisk deweloperskich i testowych powinien zawierać opis procedury zasilania ich w dane, uwzględniający maskowanie importowanych informacji. Maskowanie jest procesem zapewniającym tworzenie zawartości bazy danych o takiej samej strukturze jak produkcyjna, ale ze zmodyfikowanymi danymi wrażliwymi w sposób uniemożliwiający odtworzenie danych oryginalnych. Istnieje kilka technik zmiany danych: tablice translacji, „starzenie”/„odmładzanie” dat, szyfrowanie z zachowaniem formatu, częściowe maskowanie pól czy generacja fikcyjnych danych.
5. Zarządzaj podatnościami
Wprowadzenie efektywnego procesu zarządzania podatnościami to kolejny krok ku bezpieczeństwu danych. Regularne audyty środowiska przetwarzania danych pozwolą utrzymać aktualną wiedzę o brakujących łatach w systemie operacyjnym, aplikacji, bazie danych, jak również nieautoryzowanych zmianach czy źle skonfigurowanych uprawnieniach. Jest to działanie cykliczne więc warto wykorzystać narzędzie umożliwiające automatyzację tego procesu.
6. Monitoruj aktywność na danych
Uzyskanie odpowiedniego poziomu bezpieczeństwa danych wymaga stałej obserwacji tego co się z nimi dzieje. Monitorowanie dostępu i zachowania użytkowników umożliwia wychwycenie ich nieodpowiednich zachowań, które mogą świadczyć o wycieku informacji. Przykładem może być sprawdzanie nieznanych adresów IP, z których użytkownicy łączą się do bazy, w celu pozyskania danych wrażliwych. Każde, nietypowe zachowanie powinno być zweryfikowane, w kontekście możliwego przejęcia hasła przez osobę nieuprawnioną.
Większość użytkowników wykonuje powtarzalne czynności zgodnie z pewnym wzorcem zachowań. Wychwycenie tych wzorców behawioralnych umożliwi ochronę tabel i kolumn zawierających kluczowe informacje. Każde odchylenie od typowego zachowania (baseline’u) powinno zaalarmować zespół zarządzania bezpieczeństwem. Dodatkowo, analizując informacje wychodzące z bazy danych warto wyszukiwać charakterystyczne wzorce, takie jak numery kart kredytowych czy numery PESEL. Monitorując bazę w czasie rzeczywistym, otrzymujemy bieżące informacje o każdej próbie dostępu do danych, wszystkich zmianach i każdej aktywności użytkownika. W ten sposób mamy możliwość wprowadzenia w życie przyjętej polityki dostępu do informacji. W tym przypadku ponowie bardzo dobrze sprawdzają się narządzia typu PAM (Privilige Access Management) jak np. Wallix i narzędzie audytujące dostęp do danych plikowych w środowisku Microsoft: ManageEngine ADAudit.
Poziom monitorowania wszystkich danych w organizacji (pliki, poczta, bazy danych, hurtowne danych i cloud) powinien podlegać spójnej polityce bezpieczeństwa i zapewniać zintegrowane raporty z całego środowiska. Narzędzia monitorujące powinny być „w rękach” działu bezpieczeństwa. Takie podejście umożliwi także realizację innej, ważnej zasady w bezpieczeństwie – Seperation of Duties czyli rozdzielenia uprawnień administracyjnych i kontrolnych.
Powyższe zasady należy traktować jako dobre praktyki, które warto skonfrontować z sytuacją w danej organizacji i dostosować do przyjętej polityki bezpieczeństwa oraz wartości przetwarzanych informacji. Sposób realizacji zasad może być różny, jednak szczególną uwagę należy położyć na prawidłowe zdefiniowanie ryzyka związanego z utratą danych. Żyjemy w czasach kiedy o wyciekach informacji i kradzieżach danych czytamy codziennie. Lepiej nie trafić na pierwsze strony gazet z tego powodu…