Основным элементом любой ИС (информационной системы) является база данных (или СУБД), и, как мы знаем, современный бизнес достаточно сильно зависит от своих ИС.
Проверенная аксиома – чем успешнее в организации используется информация, тем успешнее становится её бизнес. Однако постоянный рост количества и значимости угроз, нацеленных на ИС, препятствует успешному использованию информации, т.е. угрозы ИБ напрямую влияют на эффективность бизнеса.
В первую очередь необходимо говорить об угрозах утечки и последующей компрометации информации из систем организации, т.е. утечки из СУБД. Стоит отметить, что абсолютное множество сценариев атак на ИС укладывается в одну канву – попытки злоумышленника найти и воспользоваться уязвимостями системы, максимально повысить привилегии и далее похитить массив конфиденциальной или ценной информации. Именно поэтому тема предотвращения утечек является острой и актуальной для любого владельца ИС.
Самым эффективным «оружием» противодействия утечкам является криптографическая защита информации, но вот вся проблема в том, что шифровать информацию необходимо в сложной технологической среде БД.
Именно технологическая сложность породила целый ряд «мифов» о невозможности или даже великой сложности шифрования информации в СУБД.
Сегодня разберем наиболее распространенные заблуждения и покажем, как просто и эффективно решать "сложные" задачи защиты баз данных на примере системы защиты Крипто БД.
Миф № 1. "Я не могу использовать криптографическую защиту, потому что придётся зашифровать всю информацию в СУБД, это сломает систему".
На самом деле так и есть: самые распространённые платформы СУБД позволяют использовать встроенные механизмы шифрования, но функционально такие механизмы неразвиты, и поэтому приходится шифровать гигантские таблицы системы целиком.
Таким образом, из последствий может быть глубокая просадка производительности сервера СУБД. Однако, если использовать профессиональные инструменты, например, систему Крипто БД, то откроются возможности совершенно другого уровня. Настройки системы Крипто БД способны крайне гибко определить объект защиты, при этом защите будет подвергаться только определенный набор столбцов таблицы СУБД. На практике ценная информация составляет не более 20% от общего информационного массива. Если есть возможность защищать только ценную или конфиденциальную информацию, то это позволит существенно экономить на ресурсах сервера СУБД и не ломать ИС.
Миф № 2. "Использование профессиональной системы шифрования СУБД потребует существенной перестройки бизнес-приложений для защищаемой системы".
Сложность процессов обработки информации в современных бизнес-приложениях действительно требует высокой степени адаптивности от применяемых средств защиты. Программный код Крипто БД написан на «нативном» языке конкретной платформы СУБД, это позволяет запускать средство защиты в среде СУБД и дает максимальную степень прозрачности для всех бизнес-приложений, которые обрабатывают защищаемую информацию. Поэтому в большинстве сценариев внедрения Крипто БД не требуется доработка бизнес-приложений.
Миф № 3. "Работа с зашифрованной информацией запутает пользователей системы и снизит эффективность их работы".
Как уже говорилось ранее, система Крипто БД реализует максимальный уровень прозрачности, но не только на технологическом и системном уровнях, но и на уровне пользователя. Сами пользователи не вовлечены (не участвуют) в процесс защиты. После привычной авторизации по логину и паролю или же аутентификации с помощью USB-токена пользователь, как и ранее, работает с привычным интерфейсом бизнес-приложения. Визуальных признаков действия системы защиты нет. При этом для неавторизованных пользователей система будет отображать «комфортные глазу» маски информации. Масками могут быть как символы ***, так и более сложные комбинации, например, произвольное число в формате номера и серии паспорта. При таком уровне адаптации системы Крипто БД под нужды бизнес-процессов никакой путаницы и снижения производительности не возникает.
Миф № 4. "Для настройки и обслуживания системы шифрования нужен сверхдорогой специалист-криптограф, желательно с физико-математическим образованием".
В силу того, что система Крипто БД является сертифицированным ФСБ России средством криптографической защиты, для ее установки, настройки и обслуживания действительно нужен грамотный специалист, только не в области криптографии, а в области информационной безопасности. Корректное определение объекта защиты, обоснованное формирование политик доступа к защищаемой информации, навыки аудита и расследования инцидентов – вот те немногие способности, которыми должен обладать Администратор системы Крипто БД (Администратор ИБ). В части знаний криптографии будет достаточно базовых основ и минимальных навыков, что является стандартом де-факто для любого современного специалиста по защите информации.
Миф № 5. "Если зашифрованную базу данных всё же похитят, то её можно будет расшифровать, ведь возможности современных компьютеров впечатляют".
Система Крипто БД создавалась на базе основного сценария возможной утечки зашифрованной информации, поэтому в системе реализованы все требования отечественных стандартов в области шифрования и применяются стойкие криптографические алгоритмы ГОСТ, а само средство защиты сертифицировано ФСБ России как средство криптографической защиты по уровню КС1-2, КС-3. О чем это может говорить? Это говорит о том, что стоимость похищенной информации будет заведомо меньше математически определённой стоимости ещё дешифровки, ведь на процесс поиска ключа уйдут десятки лет, даже с учётом перспективных возможностей роста производительности современных компьютеров. Достаточно представить себе лишь один из множества методов, применяемых Крипто БД при шифровании данных, – диверсификация ключа шифрования для каждого последующего блока защищаемой информации. Т.е. злоумышленник будет вынужден запускать процесс поиска ключевой последовательности символов для каждой порции 512 байт защищённых данных. Представить успешность криптоанализа массива 100 Мб в таких условиях практически невозможно.
Безусловно, необходимость применения средств шифрования в СУБД будет сопряжена с рядом практических задач, корректное решение которых потребует осознанного и акцентированного внимания. Защита такого уровня не работает «из коробки», поэтому в последующих постах мы разберём практические аспекты применения системы Крипто БД для предотвращения утечек информации из баз данных.
