Az adatvédelem nagy kérdései: hol, mit, hogyan?

A szervezeteknek erős védelmet kell biztosítaniuk érzékeny adataik számára, ami rendkívül összetett feladat.
 

A vállalati adatok megfelelő védelme folyamatos fejtörést okoz a szakembereknek. Az előírások arra kötelezik őket, hogy erős védelmet biztosítsanak az érzékeny adatoknak, amit a gyakori adatszivárgási incidensek is indokolnak. Ám nem lehet maximálisra feltekert biztonság mellett, titkosítva tárolni mindent, hiszen tetemes költséggel járna, valamint a hatékonyságot is ronthatja, ha a titkosított adatokat a szervezetek nem tudják megfelelően használni és hasznosítani.
 
Az első kérdés: hol…?
 
A Micro Focus szakértői szerint az első, legfontosabb kérdés az, hogy a vállalatok vajon tudják-e, hogy pontosan hol vannak az érzékeny adataik, amiket meg kell védeniük. Erre általában nincs egyszerű válasz, már csak azért sem, mert az adatok elhelyezkedése folyamatosan változhat annak megfelelően, ahogy az alkalmazottak végzik a munkájukat. A kérdésre ezért csak az tud válaszolni, aki olyan megoldást használ, amely automatizáltan végzi az adatok felderítését és osztályozását, és ezt időről időre megismétli akár automatizáltan.
 
A második kérdés: mit…?
 
Következő lépésként azt célszerű meghatározni, hogy mely adatokat érdemes magasabb szinten védeni az óriási állományból. Olyan adatvédelmi stratégiára van szükség, amely körültekintően védi az érzékeny adatokat, miközben a lehető legkevesebb fennakadást okozza az üzletmenetben. Az adatok érzékeny részét mindenképpen célszerű erősen védeni valamilyen módszerrel, például titkosítással, miközben a nem érzékeny, nem titkosított elemek továbbra is használhatók különböző üzleti célokra.
 
A Micro Focus szakértői úgy látják, hogy a vállalatok számára az a legjobb megoldás, ha össze tudják kapcsolni a felderítést és a védelmet függetlenül attól, hogy az adatok éppen helyben vagy a felhőben találhatók.
 
A harmadik kérdés: hogyan…?
 
Minden adatbiztonsági projektnél mások a követelmények a biztonság és a teljesítmény terén, ezért a vállalatok olyan adatbiztonsági platformmal járnak a legjobban, amely rugalmasságot biztosít a titkosítási és anonimizálási módszerek terén. Ennek köszönhetően minden adattípust a leghatékonyabb módszerrel tudnak védeni.
 
A fájlszintű titkosítást általában strukturálatlan adatok, például e-mailek, üzenetek és metaadatok esetében használják, ahol az információk nincsenek konzisztens sémába rendezve. Ezért az információkat csak úgy lehet megóvni, ha a teljes fájlra kiterjesztjük a védelmet.
 
A tokenizálás során az érzékeny adatokat egyedi azonosítóval vagy tokennel helyettesítik, amelyet egy biztonságos adatbázisban tárolnak. Ezáltal például egy bankkártyás vásárlásnál úgy lehet feldolgozni a tranzakciót, hogy a token elfedi az eredeti számlaszámot.
 
A formátummegőrző titkosítást (FPE - Format-Preserving Encryption) olyan adatok esetében lehet alkalmazni, amelyek megfelelnek egy következetes mintának. Ezek közé tartoznak például a társadalombiztosítási számok vagy a személyi igazolványok azonosítói. Az FPE módszernél úgy titkosítják az adatokat, hogy azok formátuma megmarad. Tehát például egy személyi igazolvány azonosítójában a számok helyett más, véletlenszerűen generált számok szerepelnek, a betűk helyett pedig más, véletlenszerű betűk.
 
A formátummegőrző hash (FPH - Format-Preserving Hash) hasonló biztonságot és formátummegőrzést kínál, mint az FPE, azzal a különbséggel, hogy hash alapú kriptográfiai eljárásokra támaszkodik. A módszer így megfelel a GDPR anonimizálásra vonatkozó rendelkezéseinek, ami azt jelenti, hogy a vállalatok az előírások megsértése nélkül használhatják az információkat az alkalmazásokban és az elemzésekben.