Маскирование данных: как защищать информацию в цифровую эпоху

Из‑за санкций и массового ухода зарубежных вендоров создание собственного программного обеспечения превратилось для российских компаний в ключевое условие для достижения технологической самостоятельности. В последние несколько лет отечественные предприятия активно создают локальные альтернативы иностранным продуктам, максимально учитывающие специфику местного рынка. А для компаний, чьи продукты и услуги становятся все более стандартизированными — будь то банковские вклады, бытовая техника или трубопрокат — создание собственных цифровых ноу-хау становится основой выживания и процветания на рынке.

Одним из важнейших этапов создания ПО остается процесс тестирования. Чем лучше проверен программный продукт, тем быстрее он попадает конечному потребителю и тем лучшим будет клиентский опыт. При этом нет смысла доказывать банальное — полноценное тестирование возможно лишь на реальных наборах данных. Ведь даже самый гениальный тестировщик не придумает примеры данных и их сочетания, которые ежедневно заносят в ИТ-системы обычные пользователи.

Однако использование реальных данных при разработке и тестировании ПО нередко оборачивается ростом риска утечки чувствительной информации, в том числе личных сведений клиентов и сотрудников. Компаниям это грозит оборотными штрафами, а их руководству — административной и даже уголовной ответственностью.

Как же компании-разработчики решают проблему с тестированием ПО? Персональные и другие чувствительные данные маскируют, или обезличивают, например, при помощи самописных SQL-скриптов в базах данных. Подход хорош для решения «на скорую руку» и только для небольших наборов данных, поскольку имеет целый ряд недостатков.

Почему самописные SQL-скрипты не выход

·        Для подготовки скриптов требуются высококлассные разработчики, специализирующиеся на конкретном типе СУБД. Не факт, что разработчик OraclePL/SQL справится с задачей для PostgreSQL.
·        Метод эффективен при обезличивании ограниченного числа баз данных. Скорее всего, набор скриптов для каждой БД в компании будет свой, разрабатывать их потребуется практически с нуля. А значит, сэкономить не получится — ведь никакой оптимизации за счет масштабирования процесса здесь быть не может.
·        Работу над скриптами нужно контролировать, а по-хорошему — упаковать в промышленный CI/CD-процесс и системно управлять им. Не каждая компания может себе это позволить, особенно, если разработка ПО не ее основной бизнес.
·        Неуправляемая разработка скриптов «на скорую руку» рано или поздно оборачивается потерей владения кодовой базой, а как минимум — непониманием логики работы ПО.
·        И наконец: во избежание утечек любые скрипты должны контролировать ИБ-специалисты, и речь здесь идет о буквальной проверке кода. Контроль десяти разных скриптов для трех разных типов БД — очевидная перегрузка, ведь у ИБ есть и другие задачи.

С задачей по обезличиванию данных сталкиваются не только компании, профессионально создающие программные продукты. Новая редакция Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» обязывает всех операторов персональных данных «по требованию уполномоченного органа в сфере регулирования информационных технологий предоставлять государству данные», в т. ч. персональные, но подвергнутые процедуре обезличивания (статья № 13.1). Требования по процедуре передачи данных описаны в Постановлении Правительства Российской Федерации от 26.06.2025 г. № 966. Вкратце это выглядит так: после получения запроса от государства оператор должен обезличить набор данных и доставить его уполномоченному органу любым образом (хотя бы и на флешке). Методы обезличивания описаны в Приказе Роскомнадзора от 19.06.2025 № 140, не будем специально останавливаться на каждом.

Отметим лишь самый важный момент — решить задачу по маскированию с помощью самописных скриптов получится не у всех. Большинство операторов персональных данных попросту не имеют в штате высококвалифицированных разработчиков для их написания. Для таких организаций обезличивание — чистая terra incognita, а выполнение регуляторных требований выглядит долгим и дорогим процессом.

К счастью, на рынке уже существуют универсальные продукты, позволяющие решить задачу по обезличиванию без погружения в технические детали, сосредоточившись на основном бизнесе.

Сфера.Обезличивание данных — коробочное решение под ключ, которое имеет целый ряд преимуществ для сохранения и защиты чувствительной информации:

·        Не требует специальных знаний и долгой подготовки для использования
·        Автоматически определяет наличие и тип чувствительной информации (в том числе персональных данных) в данных компании
·        Использует машинное обучение для повышения качества идентификации персональных данных
·        Сохраняет формат и бизнес-смысл обрабатываемых данных, при этом делая восстановление исходных значений в принципе невозможным
·        Обеспечивает ссылочную целостность данных внутри ИТ-ландшафта, в т. ч. между БД разного типа, не сохраняя справочники соответствия, промежуточные значения и другие артефакты, повышающие риски утечек
·        Использует параллельную многопоточную обработку данных, позволяя оптимально настроить соотношение затрат и скорости маскирования

Сфера.Обезличивание данных поддерживает СУБД различных типов, включая PostgreSQL, Oracle, Microsoft SQL, MongoDB.

Гибкая система полномочий от Сферы позволяет выстроить удобный и управляемый конвейер подготовки обезличенных данных. При этом решение предназначено как для ИТ-специалистам, так и для специалистов по ИБ, цели которых при разработке ПО зачастую прямо противоположны. Модель лицензирования подходит и для больших задач по тестированию ПО в крупных ландшафтах, и для малых — для исполнения требований № 152-ФЗ.

Сегодня систему «Сфера.Обезличивание данных» успешно применяет ВТБ — системообразующий универсальный российский банк, один из лидеров рынка финансовых услуг. Каждую неделю ВТБ передает дочерним организациям терабайты информации, обезличенной в Сфере. Результаты внедрения не ограничиваются выполнением регуляторных требований по маскированию. Например, система помогает сокращать затраты на защиту данных: включение в конвейер обезличивания каждой новой БД не приводит к кратному увеличению расходов. Также она позволяет снизить расходы на оплату труда: многие операции выполняются автоматически, а обезличивание происходит в нескольких базах данных нажатием одной кнопки. Работать с системой может любой администратор БД без специфических знаний, что сокращает затраты на поиск и наем высококвалифицированных сотрудников. И конечно же, Сфера помогает значительно сократить нагрузку на ИБ-специалистов, контролирующих дата-ландшафт компании и отвечающих за правильность идентификации персональных данных и алгоритмов обезличивания. В условиях растущих ИБ-угроз это критически важно.