Захистіть свої дані поки не пізно, Криптографія, Security & Hack, статті

Більшість компаній зберігають свої основні бізнес-дані в реляційних базах. А СУБД більшості компаній підтримують технологію посиленого захисту і шифрування даних. Але чи застосовує більшість користувачів ці функції безпеки, вбудовані в їх системи?


Думаю, в понад 70% встановлених СУБД такі можливості або взагалі не використовуються, або використовуються в дуже малому ступені. Уявіть собі, що вся інформацію про клієнтів потрапить в руки конкурентів з-за того, що звільнився адміністратор прихопив з собою резервну копію бази даних. Або хакер зумів створити такий вірус, який читає і краде дані з вашої реляційної бази даних.


Вкрасти дані можна різними способами, наприклад, скопіювати або змінити інформацію у фізичних файлах бази даних. Таке буває в системах з мобільними клієнтами, наприклад, коли злодій діє під видом уповноваженого користувача системи, бази даних або програми. Для цієї мети існує програмне забезпечення для створення і автоматичної використання списків паролів. Для крадіжки часто буває достатньо всього лише дзвінка по телефону нібито зі служби підтримки користувачів прямого запитом пароля і код користувача. Іноді злодій використовує існуюче з’єднання з базою даних, встановлене через мережу уповноваженим користувачем (це називається викраденням, hijacking). Викрадач перехоплює незашифровану інформацію, коли вона передається через мережу.


Більшість постачальників баз даних задовольняють збільшені потреби в захисті даних і випускають версії продуктів з великими можливостями захисту. Користувачеві залишається лише вибрати підходящий для нього продукт, а головне – використовувати надійну технологію захисту.


Відповідальність адміністраторів. Найбільша відповідальність за безпеку систем управління базами даних лежить на адміністраторах. Вони повинні застосовувати вбудовану технологію захисту встановлених баз даних. Вони повинні застосовувати технологію безпеки для захисту центральних сховищ даних, і в якості периферійних баз даних повинні використовувати захищені бази даних, а не ті настільні бази, які позбавлені захисту.


Втрата або крадіжка переносних комп’ютерів співробітників з важливою інформацією в незахищених базах даних може привести до великого комерційного збитку і навіть до збитків безпеці країни, якщо державні або військові секрети потраплять в руки третіх осіб. Згадаймо хоча б про те, що сталося наприкінці війни проти Іраку. У багатьох посольствах урядові комп’ютери просто зникли. Я впевнений, що жоден посол не бажав би, щоб вкраденими з його посольства урядовими даними торгували на аукціоні eBay!


Відповідальність користувачів. Чим більше підприємство, тим важче обмежити доступ, дозволивши його лише уповноваженим користувачам. Чим більше кількість уповноважених користувачів, тим важче не допустити витоку інформації за межі їхнього кола. Тут справа не в тому, наскільки можна довіряти співробітникам, а в недбалості і відсутності пильності у користувачів.


Вони часом залишають на столах папери з паролями та іменами користувачів, придумують занадто прості паролі, полегшуючи тим самим не уповноваженою користувачам завдання отримання доступу до захищених областям. Забувши вийти з системи і залишивши включений комп’ютер без нагляду, користувач дає зловмисникові шанс завдати шкоди підприємству.


Ось чому так важлива самодисципліна користувачів і їх почуття відповідальності.


Але користувачам вже полегшили життя. Вже існують професійні бази даних для персональних комп’ютерів, шифрувальні свої дані незалежно. Цей процес виконується автоматично без допомоги криптографічного інструменту, що вимагає попередньої активації. Користувач не помічає цього процесу. Говорячи іншими словами, користувачеві більше не потрібно думати про шифрування.


Завдяки цій технології безпеки, крадіжка ноутбука співробітника у відрядженні вже не так страшна, оскільки злодій не зможе скористатися наявними на жорсткому диску даними, і весь збиток визначається тільки вартістю самого комп’ютера. Звичайно, це справедливо лише в тому випадку, якщо користувач через недбалість не записав свій пароль на корпусі ноутбука.


Уявіть себе на місці адміністратора бази даних підприємства, де хтось вкрав важливі дані про клієнтів і передав ці дані конкуренту. Ваш начальник запитує, що потрібно придбати, щоб захистити дані від подібних подій в майбутньому. Очевидно, начальнику не сподобається дізнатися про те, що нічого купувати не треба, оскільки все необхідне для захисту даних вже є, але просто не використовується.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*