Bezpieczeństwo baz danych to złożony i trudny w realizacji proces, który z biegiem lat nabiera coraz większego znaczenia. Organizacje na całym świecie administrują miliardami gigabajtów informacji, z czego znaczna część stanowi atrakcyjny łup dla hakerów i cyberprzestępców. Bezpieczeństwo firmowych baz danych jest jednak kluczowe z uwagi na klientów i reputację firmy.
Co to jest bezpieczeństwo baz danych?
Bezpieczeństwo bazy danych to zestaw środków, praktyk i procedur, który ma zapewniać integralność, dostępność i przede wszystkim – poufność danych znajdujących się w bazach. W tym celu wymaganą ochronę należy zapewnić zarówno warstwie sprzętowej, jak i aplikacyjnej. W czasach, gdy informacja traktowana jest jak waluta, ochrona danych osobowych, finansowych czy know-how firmy powinna być priorytetem cyberbezpieczeństwa. Nieprzestrzeganie wymaganych norm i zaniedbania na tym polu mogą prowadzić do poważnych konsekwencji: finansowych, prawnych oraz wizerunkowych.
Bezpieczeństwo baz danych, z uwagi na konieczność pogodzenia wzajemnie wykluczających się cech – poufności, dostępności i funkcjonalności – jest zagadnieniem wyjątkowo trudnym w realizacji. Zgodnie z tzw. regułą Andersona, im wyższy poziom bezpieczeństwa bazy danych, tym mniejsza dostępność i funkcjonalność. Wraz ze wzrostem funkcjonalności i dostępności rośnie jednak ryzyko wystąpienia wycieków danych i skutecznych ataków.
Rodzaje zabezpieczeń baz danych
Zabezpieczenie baz danych wymaga kompleksowego podejścia do cyberbezpieczeństwa, w tym przestrzegania podstawowych zasad i budowania świadomości zagrożeń wśród zespołów. Utrata poufności danych może nastąpić w wyniku różnych działań. Oprócz celowych ataków wymierzonych w bazy danych nierzadko dochodzi także do wycieków czy też awarii, które powodują utratę krytycznych zasobów powstałych z winy pracowników.
Oszuści niejednokrotnie wykorzystują niezbyt skomplikowane technicznie metody zwane socjotechnikami (np. phishing). Nieświadomy zagrożenia pracownik, pobierający załącznik nieznanego pochodzenia, może spowodować zainstalowanie złośliwego oprogramowania, które przyczyni się do wycieku lub przeprowadzenia kolejnego ataku. Występujące tego rodzaju wewnętrzne zagrożenia są atakami typu insider threat, a pracownicy działający na szkodę firmy nazywani są „insiderami”. Insiderzy mogą mieć różne motywacje swoich działań, a główne z nich to chęć zemsty na pracodawcy po zwolnieniu lub celowe działanie na zlecenie hakerów czy konkurencji.
Bezpieczeństwo baz danych zapewnia się przy użyciu zróżnicowanych metod technicznych, odpowiadających za ochronę przed różnymi rodzajami zagrożeń.
- Kontrola dostępu – autentykacja i autoryzacja to podstawowe metody ochrony dostępu do baz danych. Dostęp do poufnych informacji powinny mieć tylko te osoby, które potrzebują go do wykonywania swoich obowiązków i wyłącznie w minimalnym zakresie, który im to umożliwia (takie podejście spełnia założenia rekomendowanego modelu bezpieczeństwa zwanego Zero Trust).
- Szyfrowanie – to dodatkowe zabezpieczenie kryptograficzne stosowane do ochrony najważniejszych danych. Dzięki niemu zbiór danych może odszyfrować tylko powołana osoba, a więc nawet w przypadku kradzieży fizycznego nośnika lub przedostania się intruza do firmowej sieci, dostęp do bazy danych będzie dodatkowo chroniony. Szyfrowanie może przebiegać również w trakcie przesyłania danych pomiędzy klientem a bazą danych.
- Zabezpieczenie warstwy aplikacji – ochrona warstwy aplikacyjnej to jeden z podstawowych sposobów zabezpieczenia bazy danych. Do naruszenia integralności dochodzi często w następstwie ataków typu SQL Injection i im podobnych. Z uwagi na to, stosowanie zabezpieczeń typu WAF (Web Application Firewall) jest koniecznością.
- Backup – bazy danych są podatne nie tylko na ataki i wycieki, ale równie często dotykają je awarie, powodujące brak dostępności. Trwała utrata bazy danych może nieść za sobą katastrofalne skutki, dlatego tak ważne jest wdrożenie odpowiedniej polityki backupowej i rozwiązań, które pozwolą szybko przywrócić stan bazy sprzed awarii. O różnych rodzajach kopii zapasowych przeczytasz tutaj.
Równie ważne jak ochrona systemowa są fizyczne zabezpieczenia baz danych, a więc stosowanie ograniczeń w dostępie do serwerów i innych nośników. Nie zapominajmy, że zagrożenie dla poufności danych może płynąć również z wewnątrz, a osobami odpowiedzialnymi za wycieki (świadomie lub w wyniku zaniedbań) mogą być prawnicy organizacji (tzw. insider threat). Pomóc mogą w tym rozwiązania klasy DAM (ang. Database Activity Monitoring) służące do monitorowania i analizy aktywności baz danych. Przy ich zastosowaniu nie dopuszcza się do eskalacji ataku, śledzi tzw. insidera oraz skuteczne wyprowadza po ataku. Tego rodzaju aktywność można monitorować także za pomocą systemów klasy SIEM.
W przypadku użytkowników uprzywilejowanych, mających dostęp do zasobów krytycznych w bazach danych, w związku z wykonywanymi obowiązkami (m.in. administratorzy, programiści, ale też pracownicy działów reklamacji, rozliczeń itp.), konieczne jest także weryfikowanie, czy ich aktywność w obszarze bazy odpowiada wykonywanym zadaniom. Czy wyszukiwane dane były faktycznie potrzebne do przetworzenia danego procesu i jeśli nie, to dlaczego użytkownik szukał do nich dostępu?
Dlaczego zabezpieczenie baz danych jest ważne?
Odpowiednie zabezpieczenie baz danych jest kluczowe z punktu widzenia biznesowego i prawnego. Ochrona własności intelektualnej przedsiębiorstwa wpływa bezpośrednio na jego wyniki finansowe i konkurencyjność. Utrata dostępu do bazy danych może też prowadzić do utraty ciągłości procesów i braku dostępności usługi firmy.
Priorytetem powinna być jednak ochrona danych osobowych klientów i pracowników. Kradzież lub przypadkowe udostępnienie takich informacji może prowadzić do wysokich kar finansowych wynikających między innymi z zapisów dyrektywy RODO.
W przypadku wystąpienia wycieku danych osobowych, zgodnie z regułami narzucanymi przez RODO, firma powinna powiadomić Urząd Ochrony Danych Osobowych, a jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych (np. z uwagi na utratę nieszyfrowanych danych osobowych), należy powiadomić także samych użytkowników. UODO może nałożyć na podmiot karę w wysokości nawet 20 mln EUR lub do 4% rocznego obrotu – zależnie od charakteru, czasu trwania i wagi naruszenia.
Jako że zabezpieczenie bazy danych wymaga podejścia kompleksowego, warto zacząć od zabezpieczenia sieci za pomocą sprawdzonej zapory sieciowej (np. Netia MUTM / Netia Cloud Firewall – zlokalizowanej w bezpiecznej chmurze Netii zapory nowej generacji), co stanowi absolutną podstawę i punkt wyjścia do dalszego rozwijania bezpieczeństwa całej infrastruktury. Konieczna jest także przemyślana polityka backupowa (realizowana np. przy użyciu usług SaaS, takich jak Netia Data Protection).
W zabezpieczeniu warstwy aplikacji może pomóc Netia WAF (Web Application Firewall) – kompleksowa ochrona ostatniej warstwy modelu OSI, zapobiegająca występowaniu szeregu ataków typu injection, a także ataków DDoS. W swojej ofercie Netia posiada także wspomniane już wcześniej rozwiązania DAM służące do monitorowania i analityki aktywności baz danych.
Sprawdź także, czy backup jest potrzebny użytkownikom indywidualnym i czego on dotyczy.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105