Din cauza creșterii amenințărilor cibernetice și a implementării legislației privind confidențialitatea datelor, cum ar fi GDPR în UE sau CCPA în SUA, companiile trebuie să se asigure că datele private sunt utilizate cât mai puțin posibil. Mascarea datelor oferă o modalitate de a limita utilizarea datelor private, permițând în același timp întreprinderilor să își testeze sistemele cu date cât mai apropiate de datele reale.

Costul mediu al unei încălcări a securității datelor a fost de 4 milioane de dolari în 2019. Acest lucru creează un stimulent puternic pentru ca întreprinderile să investească în soluții de securitate a informațiilor, inclusiv mascarea datelor pentru a proteja datele sensibile. Mascarea datelor este o soluție indispensabilă pentru organizațiile care doresc să se conformeze cu GDPR sau să utilizeze date realiste într-un mediu de testare.

Ce este mascarea datelor?

Mascarea datelor este, de asemenea, menționată ca ofuscare a datelor, anonimizare a datelor sau pseudonimizare. Este procesul de înlocuire a datelor confidențiale prin utilizarea de date funcționale fictive, cum ar fi caractere sau alte date. Scopul principal al mascării datelor este de a proteja informațiile sensibile, private, în situațiile în care întreprinderea împărtășește date cu terțe părți.

De ce este importantă mascarea datelor acum?

Numărul de încălcări ale securității datelor este în creștere în fiecare an (Comparativ cu jumătatea anului 2018, numărul de încălcări înregistrate a crescut cu 54% în 2019) Prin urmare, organizațiile trebuie să își îmbunătățească sistemele de securitate a datelor. Nevoia de mascare a datelor este în creștere din următoarele motive:

• Organizațiile au nevoie de o copie a datelor de producție atunci când decid să le utilizeze din motive care nu țin de producție, cum ar fi testarea aplicațiilor sau modelarea analizelor de afaceri.
• Politica de confidențialitate a datelor întreprinderii dvs. este amenințată și de persoane din interior. Prin urmare, organizațiile ar trebui să fie în continuare atente atunci când permit accesul angajaților din interior. Conform sondajului 2019 Insider Data Breach (Încălcarea datelor din interior),
  • 79% dintre CIO consideră că angajații au pus în pericol datele companiei în mod accidental în ultimele 12 luni, în timp ce 61% consideră că angajații au pus în pericol datele companiei în mod rău intenționat.
  • 95% recunosc că amenințările de securitate din interior reprezintă un pericol pentru organizația lor
• GDPR și CCPA obligă companiile să își consolideze sistemele de protecție a datelor, altfel organizațiile trebuie să plătească amenzi mari.

Cum funcționează mascarea datelor?

Procesul de mascare a datelor este simplu, totuși, are diferite tehnici și tipuri. În general, organizațiile încep prin a identifica toate datele sensibile pe care le deține întreprinderea dumneavoastră. Apoi, acestea folosesc algoritmi pentru a masca datele sensibile și a le înlocui cu date identice din punct de vedere structural, dar diferite numeric. Ce înțelegem prin identic din punct de vedere structural? De exemplu, numerele de pașaport sunt formate din 9 cifre în SUA, iar persoanele fizice trebuie, de obicei, să împărtășească informațiile din pașaportul lor cu companiile aeriene. Atunci când o companie aeriană construiește un model pentru a analiza și testa mediul de afaceri, creează un ID de pașaport diferit, cu o lungime de 9 cifre, sau înlocuiește unele cifre cu caractere.

Iată un exemplu despre cum funcționează mascarea datelor:

Care sunt tipurile de mascare a datelor?

• Mascarea statică a datelor (SDM): În SDM, datele sunt mascate în baza de date originală, apoi duplicate într-un mediu de testare, astfel încât întreprinderile să poată partaja mediul de date de testare cu furnizori terți.
• Mascarea dinamică a datelor (DDM): În DDM, nu este nevoie de o a doua sursă de date pentru a stoca datele mascate în mod dinamic. Datele sensibile originale rămân în depozit și sunt accesibile unei
  aplicații atunci când sunt autorizate de sistem. Datele nu sunt niciodată expuse utilizatorilor neautorizați, conținutul este amestecat în timp real, la cerere, pentru a face conținutul mascat. Numai utilizatorii autorizați pot vedea datele autentice. Pentru a realiza DDM se utilizează în general un proxy invers. Alte metode dinamice de realizare a DDM se numesc în general mascare a datelor on-the-fly.

Care sunt tehnicile de mascare a datelor?

Există numeroase tehnici de mascare a datelor și le-am clasificat în funcție de cazul de utilizare.

Potrivite pentru gestionarea datelor de testare

Substituție

În abordarea de substituție, după cum îi spune și numele, întreprinderile înlocuiesc datele originale cu date aleatorii din fișierul de căutare furnizat sau personalizat. Aceasta este o modalitate eficientă de disimulare a datelor, deoarece întreprinderile păstrează aspectul autentic al datelor.

Shuffling

Shuffling este o altă metodă comună de mascare a datelor. În metoda shuffling, la fel ca în cazul substituirii, întreprinderile înlocuiesc datele originale cu alte date cu aspect autentic, dar amestecă entitățile din aceeași coloană în mod aleatoriu.

Varianța numerelor și a datelor

Pentru seturile de date financiare și de date, aplicarea aceleiași varianțe pentru a crea un nou set de date nu schimbă acuratețea setului de date în timp ce maschează datele. Utilizarea varianței pentru a crea un nou set de date este, de asemenea, frecvent utilizată în generarea de date sintetice. Dacă intenționați să protejați confidențialitatea datelor cu ajutorul acestei tehnici, vă recomandăm să citiți ghidul nostru cuprinzător pentru generarea de date sintetice.

Criptare

Criptarea este cel mai complex algoritm de mascare a datelor. Utilizatorii pot avea acces la date numai dacă au cheia de decriptare.

Character Scrambling

Această metodă presupune rearanjarea aleatorie a ordinii caracterelor. Acest proces este ireversibil, astfel încât datele originale nu pot fi obținute din datele amestecate.

Potrivită pentru partajarea datelor cu utilizatorii neautorizați

Nulling out sau Deletion

Înlocuirea datelor sensibile cu o valoare nulă este, de asemenea, o abordare pe care întreprinderile o pot prefera în eforturile lor de mascare a datelor. Deși reduce acuratețea rezultatelor testelor, care sunt menținute în cea mai mare parte în alte abordări, este o abordare mai simplă atunci când afacerile nu maschează din cauza scopurilor de validare a modelului.

Masking out

În metoda de mascare, doar o parte din datele originale sunt mascate. Este similară cu nulling out, deoarece nu este eficientă în mediul de testare. De exemplu, în cazul cumpărăturilor online, doar ultimele 4 cifre ale numărului cărții de credit sunt afișate clienților pentru a preveni frauda.

Sursa: Solix Technologies

Prin ce se deosebește mascarea datelor de datele sintetice?

Pentru a crea date de testare conforme cu reglementările GDPR, organizațiile au două opțiuni: generarea de date sintetice sau mascarea datelor cu diferiți algoritmi. Deși aceste două tehnici de testare servesc aceluiași scop, fiecare metodă are beneficii și riscuri diferite.

Mascarea datelor este procesul de creare a unei copii a datelor din lumea reală care este ascunsă în câmpuri specifice dintr-un set de date. Cu toate acestea, chiar dacă organizația aplică cele mai complexe și cuprinzătoare tehnici de mascare a datelor, există o mică șansă ca cineva să poată identifica persoane individuale pe baza tendințelor din datele mascate. Prin urmare, există riscul de a dezvălui informații unor terțe părți.

De cealaltă parte, datele sintetice sunt date care sunt create în mod artificial, mai degrabă decât să fie generate de evenimente reale. Ele nu conțin informații reale despre persoane, ci sunt create pe baza modelului de date sau a modelelor de mesaje pe care o întreprindere le utilizează pentru sistemele sale de producție. Pentru cazurile în care o afacere testează o aplicație complet nouă sau afacerea consideră că mascarea datelor sale nu este suficientă, utilizarea datelor sintetice este răspunsul.

Ce tipuri de date necesită mascarea datelor?

• Informații personale identificabile (PII): Orice date care ar putea fi potențial folosite pentru a identifica o anumită persoană. De exemplu, numele complet, numărul de asigurare socială, numărul permisului de conducere și numărul pașaportului.
• Informații medicale protejate (PHI): PHI include informații demografice, istoricul medical, rezultatele testelor și laboratoarelor, condițiile de sănătate mintală, informații privind asigurările și alte date pe care un profesionist din domeniul sănătății le colectează pentru a identifica îngrijirea adecvată.
• Informații privind cardurile de plată (PCI-DSS): Există un standard de securitate a informațiilor pe care organizațiile trebuie să îl urmeze atunci când manipulează carduri de credit de marcă de la principalele sisteme de carduri.
• Proprietate intelectuală (IP): Proprietatea intelectuală se referă la creațiile minții, cum ar fi invențiile; operele literare și artistice; desenele și modelele; și simbolurile, numele și imaginile utilizate în comerț.

Cum promovează GDPR mascarea datelor?

Mascarea datelor este acceptată ca o tehnică de protecție a datelor persoanelor fizice de către GDPR. Iată articolele conexe în care GDPR încurajează întreprinderile să utilizeze pseudonimizarea:

Articolul 6 (4-e): ” existența unor măsuri de protecție adecvate, care pot include criptarea sau pseudonimizarea.”

Articolul 25 (1): „Ținând seama de stadiul actual al tehnicii, de costurile de punere în aplicare și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile de probabilitate și gravitate diferite pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în momentul prelucrării propriu-zise, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, menite să pună în aplicare în mod eficient principiile de protecție a datelor, cum ar fi reducerea la minimum a datelor, și să integreze garanțiile necesare în prelucrare pentru a îndeplini cerințele prezentului regulament și pentru a proteja drepturile persoanelor vizate”

Articolul 32 litera (a): „Operatorul și persoana împuternicită de către operator și persoana împuternicită de către operator pun în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscului, inclusiv, printre altele, după caz: pseudonimizarea și criptarea datelor cu caracter personal.”

Articolul 40 (2): „Asociațiile și alte organisme care reprezintă categorii de operatori sau persoane împuternicite de operatori pot elabora coduri de conduită sau pot modifica sau extinde astfel de coduri, în scopul de a preciza aplicarea prezentului regulament, cum ar fi în ceea ce privește:

• (d) pseudonimizarea datelor cu caracter personal

Articolul 89 (1): „Prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică sau în scopuri statistice face obiectul unor garanții adecvate, inclusiv minimizarea datelor și pseudonimizarea”

Care sunt câteva exemple de studii de caz de mascare a datelor?