Как мы создали систему для защиты баз данных, которую нельзя взломать
С 30 мая 2025 года в России вступают в силу дифференцированные штрафы за утечку ПДн – от 3 до 500 млн рублей в зависимости от объема утекшей информации. Эти изменения обостряют потребность бизнеса в обеспечении максимальной защиты чувствительных данных. Расскажем, какие технологии могут в этом помочь и как мы реализовали их в нашем продукте.
Меня зовут Александр, я совладелец и технический директор компании-разработчика в сфере информационной безопасности «ЭВРИТЕГ». Мы помогаем компаниям защитить конфиденциальные данные и предотвратить их утечки.
Мы занимаемся разработкой продуктов в трех направлениях, но в этой статье я расскажу о нашей последней разработке – платформе безопасности данных. Ниже объясню, почему мы взялись за этот проект, чем он отличается от других решений на рынке, с какими сложностями мы столкнулись при его создании и что из этого вышло.
Почему рынку потребовалась новая технология защиты данных
До 2022 года большинство утечек в России происходило по вине сотрудников компаний: из-за ошибок, неосторожности или злонамеренных действий инсайдеров. На их долю приходилось 79,1% всех случаев компрометации данных. Но ситуация изменилась, на первый план вышли кибератаки, а параллельно бизнес столкнулся с перспективой жестких штрафов за утечки данных. В результате наметилась тенденция отхода от концепции «бумажной безопасности» (системы защиты, соответствующие регуляторным требованиям, но не всегда наиболее эффективные на практике) в сторону реальной кибербезопасности – технических решений, действительно способных противостоять атакам.
Мы поняли, что компании начнут искать технологии, которые способны реально предотвратить утечки. И решили разработать такую систему.
Как мы разрабатывали решение и с какими сложностями столкнулись
У нас была идея – создать систему, которая обеспечит максимальную защиту данных. Но прежде, чем приступать к ее разработке, важно было понять, какие именно проблемы нужно решать и что требуется компаниям.
Кастдев и поиск болевых точек
Главная сложность кастдева заключалась в том, что службы безопасности неохотно делятся своими проблемами. Зачастую они либо не хотят раскрывать реальные проблемы, либо сами до конца не осознают, какие конкретные решения им нужны.
Другой вызов заключался в том, что наш новый продукт должен был учитывать требования сразу двух подразделений: ИБ-служб и ИТ-отделов. Эти департаменты часто действуют независимо друг от друга, что затрудняет сбор информации о реальных потребностях, поэтому кастдевить продукт оказалось непросто.
Мы искали людей, которые, во-первых, готовы были обсуждать реальные проблемы, понимали, что им нужно, и могли бы объяснить реальные сценарии и угрозы, предотвращение которых имеет смысл и ценность. Найти таких специалистов было сложно. И хотя активная фаза кастдева длилась 3-4 месяца, мы продолжаем собирать обратную связь и дорабатываем продукт до сих пор.
Основные угрозы безопасности
Очевидно, что для выставления действительно надежной защиты, важно понимать, как именно происходят утечки. Мы выделили три ключевых источника угроз:
- Хакерские атаки, когда злоумышленники пытаются взломать систему извне.
- Корпоративный шпионаж – когда кто-то из сотрудников целенаправленно работает на то, чтобы слить данные.
- Ошибки администраторов и пользователей, а именно пренебрежение мерами безопасности, неверные настройки и банальный человеческий фактор.
Решения на рынке обычно защищают либо от хакеров (например, Firewall), либо от привилегированных или непривилегированных пользователей (PAM и DAM). То есть нам требовалось создать такую систему, которая будет защищать сразу от всех трех типов угроз.
Как мы решили поставленную задачу
Мы разработали систему, которая создает защищенную среду для работы систем управления базами данных. Проще говоря, наша технология работает как сейф, или «черный ящик», в который можно поместить данные и гарантированно защитить их от утечек. При этом есть три ключевых механизма, которые обеспечивают эту защиту.
1. Защита от ошибок пользователей
Мы ограничили возможности пользователей и администраторов, чтобы исключить вероятность ошибок и злоупотреблений. Принцип похож на правила при создании паролей: если пароль должен содержать заглавные буквы и цифры, то пользователь не сможет задать слишком простой вариант. Мы применили такой же подход ко всем действиям с данными.
Как это работает:
- Все запросы проходят через единый «шлюз доступа данных», что исключает техническую возможность работать с базой данных напрямую.
- Действия пользователей фиксируются и логируются с помощью систем Database Activity Monitoring (DAM).
- Были максимально ограничены возможности пользователей при работе с данными, чтобы минимизировать риски, в том числе взлома клиентского рабочего места со стороны хакеров.
2. Защита от привилегированных пользователей
Бывает, что администраторы совершают ошибки при настройке и эксплуатации системы, что может привести к появлению новых уязвимостей, а в худшем случае они целенаправленно сливают данные. Широко известные на рынке системы Privileged Access Management (PAM) фиксируют их действия, но фактически не могут предотвратить утечку в случае ее возникновения. Мы решили эту проблему, применив GitOps-подход к управлению конфигурацией узлов.
Что получилось:
- Все изменения в системе хранятся в декларативной модели в Git.
- Нет возможности прямого ручного конфигурирования – все настройки применяются системой автоматически и только в том виде, в котором не будет снижаться уровень ее защищенности.
- Администратор не может напрямую взаимодействовать с серверами и бесконтрольно менять параметры (отсутствует техническая возможность подключения к узлу через SSH или иным способом).
Именно такой подход исключает риски расхождения реальной конфигурации и декларируемой, а также недопустимые настройки и защищает систему от преднамеренных или ошибочных действий администраторов.
3. Защита от хакеров
Одной из ключевых угроз для безопасности данных остаются внешние кибератаки. Причем злоумышленники могут задействовать сложные сценарии взлома, комбинируя разные методы атак.
Что мы реализовали:
- Минимизация поверхности атаки за счет сокращения количества узлов, принимающих внешние соединения (через реализацию P2P VPN на базе WireGuard). Все узлы видят друг друга, но извне они все недоступны.
- Строгие сетевые ограничения на соединения внутри и извне – как на уровне узлов, так и на уровне ПО.
- Шлюз доступа к данным (в частности, выполняющий роль DBF) не просто фиксирует запросы, а анализирует их в режиме реального времени и производит авторизацию и фильтрацию выдаваемых данных. При обнаружении аномального поведения блокирует доступ и сигнализирует об инциденте.
- Реализация функционала для эксплуатации таким образом, чтоб не снижать уровень защищенности данных. Так, резервные копии создаются "внутри" комплекса по расписанию или запросу администраторов только в зашифрованном виде с разделением ключа на нескольких ответственных лиц по схеме Шамира – на случай, если возникнет необходимость восстановления копии вне нашего комплекса.
- Максимальное исключение технической возможности человеческой ошибки настройки или утраты учетных данных, в том числе привилегированными пользователями.
Как игроки рынка отреагировали на наш продукт
Еще на этапе обсуждения идеи, которая позже воплотилась в нашей платформе безопасности данных, мы получили инвестиции от фонда «Сайберус», который поддерживает проекты в сфере кибербезопасности. Средства были направлены на разработку системы.
В процессе работы над продуктом, мы понимали, что он предлагает более высокий уровень защиты данных, чем существующие на российском рынке готовые решения. Но чтобы убедиться, что мы действительно создаем востребованный инструмент, нам нужно было получить обратную связь от игроков отрасли, для которых защита данных является приоритетной задачей.
На этапе кастдева мы ожидали, что главным преимуществом нашей системы станет возможность разворачивать базы данных в изолированной, защищенной среде – своеобразном «сейфе» для чувствительной информации. Но для многих компаний не менее ценной оказалась функция автоматического анализа всех запросов к базе данных в режиме реального времени с возможностью выявления аномалий до того, как произойдет инцидент. Поскольку большинство стандартных DBFрешений на рынке – как уже было отмечено ранее – только фиксируют нарушения, но не могут их предотвратить.
Еще один инсайт, который мы получили от участников кастдева, касался масштабируемости и гибкости продукта. Дело в том, что у многих компаний уже есть свои хранилища данных, но они хотели бы усилить контроль над запросами к БД. Поэтому мы решили создать облегченную версию нашего продукта, которая может работать как решения типа Data Security Platform (DSP). Иными словами, компании могут использовать нашу платформу как шлюз доступа, дополняющий существующую инфраструктуру.
Можно ли вообще гарантировать защиту данных
В кибербезопасности не принято давать 100% гарантии. Однако мы считаем, что можем предложить максимально возможный уровень защиты. Чтобы это доказать, мы решили публично проверить свою систему и запустили открытые кибериспытания. Суть эксперимента проста: мы развернули защищенную нашим продуктом БД с вымышленными, но структурированными данными интернет-магазина и предложили хакерам попытаться ее взломать. Если им удастся получить 10 000 строк данных, они получат денежный приз в 2 000 000 рублей.
Если спустя несколько месяцев никто не сможет получить данные, мы планируем увеличить призовой фонд. Ведь чем выше будет сумма, тем больше талантливых хакеров мы сможем привлечь, а значит тем выше будет уверенность в надежности нашей платформы. Плюс ко всему такой подход связан с проверкой экономики кибератак. Любой хакер, будет понимать, что раз есть публичная система, которую можно легально взломать и получить за это вознаграждение, то зачем рисковать и делать это незаконно?
Этот эксперимент – не просто маркетинговый ход, а реальный способ доказать эффективность нашей системы. Ведь если даже мотивированные, квалифицированные хакеры, обладающие всеми исходными данными, не смогут добыть наши данные, это будет означать, что мы действительно достигли нового уровня защиты данных.