三個你應該把資料遮罩納入資料安全策略的原因

二月 17, 2017 | IMPERVA, 產品新聞

什麼是資料遮罩(Data Masking)?

資料遮罩又稱為資料去識別化(data anonymization)或匿名化(pseudonymization),用於減少機敏資料非必要的散佈或揭露,在保護資料同時也維持其可用性。資料遮罩用虛擬資料取代真正的資料,以便在實際資料不需使用的情況下可被安全的運用。Gartner 形容這是”用像真的虛擬資料取代真實資料,避免在不同的使用情況下造成資料遺失,可以動態保護敏感資料的技術”。

資料遮罩可以保護許多形式的機敏資料,包括(但不侷限):

  • 個人身分資料 (Personally identifiable information ,PII)
  • 受保護的醫療資料 (Protected health information ,PHI)
  • 支付卡資料 (Payment card information, 受PCI-DSS規範)
  • 智慧財產 (Intellectual property, 受ITAR和EAR規範)

透過資料遮罩,資料的內容將在格式不變的情況下被變更。例如,信用卡原本的16位卡號是1234-5678-9123-4567,資料遮罩改變了這些數字,但仍然是16位的格式,以這個例子來說,遮罩後的信用卡號可能會變成9876-5432-1987-6543。資料遮罩透過幾種方式變更機敏資料,包括替換符號或數字、符號換序,或是使用演算法產生和原有資料同屬性的隨機資料。

有鑑於保護機敏資料是企業組織的首要考量,這邊列出了三個IT資安人員應該將資料遮罩納入資料安全策略的原因。

1.保護非正式環境(non-production)資料

對許多企業組織來說,將正式環境的資料備份給非生產單位使用是必要的,例如以下資料:

  • 應用程式開發測試
  • 人員培訓
  • 業務分析模擬

只要擁有一份以上的機敏資料備份,就增加資料落入不法份子手中的可能性。
想要安全地分享/複製/使用機敏資料,遮罩能幫助你保護資料、滿足合規需求,同時卻不會影響企業運作。
新的部署或升級可能對非生產用資料進行分割和儲存與測試,如果不加以受保護,非正式環境中的資料可能被承包商或海外工作人員存取,並可能透過雲端或可移除式裝置進行移轉。類似這樣暴露於風險之中的資料集可能有好幾個。
只要資料仍可用於非正式環境,遮罩就能協助控制具有弱點或可能被竊取的真實資料散佈出去,並減少企業組織潛在的攻擊威脅。

2.免於內部威脅

參與周邊防禦的受信任員工(開發人員,訓練人員,業務分析師等)可能有存取資料的必要,但不需要存取正式環境的生產資料。
Camouflage(被Imperva併購的資料保護軟體公司)在一份報告中說:「…實際上,現今企業組織的真正威脅可能來自內部,來自內部人員的威脅等級無法被低估。」來自開放安全基金會的一項研究(2013年)發現,雖然內部人員只造成19.5%的意外事件,卻是66.77%資料外洩的肇事源頭。 1 研究機構 Ponemon 預估有88%的資安漏洞與內部人員疏忽有關。若單就醫護領域來看,創始人Larry Ponemon博士說:「內部問題,如無意的員工行為、第三方破壞、設備被竊等,佔了資料外洩問題的一半成因。」

透過機敏資料的遮罩,企業組織能提供員工完成工作所需的資料,同時降低惡意、粗心或被駭內部人員的資料外洩風險。

3.GDPR合規

歐盟在2016年通過的GDPR資料保護規則,將在2018年5月生效,目的是加強、統一個人資料的保護,也是因應資料外洩影響歐盟公民的反應對策。

不遵守相關規範也可能面臨某些重大罰則。根據國際隱私專家協會(IAPP)的資料,GDPR的制裁包括:

  • 對於首次和非故意的不合規給予書面警告
  • 一般定期資料保護稽核
  • 最高1000萬歐元或2%全球年營業額的罰金,以前一個會計年度為準,兩者取較大者。
  • 最高2000萬歐元或4%全球年營業額的罰金,以前一個會計年度為準,兩者取較大者。

GDPR導入了兩個關鍵概念來保護公民的隱私權:資訊最少化(Data minimization)和匿名化(Pseudonymization),同時讓資料管控人員可將收集來的資料用於其他目的。

GDPR要求企業組織實施資訊最少化,也就是只能收集和使用限於特定目的所需的資料,保留資料不再是必要的,而且不能提供給不確定的人數。舉例來說2,如果保險公司為了發佈政策而收集個人資料,同時又想分析這些從客戶收集來的資料以改進定價策略,這種作法是不被允許的,因為為了某個目的(如發布策略)收集來的個人資料不能用於新目的(如建立定價分析用的資料庫)。然而,如果資料透過遮罩進行匿名化或去識別化,那麼遮罩過的資料庫就可以用於定價分析。

匿名化同時也能滿足GDPR的資料安全要求。

第32條條例制定了企業組織在保護個人資料上必須做的主要規範,其中也特別提到個人資料加密和匿名化。資料遮罩是資料匿名化的一種方式,特別是在非正式的資料環境中,例如應用程式開發測試、人員培訓和分析。透過以虛擬資料替換機敏資料的方式,資料遮罩解決方案可幫助企業組織滿足GDPR主要條例的合規要求。 

Camouflage型錄下載

了解更多資料遮罩相關內容,請下載 IMPERVA資料遮罩導覽白皮書
了解更多GDPR合規要求,請見 資料隱私與安全規定導覽

[1] Report Data Breach Quick View, Open Security Foundation, 2015
[2] Blog Chapter 6: Data Protection Principles – Unlocking the EU General Data Protection Regulation, White & Case, July 2016