GEM Winch - nástroj anonymizace a řezu dat v databázích

Techniky datových řezů a anonymizace dat se řadí do kategorie organizačního zabezpečení - zabraňuje úniku citlivých dat z organizace. Datové řezy pak slouží k omezení množství dat, které se dále předávají do navazujících úloh.

Podle průzkumu společností New Ponemon a Compuware z prosince roku 2007 až 62% firem používá pro testování a vývoj aplikací produkční data. Právě zde hrozí velké riziko zneužití dat. Do vývojového a testovacího prostředí má často přístup velké množství uživatelů. Většinou jde o vývojáře, testery, konzultanty, ale také o externí pracovníky.

K tomu, abychom zamezili zneužití produkčních dat, slouží anonymizace (někdy také označovaná jako maskování dat). Anonymizace je trochu jiný přístup k ochraně dat, než je například šifrování. Šifrováním data pouze převedeme do nečitelné podoby, kdežto anonymizovaná data stále vypadají jako reálná a co je hlavní, neobsahují žádné citlivé informace. Správně provedená anonymizace neumožňuje návrat k původním datům. Nutnou podmínkou anonymizace je zachování konzistence dat.

Mezi hlavní výhody anonymizace dat patří:

splnění legislativních a regulačních opatření na ochranu dat (zákon č. 101/2000 Sb., O ochraně osobních údajů)
poskytnutí konzistentních dat pro neprodukční prostředí
odstranění citlivých dat

Hlavním účelem datových řezů je minimalizace dat. Datové řezy jako takové nejsou přímo určeny k zabezpečení dat, ale jeden z úhlu pohledu muže být takový, že už i omezením objemu dat v testovacím prostředí částečně chráníme data před jejich zneužitím. Další výhodou použití této techniky je snížení požadavků na hardware v neprodukčních prostředích.

GEM Winch - nástroj anonymizace dat

GEM Winch je univerzální modulární systém pro transformaci, migraci, anonymizaci a vytváření řezů dat, který je v SW Enterprise Architect nainstalován jako Add-In. S GEM Winch snadno a intuitivně určíte, která data mají být obsažena ve vytvořeném vzorku, jaký má být jejich cílový objem, která data budou předmětem anonymizace a jak se budou anonymizovat.

GEM Winch slouží k anonymizaci a řezu dat v databázích. Princip práce s nástrojem je podřízen striktnímu požadavku, aby produkční data nikdy neopustila produkční prostředí v jiné, než anonymizované formě, a aby činnosti nutné k anonymizaci a řezu dat mohl realizovat úzký okruh osob, typicky takový, který už má k datům přístup (DB administrátoři, aplikační podpora).

Postup práce s GEM Winch z pohledu bezpečnosti dat

1. Modelování anonymizace a řezu dat v nástroji Enterpsise Architect (EA). Modelace probíhá pouze nad metadaty bez přístupu k produkčním datům. Výsledkem modelace je anonymizační předpis (ve formě souboru), který obsahuje informace o tom, jaké typy údajů a jakým způsobem mají být anonymizovány a řezány. Modelaci typicky realizuje analytik se znalostí datového modelu aplikace a bezpečnostními nároky kladenými společností na anonymizované údaje.

2. Přenos anonymizačního předpisu na produkční prostředí a spuštění anonymizace. Výsledkem může být buď anonymizovaná a ořezaná kopie produkčních dat nebo anonymizace/řez dat originálních. Tento krok realizují ti zaměstnanci společnosti, kteří mají pověření k práci s citlivými údaji (správce aplikace nebo DB administrátor).

3. Export anonymizovaných dat z produkčního prostředí do neprodukčních prostředí.

GEM Winch poskytuje sestavy o použití anonymizačních funkcí pro jednotlivá pole DB modelu a může sloužit jako podklad pro kontrolu anonymizace dat.

Pro krok jedna jsou k modelaci anonymizace k dispozici předpřipravené anonymizační funkce pro nejčastěji anonymizované citlivé údaje jako jsou jméno a příjmení, rodné číslo, IČ, DIČ, adresa, číslo účtu, IBAN, telefonní číslo a email.

Tyto funkce jsou implementovány tak, aby nebyla možná zpětná transformace dat z anonymizované podoby do té původní, neanonymizované.

Techniky a principy anonymizace dat použité v anonymizačních funkcích:

Anonymizace binárního obsahu - v mnoha případech se v datech vyskytují celé dokumenty. Může jít například o vystavené faktury, fotografie osob apod. Tyto dokumenty mohou v některých případech obsahovat údaje ekvivalentní s údaji v databázi. Pokud bychom tedy anonymizovali všechna data kromě binárního obsahu, může se stát, že velká část údajů zůstane zpětně dohledatelná na základě těchto dokumentů. Nejjednodušší řešení je nahrazení všech záznamů sloupce hodnotou NULL, případně generovat validní dokumenty odpovídajícího typu.

Aplikace pravidel pro dodržení formátu dat - funkce z této kategorie použijeme v případě, kdy máme pevně stanovené požadavky na anonymizované hodnoty dat. Tyto funkce jsou většinou jednoúčelové a nelze je použít na jiný typ dat, než pro který jsou určeny. Jako příklad můžeme uvést anonymizaci rodného čísla, IČ, DIČ, IBAN, kde je nutné dodržet formát dat.

Konzistentní anonymizace dat napříč systémy - sada anonymizačních funkcí zajišťuje, že konzistenci a referenční integritu anonymizovaných dat napříč systémy.

Mikro agregace - jde o funkci použitelnou na číselné údaje. Data určená k anonymizaci se seřadí a rozdělí na několik skupin. V rámci každé skupiny je použita agregační funkce (typicky aritmetický průměr) pro výpočet finální hodnoty a tato hodnota je použita k anonymizaci hodnot dané skupiny.

Náhodné generování znaků - nejjednodušší způsob anonymizace je vygenerování sekvence náhodných znaků, kterými je následně nahrazena původní hodnota. Výsledkem funkcí tohoto typu jsou řetězce, které na první pohled nedávají žádný smysl. Splňují sice účel dokonalé anonymizace, ale ztrácí základní vypovídající hodnotu reálných dat.

Použití předpřipravených slovníků - tento typ funkcí ke své činnosti potřebuje předem připravený slovník řetězců, ze kterých náhodně vybírá výslednou hodnotu. Funkce kontroluje, zda se výsledná hodnota odlišuje od hodnoty původní, popřípadě musí provést nový náhodný výběr. Tyto funkce využíváme například při anonymizaci jmen, názvu obcí, ulic a dalších typů dat, ke kterým existuje známý seznam hodnot.

Přidávání šumu - patří mezi méně bezpečné metody. Principem je přidávání náhodných hodnot k existujícím hodnotám, např. přičítání náhodné hodnoty ke stavu účtu klienta.

Zamíchání dat (Shuffling) - tato metoda je zajímavá tím, že ke své práci používá původní data. Hlavní princip spočívá v "promíchání" dat v jednom sloupci. Výsledek je pak takový, že žádný záznam nezůstane na svém místě. Vzhledem k tomu, že se jako nahrazované hodnoty používají původní data, pouze výsledná hodnota je vybrána z jiného náhodně vybraného záznamu, anonymizovaná data vypadají velice věrohodně.