Большинство компаний хранят свои основные бизнес-данные в реляционных базах. А СУБД большинства компаний поддерживают технологию усиленной защиты и шифрования данных. Но применяет ли большинство пользователей эти функции безопасности, встроенные в их системы?
Думаю, в более 70% установленных СУБД такие возможности либо вообще не используются, либо используются в очень малой степени. Представьте себе, что вся информацию о клиентах попадёт в руки конкурентов из-за того, что уволившийся администратор прихватил с собой резервную копию базы данных. Или хакер сумел создать такой вирус, который читает и крадёт данные из вашей реляционной базы данных.
Украсть данные можно различными способами, например, скопировать или изменить информацию в физических файлах базы данных. Такое бывает в системах с мобильными клиентами, например, когда вор действует под видом уполномоченного пользователя системы, базы данных или приложения. Для этой цели существует программное обеспечение для создания и автоматического использования списков паролей. Для воровства часто бывает достаточно всего лишь звонка по телефону якобы из службы поддержки пользователей с прямым запросом пароля и идентификатора пользователя. Иногда вор использует существующее соединение с базой данных, установленное через сеть уполномоченным пользователем (это называется похищением, hijacking). Похититель перехватывает незашифрованную информацию, когда она передаётся через сеть.
Большинство поставщиков баз данных удовлетворяют увеличившиеся потребности в защите данных и выпускают версии продуктов с большими возможностями защиты. Пользователю остаётся лишь выбрать подходящий для него продукт, а главное - использовать надёжную технологию защиты.
Ответственность администраторов. Наибольшая ответственность за безопасность систем управления базами данных лежит на администраторах. Они должны применять встроенную технологию защиты установленных баз данных. Они должны применять технологию безопасности для защиты центральных хранилищ данных, и в качестве периферийных баз данных должны использовать защищённые базы данных, а не те настольные базы, которые лишены защиты.
Утеря или кража переносных компьютеров сотрудников с важной информацией в незащищённых базах данных может привести к большому коммерческому ущербу и даже к ущербу безопасности страны, если государственные или военные секреты попадут в руки третьих лиц. Вспомним хотя бы о том, что произошло в конце войны против Ирака. Во многих посольствах правительственные компьютеры просто исчезли. Я уверен, что ни один посол не желал бы, чтобы украденными из его посольства правительственными данными торговали на аукционе eBay!
Ответственность пользователей. Чем крупнее предприятие, тем труднее ограничить доступ, разрешив его только уполномоченным пользователям. Чем больше количество уполномоченных пользователей, тем труднее не допустить утечки информации за пределы их круга. Тут дело не в том, насколько можно доверять сотрудникам, а в небрежности и отсутствии бдительности у пользователей.
Они порой оставляют на столах бумаги с паролями и именами пользователей, придумывают слишком простые пароли, облегчая тем самым неуполномоченным пользователям задачу получения доступа к защищённым областям. Забыв выйти из системы и оставив включенный компьютер без присмотра, пользователь даёт злоумышленнику шанс нанести ущерб предприятию.
Вот почему так важна самодисциплина пользователей и их чувство ответственности.
Но пользователям уже облегчили жизнь. Уже существуют профессиональные базы данных для персональных компьютеров, шифрующие свои данные независимо. Этот процесс выполняется автоматически без помощи криптографического инструмента, требующего предварительной активации. Пользователь не замечает этого процесса. Говоря другими словами, пользователю больше не нужно думать о шифровании.
Благодаря этой технологии безопасности, кража ноутбука сотрудника в командировке уже не так страшна, поскольку вор не сможет воспользоваться имеющимися на жёстком диске данными, и весь ущерб определяется только стоимостью самого компьютера. Конечно, это справедливо только в том случае, если пользователь по небрежности не записал свой пароль на корпусе ноутбука.
Представьте себя на месте администратора базы данных предприятия, где кто-то украл важные данные о клиентах и передал эти данные конкуренту. Ваш начальник спрашивает, что нужно приобрести, чтобы защитить данные от подобных происшествий в будущем. Очевидно, начальнику не понравится узнать о том, что ничего покупать не надо, поскольку всё необходимое для защиты данных уже есть, но просто не используется.