Надано Capital One
Безпека даних залишається однією з найменш розвинених сфер у корпоративному кібербезпековому ландшафті. Згідно зі звітом IBM, 35% інцидентів безпеки у 2025 році були пов’язані з некерованими джерелами даних або “тіньовими даними”. Це свідчить про системний брак базового розуміння даних. Проблема не в відсутності інструментів чи інвестицій. Вона полягає в тому, що багато організацій досі стикаються з найфундаментальнішими питаннями: Які дані ми маємо? Де вони зберігаються? Як вони переміщуються? І хто за них відповідає?
У все більш складному екосистемі джерел даних, хмарних платформ, SaaS-додатків, API та моделей штучного інтелекту (ШІ) відповіді на ці питання стають лише складнішими. Подолання розриву у зрілості безпеки даних вимагає культурних змін, де безпека більше не розглядається як другорядне завдання. Натомість, захист має бути вбудований протягом усього життєвого циклу даних, ґрунтуючись на надійному інвентарному обліку, чіткій класифікації та масштабованих механізмах, що перетворюють політику на автоматизовані запобіжники.
Видимість як фундамент
Найбільш стійким бар’єром на шляху до зрілості безпеки даних є базова видимість. Організації часто зосереджуються на обсязі даних, які вони зберігають, але не на їхньому складі. Чи містять ці дані персонально ідентифіковану інформацію (PII)? Фінансові дані? Медичну інформацію? Інтелектуальну власність? Без такого рівня розуміння та інвентаризації значно складніше впровадити ефективний захист.
Цього можна уникнути, надаючи пріоритет корпоративним можливостям, які здатні виявляти конфіденційні дані у великих масштабах по всьому різноманітному ландшафту. Виявлення має поєднуватися з діями: видаленням даних, коли вони більше не потрібні, та захистом даних, де це необхідно, шляхом узгодження виконання політик із чітко визначеною політикою.
Зрілі організації повинні почати розглядати безпеку даних як проблему “розуміння свого середовища”. Ведіть інвентарний облік, класифікуйте дані в екосистемі та узгоджуйте заходи захисту з класифікацією, а не покладайтеся виключно на периферійні засоби контролю чи точкові рішення для масштабування.
Захист хаотичних даних
Однією з причин, чому безпека даних відстає від інших сфер безпеки, є хаотичність самих даних. На відміну від периферійної безпеки, яка спирається на чіткі порти та визначені межі, дані переважно непередбачувані. Це означає, що одна й та сама інформація може існувати в дуже різних форматах: структуровані бази даних, неструктуровані документи, розшифровки чатів або аналітичні конвеєри. Кожен з них може мати незначно різні кодування або трансформації, які вносять непередбачені, і часто невиявлені, зміни в самі дані.
Людська поведінка посилює проблему, оскільки різні дії створюють ризики, які периферійні засоби контролю просто не можуть передбачити. Це може бути будь-що, від номера кредитної картки, скопійованого в поле для вільних коментарів, електронного листа з набором даних, надісланого за межі призначеної аудиторії, або набору даних, перепризначеного для нового робочого процесу.
Коли захист додається в кінці робочого процесу, організації створюють сліпі зони. Вони покладаються на подальші перевірки для виявлення недоліків дизайну на початкових етапах. З часом накопичується складність, і ризик витоку стає питанням часу, а не “якщо”.
Більш стійка модель передбачає, що конфіденційні дані з’являтимуться в несподіваних місцях та форматах, тому захист вбудовується з моменту збору даних. Багатошаровий захист стає принципом дизайну: сегментація, шифрування даних у стані спокою та під час передачі, токенізація та багатоступеневий контроль доступу.
Критично важливо, щоб ці запобіжники супроводжували дані протягом усього життєвого циклу: від отримання до обробки, аналізу та публікації. Замість того, щоб ретроспективно додавати засоби контролю, організації проєктують системи з урахуванням хаосу. Вони приймають мінливість як даність і створюють системи, які залишаються безпечними, навіть коли дані відхиляються від очікуваних параметрів.
Масштабування управління за допомогою автоматизації
Безпека даних стає операційно стійкою, коли управління забезпечується автоматизацією з самого початку. У поєднанні з чіткими очікуваннями щодо створення обмежених контекстів: команди розуміють, що дозволено, за яких умов і з якими заходами захисту дані можуть бути ефективно використані.
Це стає ще більш важливим сьогодні. Системи ШІ часто потребують доступу до величезних обсягів даних з різних доменів. Це робить реалізацію політик особливо складним завданням. Для ефективного та безпечного виконання цього необхідні глибоке розуміння, сильні політики управління та автоматизований захист.
Техніки безпеки, такі як синтетичні дані та заміна токенів, дозволяють організаціям зберігати аналітичний контекст, водночас ускладнюючи читання конфіденційних значень. Шаблони “політика як код” (policy-as-code), API та автоматизація можуть обробляти токенізацію, видалення, обмеження терміну зберігання та динамічний контроль доступу. Завдяки запобіжникам, вбудованим у платформи, якими вони користуються, інженери можуть більше зосередитися на інноваціях з даними та досягненні бізнес-результатів у безпечний спосіб.
Системи ШІ також повинні функціонувати в рамках тих самих очікувань щодо управління та моніторингу, що й людські робочі процеси. Права доступу, телеметрія та засоби контролю того, до чого моделі можуть отримати доступ, а також інформація, яку вони можуть публікувати, є надзвичайно важливими. Управління завжди створює певний рівень тертя. Мета полягає в тому, щоб зробити це тертя зрозумілим, керованим і все більш автоматизованим. Підтвердження мети, реєстрація випадків використання та динамічне надання доступу на основі ролі та потреби мають бути чіткими, повторюваними процесами.
У корпоративному масштабі це вимагає централізованих можливостей, які реалізують політику кібербезпеки в домені даних. Це включає механізми виявлення та класифікації, служби токенізації та детокенізації, забезпечення дотримання термінів зберігання, а також механізми володіння та таксономії, які каскадують очікування щодо управління ризиками до щоденного виконання.
При правильному виконанні управління стає шаром, що сприяє ефективності, а не вузьким місцем. Метадані та класифікація автоматично керують рішеннями щодо захисту, одночасно прискорюючи бізнес-відкриття та використання. Дані захищені протягом усього життєвого циклу за допомогою надійних засобів захисту, таких як токенізація, та видаляються, коли цього вимагає регулювання чи внутрішня політика. Не повинно виникати потреби, щоб команди вручну “торкалися даних” для кожного рішення щодо контролю, оскільки політика забезпечується на етапі проєктування.
Будуємо для майбутнього
Простими словами, подолання розриву у зрілості безпеки даних – це менше про впровадження однієї революційної технології, а більше про операційну дисципліну. Створіть карту. Класифікуйте те, що у вас є. Вбудовуйте захист у робочі процеси, щоб безпека була масштабованою та повторюваною.
Для бізнес-лідерів, які прагнуть вимірювального прогресу протягом наступних 18–24 місяців, виділяються три пріоритети.
По-перше, створіть надійний інвентарний облік та карту екосистеми даних, багату на метадані. Видимість є обов’язковою. По-друге, впровадьте класифікацію, пов’язану з чіткими, дієвими очікуваннями щодо політики. Зробіть очевидним, які заходи захисту вимагає кожна категорія. І, нарешті, інвестуйте в масштабовані, автоматизовані схеми захисту, які інтегруються безпосередньо в робочі процеси розробки та обробки даних.
Коли захист переходить від реактивних додаткових елементів до проактивних вбудованих запобіжників, дотримання нормативних вимог стає простішим, управління – сильнішим, а готовність до ШІ – досяжною, без компромісів щодо суворості.
Дізнайтеся більше про те, як Capital One Databolt, рішення для корпоративної безпеки даних від Capital One Software, може допомогти вашому бізнесу стати готовим до ШІ шляхом забезпечення безпеки конфіденційних даних у масштабі.
Ендрю Сітон – віце-президент з інженерії даних, виявлення та захисту корпоративних даних у Capital One.
Спонсорські статті – це контент, створений компанією, яка або платить за публікацію, або має ділові відносини з VentureBeat, і вони завжди чітко позначені. Для отримання додаткової інформації зв’яжіться з [email protected].
Як захиститися (Порада ІТ-Блогу): Завжди створюйте інвентарний список усіх ваших даних, класифікуйте їх за рівнем конфіденційності та впроваджуйте автоматизовані засоби контролю доступу. Не покладайтеся виключно на периферійний захист.
Дізнатися більше на: venturebeat.com