BI-системы обрабатывают огромные массивы корпоративных данных: от внутренних показателей до ключевых бизнес-метрик. Поэтому вопросы информационной безопасности здесь выходят на первый план. Несмотря на то, что системы класса BI сами редко порождают данные, они, подключаясь к системам-источникам, могут генерировать объединённые наборы данных, которые будут иметь дополнительную ценность.

Чтобы разобраться, как именно стоит подходить к защите данных в системах аналитики, мы задали ключевые вопросы Максиму Игошину, ведущему системному администратору Alpha BI.

Любая BI-система работает с данными, причем зачастую с наиболее чувствительными: финансовыми, персональными, стратегическими. Основные риски ИБ связаны с неправомерным доступом или раскрытием информации. Дополнительную угрозу представляют недостаточная сегментация доступа, незащищенные каналы передачи данных и отсутствие контроля за действиями пользователей.

Порой BI-системы воспринимаются не как объект критической инфраструктуры, который не относится к основному производству. Значит и требований к ним применяют значительно меньше: не используется парольная политика, BI-система находится в открытом контуре, используются небезопасные способы передачи данных.

Самые частые требования заказчиков — это разграничение прав доступа до уровня отчетов, полей и бизнес-объектов, а также аутентификация через корпоративные сервисы (например, Active Directory, OpenID Connect, SAML).

Все чаще обязательным условием становится логирование действий пользователей (входы, построение отчетов, экспорт данных), что особенно критично в госсекторе и крупном бизнесе.

В Alpha BI довольно гибкая система разграничения прав. При желании можно точечно выдать права к отдельным элементам системы только на чтение. Например, человеку можно дать доступ только к одному бизнес объекту или аналитическому хранилищу данных. Если у людей права разные, то при генерации одного и того же отчета данные в отчете будут различаться. Допустим, они работают в разных структурных подразделениях предприятия и доступ имеют только к данным своего подразделения.

Основные инструменты — это гибкая ролевая модель, политика сложных паролей, использование защищенных каналов связи. В зависимости от выстроенной архитектуры, Alpha BI вообще может не хранить конфиденциальную информацию: каждый раз при открытии дашборда или генерации отчета данные будут запрашиваться из целевых систем.

Вот несколько важных аспектов, которые стоит учитывать:

• Использование защищенных каналов связи. Все соединения должны происходить через зашифрованные протоколы, такие как https. Это исключает перехват данных на этапе передачи.
• Минимизация прав доступа. BI-система должна иметь доступ только к тем данным, которые действительно используются в аналитике.
• Управляемость и отслеживаемость. В идеале — каждая точка интеграции должна логироваться: кто, когда и по каким данным сделал запрос. Это помогает не только обеспечить безопасность, но и упростить аудит.
• Идентификация системы как субъекта доступа. Подключение должно осуществляться от имени BI-платформы через сервисные учетные записи, а не от имени пользователя, чтобы исключить риск использования его прав в неконтролируемом сценарии.

ИБ всегда кажется сложным и скучным 🙂 ИБ постоянно приходится балансировать между удобством использования и степенью защищенности. Нет волшебного или универсального решения. Подход к обучению такой же, как и в любой другой информационной системе: обучение использования учетных записей, автоматизированного рабочего места, работы с данными.

Для начала стоит уточнить: облако не означает, что данные в нём размещены в открытом доступе и ими может воспользоваться любой. Современные частные облака могут обеспечивать очень высокий уровень защищенности данных: доступ к серверам ограничен, можно организовать закрытые защищенные сети передачи данных, виртуальные машины могут находиться в зашифрованных томах. Все основные отечественные поставщики облаков имеют уровень защищенности в соответствии со стандартами индустрии и законодательными требованиями. Их услугами могут пользоваться не только коммерческие организации, но также и финансовый сектор, телеком, организации сферы здравоохранения, образования, энергетики, промышленности и другие.

On-premise выбирают, когда необходимо следовать требованиям закона или когда организация сама решает, что лучше держать вычислительные ресурсы «у себя». Одна из главных причин — полный контроль над серверами и информационными системами сотрудниками организации. В облаках за «железо» отвечают сотрудники организации, предоставляющей ресурсы облака. С одной стороны, это удобно: не нужно держать в штате специалистов по железу и постоянно модернизировать его. С другой — нет полного контроля над серверами, а это уже является рисками.

Alpha BI изначально проектировалась для организаций с повышенными требованиями к информационной безопасности — госсектор, промышленность, финансы. В отличие от универсальных платформ, Alpha BI адаптирована под российские реалии и регуляции.

Система предлагает:

• авторизацию и аутентификацию через OpenID Connect, Active Directory, SAML;
• ролевую и разрешительную модель доступа с ограничением прав до уровня полей и бизнес-объектов;
• строгую политику паролей;
• защищенные соединения (https);
• возможность не хранить данные в системе аналитики, а запрашивать их из источников в момент отчета.

Например, в одной из госкорпораций Alpha BI использовалась для анализа закупок: доступ к отчетам ограничивался по ролям, а действия сотрудников логировались в соответствии с требованиями ИБ-департамента.

Важно сразу выбирать платформу, где защита встроена в архитектуру.

В Alpha BI безопасность реализована на всех уровнях: от интеграции с корпоративными системами до разграничения прав и безопасных каналов связи. Платформа адаптирована под российское законодательство и подходит для использования в средах с высокими требованиями к защите информации.