Опрос специалистов по СУБД SQL Server показал, что основными причинами нарушения безопасности являются: несанкционированный доступ со стороны сотрудников предприятий, ошибки людей и установка заплат. Но несмотря на это, администраторы баз данных уверены в способности своих организаций решить эти проблемы.
Это результат исследований, проведенных компанией Unisphere Research при поддержке фирмы Application Security на основании опроса 761 члена организации Professional Association for SQL Server (PASS). Оказалось, что 20% респондентов считают нарушение безопасности в ближайшем году либо неизбежным либо весьма вероятным, но две трети участников опроса назвали такое событие чрезвычайно маловероятным или довольно маловероятным.
Кроме того лишь 7% респондентов сообщили, что в течение года произошел один или несколько взломов баз данных. Среди них 34% указали на внешний источник взлома, а 21% — на внутренний. Однако многие профессионалы (65%) считают, что наибольший риск для безопасности представляют ошибки людей. Под этим определением подразумеваются незлонамеренные нарушения правил, которые приводят к порче данных, и ошибки, возникающие при обновлении прав пользователей, которое часто выполняется вручную.
“В связи с возможными последствиями взлома, безопасность баз данных должна быть одним из главных приоритетов и поддерживаться руководством компании, — сказал Том Ванхорн, вице-президент по глобальному маркетингу Application Security. — Для этого нужно информировать сотрудников, повышать их профессионализм, четко распределять ответственность, а также обеспечивать инструменты и финансирование для выполнения этих задач”.
Второе место в рейтинге источников угроз после ошибок людей занимают атаки хакеров из числа сотрудников компании и превышение полномочий доступа (44%). В другом отчете Unisphere Research, составленном по результатам опроса членов организации Independent Oracle Users Group, указываются примерно такие же результаты: 34% из 430 респондентов считают эти источники главными причинами нарушения безопасности.
Как правило, организации начинают решать проблемы защиты с построения стены вокруг своих сетей с помощью сетевого экрана. Но это примерно то же самое, что поставить стражу у дверей, но оставить деньги на прилавке, сказала Ванхорн. Следить за доступом к базе данных конечно нужно, но для предотвращения атак со стороны сотрудников требуется сделать нечто большее. “Очень важно постоянно проверять права доступа ради уверенности в том, что сотрудники и партнеры могут обращаться только к минимальному объему ответственных данных, необходимых для выполнения их обязанностей, — сказал он. — Требование к разделению обязанностей является одним из краеугольных камней практически всех требований регулирующих органов”.
На вопрос о том, обеспечивают ли их средства контроля адекватную защиту баз данных от взломов и атак, 69% респондентов сказали, что почти все или большинство их баз данных находятся в безопасности. Однако 18% участников опроса считают, что у них средств защиты не хватает. Только 33% сообщили, что персональная идентификационная информация, такая как номера социальных страховок и кредитных карт, шифруются во всех базах данных. А 25% респондентов вообще не используют шифрование для защиты данных.
Технология маскирования данных применяется еще реже — лишь 20% используют ее во всех базах данных для защиты персональной информации, а 36% — совсем не применяют.
Мало кто торопится устанавливать заплаты. Только 20% внедряют заплаты для SQL Server сразу после их выпуска компанией Microsoft; 31% применяют заплаты для устранения дыр в защите не реже раза в месяц, 19% — раз в квартал, а 10% раз в полгода. Такие результаты несколько удивили Ванхорна.
“Совершенно очевидно, что гораздо важнее своевременно устанавливать заплаты для баз данных, содержащих номера кредитных карт, соцстраховок и интеллектуальную собственность, чем для баз данных, в которых записаны расписания игры в софтбол, — сказал он. — Но так или иначе, определяющими здесь являются осведомленность, знания и коммуникация. За счет автоматизации связанных с этими компонентами процессов ресурсы можно развернуть так, чтобы охватить широкой круг заданий, исключить ошибки людей и сэкономить компании немалые деньги, обеспечив также дополнительное преимущество в виде душевного спокойствия”.