Как SMM Газпрома устроили добровольный «слив» данных клиентов
В порыве ностальгии листая письма с далёкой родины я нашёл в почтовом ящике письмо о розыгрыше. Обычно такие письма лежат в папке Спам, но оно почему-то пробилось сквозь фильтры. NB! Данный пост является информационным, опубликован с целью показать IT-сообществу как несогласованные действия...
Динамическое маскирование в СУБД: принципы, сценарии и реализация
Привет, Хабр! На связи Артемий Новожилов, архитектор систем ИБ и автор ТГ-канала Data Security и Дмитрий Ларин, руководитель продуктового направления по защите баз данных, группа компаний «Гарда». С нами вы могли познакомиться по таким статьям как маскирование и Apache Kafka. И сегодня мы хотим...
Локализация–2025: новые правила сбора данных. Готовимся к изменениям
Первого июля 2025 года для российских операторов персональных данных произошла точечная, но важная корректировка правил. Закон № 23-ФЗ, который подписали в феврале, расставляет новые акценты в старой теме — локализации. Речь идёт о том, как именно можно собирать и обрабатывать данные о россиянах....
Кастомные флейворы, интеграция с сервисом логов в DBaaS и другие апдейты августа в продуктах Selectel
В августе мы добавили аддоны в Managed Kubernetes, обновили конфигурации выделенных серверов и парольную политику в IAM. И не только. Все подробности — под катом. Читать далее...
Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 1
Привет, Хабр! На связи Антон Дятлов, инженер по защите информации в Selectel. Хранение конфиденциальных данных в PostgreSQL в открытом виде — мина замедленного действия. Неприятности в будущем становятся неизбежными. Достаточно одной успешной SQL‑инъекции, утечки резервной копии или компрометации...
Разбираем древо ArangoDB «по веточкам». Подробный гайд по графовой БД
Давайте честно: совместный доступ к документам — одна из главных «болей» для всех, кто хоть как-то связан с базами данных. Вроде бы оба пользователя могут работать с файлом, но есть один нюанс: например, количество предоставленных доступов может быть больше, чем их есть на самом деле. Или у...
Как взламывают базы данных: разбор кейсов и типичных ошибок компаний
Базы данных (БД) – это настоящие клады, где хранятся персональные данные, финансовые отчеты, коммерческие тайны и иная чувствительная информация. Поэтому неудивительно, что компании любых размеров – от стартапов до гигантов вроде Sony и Tesla – регулярно становятся жертвами атак, направленных...
[Перевод] О скрытии сообщений в эмодзи и взломе казначейства США
30 декабря 2024 года, пока большинство из нас суетились в преддверии празднования Нового года, Казначейство США готовило для Финансового комитета Сената США важное уведомление. В нём сообщалось, что его системы, которые, очевидно, содержат особо чувствительные конфиденциальные данные, были взломаны...
Безопасность баз данных: как извлечь максимум из технологий DAM
В этой статье рассматривается технология DAM (Database Activity Monitoring) ‒ инструмент мониторинга активности пользователей в базах данных, позволяющий выявлять аномалии, контролировать доступ и предотвращать утечки данных. Мы разберем, какие угрозы характерны для работы с базами, функциональные...
Вашей компании нужен этот сотрудник: объясняю, почему в 2025 нельзя не назначить ответственного за работу с ПД
Не разбрасывайте по офису флешки с персональными данными сотрудников и клиентов, обновляйте политику конфиденциальности и пользуйтесь российскими серверами. Сегодня копилочку ваших знаний о работе с ПД пополнят еще несколько важных мыслей. Речь пойдет не о бездушных серверах и устройствах, а о...
Кого и что будет проверять Роскомнадзор в 2025 году
Утечки ПД случаются все чаще, а штрафы за них становятся все выше. Если вы ведете бизнес, значит, вы точно работаете с информацией о клиентах и сотрудниках, то есть являетесь оператором персональных данных (ПД). Проверка операторов – одна из основных задач Роскомнадзора. Соответственно, шанс...
SQL-инъекции для начинающих
Недавно я участвовала в разработке курса для администраторов баз данных. Одной из ключевых тем, которые хотелось осветить, помимо прочих, были SQL-инъекции — атаки, направленные на базы данных. Однако, обсуждая программу с коллегами, я столкнулась с мнением, что эта тема может оказаться сложной для...
Обходим ограничение доступа Github к базе уязвимостей Trivy. Быстрый фикс вам в помощь
Совсем недавно разработчики, применяющие сканер образов Trivy, столкнулись с ошибкой TOOMANYREQUESTS. Она произошла из-за достижения максимального количества пользователей инструмента и предельной скорости по загрузкам из Container Registry (CR) ghcr.io. Меня зовут Алиса Кириченко, я занимаюсь...
Маскирование баз данных
В наши дни, когда информационные системы стали неотъемлемой частью работы большинства компаний, а объемы обрабатываемых данных постоянно растут, превращая информацию в один из самых ценных ресурсов современного бизнеса, вопросы защиты и сохранности данных становятся все более актуальными. Каждый...
Хранение данных: как минимизировать риски с помощью DCAP
Компаниям важно, чтобы личные данные сотрудников, конфиденциальная информация клиентов и документы с грифом «коммерческая тайна» были надежно защищены. С каждым годом такой информации становится больше и она подвергается все новым рискам. Параллельно ужесточаются наказания ответственных лиц за...
Безопасность в базах данных
Безопасность баз данных — это как щит, защищающий сокровища, которые хранятся внутри. Изначально базы данных были направлены на сбор и хранение данных. Это стало крайне удобным инструментом, позволяющим легко и быстро получать и обрабатывать информацию. Однако, с появлением многих проблем,...
«Утечка данных»: в чем опасность и как с этим бороться?
Личные данные сегодня становятся все больше публичными, а конфиденциальность информации скорее условна. Махинации с использованием "слитых" баз данных сейчас обрели небывалый масштаб. От "разводов" недобросовестных телефонных мошенников страдаем мы с вами, от взломов и утечки внутренней информации...
[Перевод] Мягкое удаление чаще всего не нужно
Те, кто знаком хотя бы с парой разных окружений баз данных продакшена, скорее всего, знают паттерн «мягкого удаления» (soft deletion) — вместо удаления данных напрямую конструкцией DELETE таблицы получают дополнительную временную метку deleted_at и удаление выполняется конструкцией обновления:...
Назад