Как и обещали, продолжаем изучение технологий повышения конфиденциальности и сегодня рассмотрим распространенные примеры PET (от анг. Privacy Enhancing Technology), чтобы понять какими способами обрабатываются и хранятся персональные данные.
Итак:

1. Криптографические алгоритмы (от анг. Cryptographic algorithms).

— Гомоморфное шифрование (от анг. Homomorphic Encryption, HE) — это метод шифрования, который позволяет выполнять вычислительные операции с зашифрованными данными. Он генерирует закодированный результат, который при расшифровке совпадает с результатом операций, как если бы они были выполнены с незашифрованными данными (то есть с открытым текстом). Это позволяет передавать, анализировать и возвращать зашифрованные данные их владельцу, который может расшифровать информацию и просмотреть исходные результаты.
Таким образом, компании могут передавать конфиденциальные данные 3-им лицам в целях анализа. Это полезно в приложениях, которые хранят зашифрованные данные в облачном хранилище.

Некоторые распространенные типы гомоморфного шифрования:
• Частичное HE — выполняет 1 тип операции с зашифрованными данными (например: только сложение или только умножение), но не то и другое одновременно.
• Отдалённое HE — делает более 1 типа операций, но допускает ограниченное количество операций.
• Полностью HE — нет ограничений на количество выполняемых операций.

— Безопасные многосторонние вычисления (от анг. Secure multi-party computation, SMPC) — подполе гомоморфного шифрования с 1 отличием: пользователи могут вычислять значения из нескольких зашифрованных источников данных. Следовательно, модели машинного обучения применяются к зашифрованным данным, поскольку SMPC используется для большего объема данных.

— Дифференциальная конфиденциальность (от анг. Differential privacy, DP) — защищает от разглашения любой информации о физических лицах. Этот криптографический алгоритм добавляет к набору данных слой «статистического шума», который позволяет описывать шаблоны групп в наборе данных, сохраняя при этом конфиденциальность отдельных лиц.

— Доказательства с нулевым разглашением (от анг. Zero-knowledge proofs, ZKP) — использует набор криптографических алгоритмов, которые позволяют проверять информацию без раскрытия данных, подтверждающих ее.

2. Методы маскировки данных (от анг. Data masking techniques, DMT).
Некоторые технологии повышения конфиденциальности представляют собой DMT, которые используются предприятиями для защиты конфиденциальной информации в своих наборах данных:
— Обфуска́ция или запутывание кода: общий термин для маскировки данных, который содержит несколько методов для замены конфиденциальной информации путем добавления отвлекающих или вводящих в заблуждение данных в журнал или профиль.
— Псевдонимизация: поля идентификаторов (поля, содержащие информацию, относящуюся к конкретному человеку) заменяются фиктивными данными, такими как символы или другие данные.
— Минимизация данных: сбор минимального объема персональных данных, который позволяет бизнесу предоставлять элементы услуги.
— Коммуникационные анонимайзеры: заменяют онлайн-идентичность (IP-адрес, адрес электронной почты) одноразовой неотслеживаемой идентичностью.

3. С помощью алгоритмов AI* и ML**.
* от анг. Artificial Intelligence — искусственный интеллект.
** от анг. Machine Learning — машинное обучение.

— Генерация синтетических данных, которые искусственно созданы с использованием различных алгоритмов, включая алгоритмы машинного обучения. Если вас интересуют технологии повышения конфиденциальности, потому что вам нужно преобразовать свои данные в тестовую среду, к которой имеют доступ сторонние пользователи, создание синтетических данных с такими же статистическими характеристиками — лучший вариант.
— Федеративное обучение: метод машинного обучения, который обучает алгоритм на нескольких децентрализованных периферийных устройствах или серверах, хранящих локальные образцы данных, без обмена ими. Благодаря децентрализации серверов пользователи также могут добиться минимизации данных за счет уменьшения объема данных, которые должны храниться на централизованном сервере или в облачном хранилище.

4 способа использования PET?

1. Управление тестовыми данными: тестирование приложений и анализ данных иногда выполняются сторонними поставщиками. Даже если они обрабатываются внутри компании, следует минимизировать внутренний доступ к данным клиентов. Для организаций важно использовать подходящий PET, который не оказывает существенного влияния на результаты тестирования.

2. Финансовые транзакции: финансовые учреждения несут ответственность за защиту конфиденциальности клиентов во время сопровождения частной сделки и транзакции с 3-ми лицами.

3. Медицинские услуги: сфера здравоохранения собирает и передает (при необходимости) электронные медицинские карты пациентов. Например, клинические данные можно использовать для поиска побочных эффектов различных комбинаций лекарств. В таких случаях медицинские компании обеспечивают конфиденциальность данных пациентов с помощью PET.

4. Облегчение передачи данных между несколькими сторонами, включая посредников: для предприятий, которые работают в качестве посредников между двумя сторонами, использование PET имеет решающее значение, поскольку эти предприятия несут ответственность за защиту конфиденциальности информации обеих сторон.

Уверены, теперь вы знаете немного больше о технологиях повышения конфиденциальности и где они применимы.

В следующей публикации, мы с вами рассмотрим несколько примеров нарушения конфиденциальности в Интернете и какие последствия они повлекли для компаний.

ЗВОНИТЕ, чтобы больше узнать об обеспечении информационной безопасности и последних новостях в сфере киберугроз!