Wat is datamaskering? | Beste praktijken en technieken

Elk bedrijf moet de regelgeving voor beveiliging en dataprivacy in de gaten houden bij het gebruiken of delen van data. Het niet maskeren van gevoelige informatie kan leiden tot wettelijke overtredingen, boetes en verlies van vertrouwen. Daarom investeren bedrijven in technologie voor het maskeren van data die echte data in hun datasets verbergt.

De uitdaging is om de bruikbaarheid van data te behouden na maskering. Datasets moeten referentiële integriteit en relaties behouden om bruikbaar te zijn voor softwaretesten, analyses en onderzoek. Het waarborgen van deze balans tussen privacy en bruikbaarheid voor essentiële bedrijfsprocessen kan lastig zijn. Gelukkig kunnen we strategieën delen om dit aan te pakken.

In het onderstaande artikel leert u over veelvoorkomende technieken, typen en use cases voor datamaskering. We beschrijven ook de best practices die bedrijven kunnen helpen om op grote schaal te voldoen aan de compliance-eisen. Maar laten we beginnen met de definitie van datamaskering.

Wat is datamaskering? Betekenis en definitie

Datamaskering is een proces dat persoonlijk identificeerbare informatie (PII) in datasets vervangt door gerandomiseerde informatie. Het primaire doel van datamaskering, ook wel data sanitization genoemd, is om de gevoelige data van individuen en bedrijven te beschermen.

Stel dat uw marketingteam een ​​financieel rapport voorbereidt. Om te voldoen aan de wet, moet u de namen, geboortedata en BSN's van klanten vervangen door willekeurige getallen. Data masking-technologie kan deze data beschermen en tegelijkertijd de opmaak en de relaties tussen tabellen in het originele bestand behouden.

De originele data wordt gewijzigd door verschillende data shuffling-, manipulatie- en encryptietechnieken. Dit kan gebeuren in verschillende stadia van dataverwerking: in de brondatabase, tijdens dataoverdracht of op geheugenniveau. Het datamaskeringsproces verloopt meestal als volgt:

• Het proces begint met lokaliseren persoonlijk identificeerbare informatie en andere gevoelige data in een dataset. Het omvat het classificeren en taggen van specifieke dataelementen, zoals namen, adressen en financiële informatie.
• Deze data worden getransformeerd via verschillende maskeeralgoritmen en -technieken. Maskeringsregels moeten consistent zijn om de dataintegriteit en betrouwbaarheid in de hele dataset te behouden.
• De gewijzigde data worden getest op effectiviteit. Gemaskeerde data moeten het juiste beveiligingsniveau bieden en queryresultaten moeten vergelijkbaar zijn met die van de originele data.

Hoewel het algemene doel duidelijk is, gebruiken bedrijven methoden voor het maskeren van data voor verschillende doeleinden.

Waarom datamaskering door bedrijven wordt gebruikt

Bedrijven implementeren datamaskering om hieraan te voldoen wetten inzake dataprivacy:Deze wetten regelen de beveiligings- en privacymechanismen die bedrijven moeten implementeren om gevoelige data te gebruiken, op te slaan en te delen. 

De gereguleerde data omvatten persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI): PII verwijst naar alle data die een individu identificeren, zoals naam, adres en BSN. PHI is een subset van PII en omvat medische dossiers, informatie over zorgverzekeringenen alle data die verband houden met de behandeling van een individu.

Bijna alle regelgeving is gebaseerd op deze belangrijke wetten:

• Algemene Verordening Gegevensbescherming (AVG) in Europa en VK-AVG in het VK
• Health Insurance Portability and Accountability Act (HIPAA) voor gezondheidszorgorganisaties in de VS
• Databeveiligingsstandaard van de Payment Card Industry (PCI DSS) voor bedrijven die creditcarddata verwerken
• California Consumer Privacy Act (CCPA) en Wet op de privacyrechten van Californië (CPRA)

Maskeringstechnieken helpen organisaties aan deze regelgeving te voldoen door alle directe en indirecte identificatiedata te elimineren. Na het maskeren worden de datasets gedeïdentificeerd (geanonimiseerd) en dus uitgesloten van de wetgeving inzake dataprivacy.

Gegevensmaskering helpt ook om gevoelige data te beschermen tegen ongeautoriseerde toegang. Gegeven de stijgende kosten van datalekken in alle sectorenVolgens onderzoek van IBM moeten bedrijven er alles aan doen om de schade te beperken. Door de PII te verbergen, voorkomt u het risico op lekken als cybercriminelen uw databases binnendringen. 

Daarnaast, maskering maakt het veilig delen van data mogelijkBedrijven kunnen tests uitvoeren, onderzoek doen of samenwerken met andere bedrijven met behulp van gemaskeerde data zonder dat dit ten koste gaat van de privacy van data.

Bedrijven introduceren datamaskeringsprocessen om dataopslag te beveiligen. Deze processen worden meestal toegepast op cloudomgevingen of grote opslagplaatsen met gearchiveerde data. 

Tenslotte datamaskering helpt bij het opbouwen van vertrouwen bij klanten en belanghebbendenProactieve maatregelen voor databescherming tonen een sterke toewijding aan privacy en beveiliging, waardoor een bedrijf zich onderscheidt van zijn concurrenten en een belangrijke factor is voor het behoud van personeel.

Op hetzelfde moment, data moeten bruikbaar blijven. Een factor die datamaskering belangrijk maakt, is de mogelijkheid om procesdatasets te gebruiken in een niet-productieomgeving. Echter, niet alle maskeringstypen en -technieken kunnen de oorspronkelijke kwaliteit van data behouden of topefficiëntie garanderen.

Soorten datamaskering

Soorten maskering zijn afhankelijk van de algemene aanpak en context. Dit zijn de meest voorkomende soorten maskering in typische toepassingsscenario's:

Maskering van statische data

Statische datamaskering past regels toe om gevoelige informatie in een dataset te transformeren. De maskeringsregels zijn vooraf gedefinieerd, wat zorgt voor consistente toepassing in meerdere omgevingen. De echte data wordt onomkeerbaar gewijzigd, dus u moet eerst zeker weten dat u de originele informatie niet nodig hebt.

Zoals de naam al doet vermoeden, wordt dit type het beste gebruikt voor bestanden die in de loop van de tijd statisch blijven. Statistische datamaskering helpt bij het maken van geanonimiseerde datasets voor gebruikerstraining, analyse of archiveringsdoeleinden.

Dynamische datamaskering

Dynamische datamaskering wijzigt gevoelige data terwijl gebruikers deze in realtime raadplegen of openen, zonder de oorspronkelijke informatie in de database te wijzigen. Om dit te implementeren, moet u op rollen gebaseerde toegangsregels configureren die specificeren welke dataelementen moeten worden gemaskeerd en onder welke voorwaarden.

Bedrijven gebruiken dynamische datamaskering in live productieomgevingen. Een voorbeeld hiervan is wanneer klantenservicemedewerkers toegang moeten hebben tot klantdata zonder betalingsdata te bekijken.

Statistische verduistering

Bij statistische dataverduistering wordt de PII aangepast om statistische representaties te creëren. De verwerkte data behoudt de originele eigenschappen en relaties binnen de data, terwijl de gevoelige data wordt verduisterd. 

Met statistische verduistering kunnen bedrijven diepgaande analyses uitvoeren zonder de databeveiliging of privacy in gevaar te brengen. Technieken die voor dit type datamaskering worden gebruikt, zijn onder meer shuffling, substitutie en generalisatie.

Deterministische datamaskering

Bij deterministische maskering worden specifieke waarden consequent vervangen door identieke kunstmatige waarden. Een gebruiker met de naam 'Jane Doe' krijgt bijvoorbeeld altijd de naam 'Jane Smith'.

Bij dit soort datamaskering gaat het doorgaans om vervanging en tokenisatie. Het handhaaft datarelaties en referentiële integriteit tussen kolommen en bestanden, maar verhoogt de privacyrisico's aanzienlijk. Kwaadwillige actoren kunnen de informatie blootleggen als ze consistente patronen of mappingregels voor de originele data ontdekken.

Gegevensmaskering tijdens de vlucht

On-the-fly maskering vindt plaats in het geheugen tijdens het transport en tijdens realtime toegang. Informatie wordt gemaskeerd met het Extract-Transform-Load (ETL)-proces. Het wordt uit de brondatabase gelezen, versluierd en vervolgens ingevoegd in een nieuwe tabel in de doeldatabase. De brondata blijven ongewijzigd.

Dit datamaskeringstype beschermt gevoelige data in scenario's voor integratie of continue implementatie (CD), zoals DevOps-pijplijnen. De tool kan de PII in een vereist stadium van de ontwikkelingslevenscyclus maskeren en doorgeven aan de volgende fase.

De volgende belangrijke stap is het kiezen van een geschikte methode voor het maskeren van data die past bij uw toepassingsscenario.

Populaire technieken voor het maskeren van data

Typen verwijzen naar algemene categorieën, terwijl technieken specifieke methoden en algoritmen zijn die worden gebruikt om gevoelige informatie te wijzigen. De meest populaire methoden zijn onder meer:

Data encryptie

Encryptie transformeert tekstuele data in een onleesbaar formaat met behulp van algoritmesleutels. Alleen de eigenaar van de juiste decryptiesleutel kan de gecodeerde data terugzetten naar de oorspronkelijke vorm. Meestal gebruiken bedrijven AES (Advanced Encryption Standard) om data tijdens het transport te beschermen en RSA (Rivest-Shamir-Adleman) om digitale handtekeningen te beveiligen.

Dit is een basistechniek die door de meeste tools voor datamaskering wordt gebruikt. Encryptie kan echter prestatieoverhead met zich meebrengen, omdat hiervoor rekenkracht nodig is. Het kan de prestaties van uw systeem verminderen als het gaat om grote datasets of realtime dataverwerking.

Vervanging

Vervanging vervangt gevoelige elementen door fictieve waarden die realistische kwaliteiten en bruikbaarheid behouden. Het ondersteunt verschillende datatypen en behoudt het oorspronkelijke formaat. Dit kan bijvoorbeeld het vervangen van echte namen of burgerservicenummers zijn door willekeurige namen.

Wat de keerzijde betreft: vervanging kan identificeerbare patronen introduceren die het systeem kunnen blootstellen aan heridentificatieaanvallen. Bovendien kunnen verouderde tools een deel van de context en relaties verliezen, waardoor de data tijdens het testen worden beïnvloed.

Schuifelen

Data shuffling text herschikt de data in kolommen en datasets terwijl de werkelijke waarden behouden blijven. Het werkt vooral goed in scenario's waarin u dataconsistentie wilt behouden voor analytische doeleinden, zoals het verdoezelen van de volgorde van transactierecords terwijl de oorspronkelijke waarden behouden blijven.

Een uitdaging is om ervoor te zorgen dat het schudden geen onbedoelde vooroordelen of patronen introduceert die de data onbruikbaar kunnen maken.

Datum veroudering

Veroudering houdt in dat alleen de datums in de datasets worden gewijzigd om PII te beschermen. Het belangrijkste voordeel van datumveroudering is dat de chronologische integriteit van de data behouden blijft. Hierdoor kunt u conforme tijdreeksanalyses uitvoeren en trends identificeren.

Als het om risico’s gaat, kan veroudering de bruikbaarheid van bepaalde soorten analyses beïnvloeden. Ouderdomsdata komen bijvoorbeeld mogelijk niet overeen met specifieke gebeurtenissen in de echte wereld of externe databronnen.

Generalisatie (binning)

Generalisatie groepeert data in bredere categorieën om specifieke waarden te verdoezelen. Individuele leeftijden kunnen bijvoorbeeld worden omgezet in leeftijdscategorieën: 25 jaar wordt 20-30 jaar of ‘in de twintig’. 

Dit is een van de meest gebruikte technieken van datamaskering voor analyse, omdat het de bruikbaarheid van datasets behoudt. Overgeneralisatie kan de informatie echter te vaag maken voor specifieke onderzoeksdoeleinden.

Maskeren

Bij maskeren worden delen van gevoelige waarden door elkaar gehaald met willekeurige of gemaskeerde tekens. Het kan bijvoorbeeld alle cijfers van een creditcardnummer vervangen, behalve de laatste vier. Het is vooral handig voor toepassingen waarbij gedeeltelijke data, zoals klantenservice-interfaces of het genereren van bonnen, zichtbaar moeten zijn.

Dit is echter geen allesomvattende oplossing voor datamaskering. Omdat het slechts delen van de data beschermt, kunnen fraudeurs het combineren met externe data om individuen te identificeren.

Nulling (blanco)

Nullifying vervangt de data door een null-waarde of tijdelijke aanduiding. Bijvoorbeeld, het e-mailadres van een klant wordt in een tabel vervangen door "N/A". Deze techniek helpt bij het naleven van wetten inzake databeveiliging, omdat het gevoelige informatie volledig verwijdert. 

Hoewel eenvoudig te implementeren, zal nulling niet werken voor zinvolle analyses waarbij relaties tussen datapunten ertoe doen.

Scrambling (hashing)

Data scrambling herschikt de tekens binnen een string om de oorspronkelijke waarden te verbergen. Deze methode behoudt dezelfde lengte en tekenset, maar verandert de volgorde. Bijvoorbeeld, de string 1ABCD2 er misschien naar toe wordt geslingerd DAB21C.

Scrambling helpt wachtwoorden, rekeningnummers of andere identifiers in productiedata en niet-productieomgevingen te beschermen. Het verhult echter alleen data op stringniveau en behandelt geen andere datatypes. Erger nog, sommige data masking tools kunnen de originele waarde nog steeds onderscheiden van de gescrambelde data.

Hashing

Hashing transformeert gegeven data of een reeks tekens in een waarde met een vaste lengte (hash). Het maakt gebruik van algoritmen om unieke hashwaarden te produceren voor verschillende invoer die niet kunnen worden omgekeerd.

Deze methode wordt gebruikt om tabellen op te zetten waarin sleutels en waardeparen worden opgeslagen die toegankelijk zijn via de index. Hierdoor kunt u snel data ophalen wanneer u de originele waarden moet lezen.

tokenization

Tokenisatie vervangt productiedata met willekeurig gegenereerde tokens die verwijzen naar de originele data die is opgeslagen in een beveiligde tokenkluis. Een creditcardnummer kan bijvoorbeeld worden vervangen door een token zoals T12345.

Met tokenisatie kunnen bedrijven betalingen verwerken zonder directe toegang tot gevoelige data. Wat de uitdagingen betreft, kan tokenisatie overhead introduceren in omgevingen met hoge transactievolumes. U moet ook krachtige beveiligingsmaatregelen implementeren voor de tokenkluis die tokens toewijst aan originele data.

Sommige technieken zijn effectiever dan andere, en ze behouden niet allemaal het unieke karakter, de eigenschappen en relaties. Bedrijven moeten weten welke techniek ze voor elk datatype moeten gebruiken om naleving te garanderen.

Gegevensmaskering: best practices voor compliance op schaal

De groeiende hoeveelheid data maakt het moeilijk om maskering op schaal toe te passen. Organisaties kunnen deze praktijken gebruiken om aan de regelgeving te voldoen zonder hun werknemers te overweldigen.

• Identificeer data die gemaskeerd moeten worden: Vind gevoelige data in locaties, databases, tabellen en kolommen. Natural language processing (NLP) en optical character recognition (OCR) kunnen helpen gevoelige content in afbeeldingen, PDF's, XML's en andere ongestructureerde data te detecteren en maskeren. 
• Implementeer consistente regels: Introduceer een raamwerk voor databeheer met consistente regels voor alle omgevingen. Dit omvat het toepassen van geschikte technieken voor het maskeren van data op basis van het type data en het beoogde gebruik ervan. Vervanging zou bijvoorbeeld het beste kunnen werken voor testdatasets, terwijl data-encryptie de beste methode is voor gearchiveerde bestanden.
• Veilige toegang tot gemaskeerde data: Alleen geautoriseerd personeel mag toegang krijgen tot originele data met gevoelige informatie. Implementeer op rollen gebaseerde toegangscontroles om de toegang tot PII te beperken op basis van functierollen en verantwoordelijkheden om het risico op ongeautoriseerde toegang te minimaliseren.
• Integreren met databeheerprocessen: U kunt het maskeren van data gedurende uw gehele datalevenscyclus automatiseren. Dit geeft u een extra beveiligingsniveau als data onduidelijk zijn voor integratie, ETL en gezamenlijk delen.
• Bied trainingen en bewustwordingsprogramma's aan: Voer trainingssessies uit over maskering, de-identificatie en anonimisering. Zorg ervoor dat uw personeel goed op de hoogte is van de privacyregelgeving en het beveiligingsbeleid.
• Gebruik geautomatiseerde hulpmiddelen om handmatig werk te vermijden: Handmatige datamaskering is vaak tijd- en middelenintensief. Bovendien brengt dit het risico van menselijke fouten met zich mee. Om het proces te automatiseren en fouten te minimaliseren, overweeg om te investeren in tools met AI-aangedreven PII-scanners.
• Evalueer regelmatig de effectiviteit: Test de resultaten van maskeertechnieken om er zeker van te zijn dat ze het juiste niveau van privacy en bruikbaarheid bieden. Het is het beste om maskeermethoden voor verschillende soorten data te vergelijken om te bepalen hoe de maskering de kwaliteit van de oorspronkelijke data beïnvloedt.

Het kan zijn dat uw organisatie niet alle technieken en praktijken nodig heeft die we beschreven hebben. Het is net zo belangrijk om te begrijpen welke u daadwerkelijk moet toepassen in scenario's in de echte wereld en hoe u dat moet doen.

Gebruiksscenario's voor datamaskeringstechnologie

Het maskeren van data kan risico's beperken en meerdere strategieën voor databeheer ondersteunen. U kunt datamaskeringstechnieken integreren in verschillende bedrijfsprocessen, waaronder:

• Ontwikkeling en testen: Gegevensmaskering maakt ontwikkelaars en QA's mogelijk om met realistische datasets te werken zonder gevoelige informatie in gevaar te brengen. Technieken als vervanging, shuffling en encryptie zorgen ervoor dat data bruikbaar blijven en beschermen de privacy.
• Samenwerking met derden: Door datamaskering kunnen organisaties data delen voor diepgaande analyse en onderzoek. Bedrijven kunnen samenwerken zonder het risico te lopen de privacywetgeving te schenden.
• Gezondheidszorgonderzoek: Zorgaanbieders kunnen patiëntdata maskeren voordat ze deze voor onderzoeksdoeleinden gebruiken. Dit garandeert naleving van de AVG, HIPAA en andere lokale regelgeving tijdens klinische onderzoeken.
• Inkomsten genereren met data: Bedrijven kunnen waardevolle geanonimiseerde data verkopen aan andere organisaties voor testen, onderzoek en algoritmische training. 
• Verbeterde databeveiliging: Door de gevoelige data te verbergen, verkleinen datamaskeringstechnieken het aanvalsoppervlak voor cyberdreigingen. Dit kan de schade van datalekken drastisch beperken en lekken van PII voorkomen.
• Noodherstel: Snel herstel is essentieel voor bedrijfscontinuïteit, maar back-updata bevatten vaak PII. Datamaskering zorgt ervoor dat gevoelige data beschermd blijven, zelfs als onbevoegde partijen toegang hebben tot back-updata.

Maskeren zorgt niet alleen voor naleving, maar biedt ook talloze voordelen voor uw bedrijf. Met geavanceerde tools kunnen datamaskeringsprocessen grotendeels worden geautomatiseerd.

Geautomatiseerde datamaskering met Syntho

Effectieve datamaskering beschermt gevoelige informatie en ondersteunt testen, analyses en onderzoek. Het helpt ook om het vertrouwen van klanten te vergroten, productiedata veilig te delen en de databeveiliging te verbeteren.

Handmatige datamaskering is inefficiënt en gevoelig voor menselijke fouten. Het kost te veel tijd en kan resulteren in onvolledige maskering of nutteloze data. In tegenstelling tot, slimme maskeringstechnologie zorgt voor consistente PII-bescherming en compliance.

Syntho biedt geautomatiseerde oplossingen voor datamaskering om gevoelige informatie in alle databronnen te beschermen. Probeer onze demo om te zien hoe u hiermee compliance kunt bereiken zonder dat dit ten koste gaat van de kwaliteit.