Bezpieczeństwo bazy danych to zestaw środków, praktyk i procedur, który ma zapewniać integralność, dostępność i przede wszystkim – poufność danych znajdujących się w bazach. W tym celu wymaganą ochronę należy zapewnić zarówno warstwie sprzętowej, jak i aplikacyjnej. W czasach, gdy informacja traktowana jest jak waluta, ochrona danych osobowych, finansowych czy know-how firmy powinna być priorytetem cyberbezpieczeństwa. Nieprzestrzeganie wymaganych norm i zaniedbania na tym polu mogą prowadzić do poważnych konsekwencji: finansowych, prawnych oraz wizerunkowych.

Bezpieczeństwo baz danych, z uwagi na konieczność pogodzenia wzajemnie wykluczających się cech – poufności, dostępności i funkcjonalności – jest zagadnieniem wyjątkowo trudnym w realizacji. Zgodnie z tzw. regułą Andersona, im wyższy poziom bezpieczeństwa bazy danych, tym mniejsza dostępność i funkcjonalność. Wraz ze wzrostem funkcjonalności i dostępności rośnie jednak ryzyko wystąpienia wycieków danych i skutecznych ataków.

Zabezpieczenie baz danych wymaga kompleksowego podejścia do cyberbezpieczeństwa, w tym przestrzegania podstawowych zasad i budowania świadomości zagrożeń wśród zespołów. Utrata poufności danych może nastąpić w wyniku różnych działań. Oprócz celowych ataków wymierzonych w bazy danych nierzadko dochodzi także do wycieków czy też awarii, które powodują utratę krytycznych zasobów powstałych z winy pracowników.

Oszuści niejednokrotnie wykorzystują niezbyt skomplikowane technicznie metody zwane socjotechnikami (np. phishing). Nieświadomy zagrożenia pracownik, pobierający załącznik nieznanego pochodzenia, może spowodować zainstalowanie złośliwego oprogramowania, które przyczyni się do wycieku lub przeprowadzenia kolejnego ataku. Występujące tego rodzaju wewnętrzne zagrożenia są atakami typu insider threat, a pracownicy działający na szkodę firmy nazywani są „insiderami”. Insiderzy mogą mieć różne motywacje swoich działań, a główne z nich to chęć zemsty na pracodawcy po zwolnieniu lub celowe działanie na zlecenie hakerów czy konkurencji.

Bezpieczeństwo baz danych zapewnia się przy użyciu zróżnicowanych metod technicznych, odpowiadających za ochronę przed różnymi rodzajami zagrożeń.

• Kontrola dostępu – autentykacja i autoryzacja to podstawowe metody ochrony dostępu do baz danych. Dostęp do poufnych informacji powinny mieć tylko te osoby, które potrzebują go do wykonywania swoich obowiązków i wyłącznie w minimalnym zakresie, który im to umożliwia (takie podejście spełnia założenia rekomendowanego modelu bezpieczeństwa zwanego Zero Trust).


• Szyfrowanie – to dodatkowe zabezpieczenie kryptograficzne stosowane do ochrony najważniejszych danych. Dzięki niemu zbiór danych może odszyfrować tylko powołana osoba, a więc nawet w przypadku kradzieży fizycznego nośnika lub przedostania się intruza do firmowej sieci, dostęp do bazy danych będzie dodatkowo chroniony. Szyfrowanie może przebiegać również w trakcie przesyłania danych pomiędzy klientem a bazą danych.


• Zabezpieczenie warstwy aplikacji – ochrona warstwy aplikacyjnej to jeden z podstawowych sposobów zabezpieczenia bazy danych. Do naruszenia integralności dochodzi często w następstwie ataków typu SQL Injection i im podobnych. Z uwagi na to, stosowanie zabezpieczeń typu WAF (Web Application Firewall) jest koniecznością.


• Backup – bazy danych są podatne nie tylko na ataki i wycieki, ale równie często dotykają je awarie, powodujące brak dostępności. Trwała utrata bazy danych może nieść za sobą katastrofalne skutki, dlatego tak ważne jest wdrożenie odpowiedniej polityki backupowej i rozwiązań, które pozwolą szybko przywrócić stan bazy sprzed awarii. O różnych rodzajach kopii zapasowych przeczytasz tutaj.

Równie ważne jak ochrona systemowa są fizyczne zabezpieczenia baz danych, a więc stosowanie ograniczeń w dostępie do serwerów i innych nośników. Nie zapominajmy, że zagrożenie dla poufności danych może płynąć również z wewnątrz, a osobami odpowiedzialnymi za wycieki (świadomie lub w wyniku zaniedbań) mogą być prawnicy organizacji (tzw. insider threat). Pomóc mogą w tym rozwiązania klasy DAM (ang. Database Activity Monitoring) służące do monitorowania i analizy aktywności baz danych. Przy ich zastosowaniu nie dopuszcza się do eskalacji ataku, śledzi tzw. insidera oraz skuteczne wyprowadza po ataku. Tego rodzaju aktywność można monitorować także za pomocą systemów klasy SIEM.

W przypadku użytkowników uprzywilejowanych, mających dostęp do zasobów krytycznych w bazach danych, w związku z wykonywanymi obowiązkami (m.in. administratorzy, programiści, ale też pracownicy działów reklamacji, rozliczeń itp.), konieczne jest także weryfikowanie, czy ich aktywność w obszarze bazy odpowiada wykonywanym zadaniom. Czy wyszukiwane dane były faktycznie potrzebne do przetworzenia danego procesu i jeśli nie, to dlaczego użytkownik szukał do nich dostępu?