ערבול נתונים (Data Masking)

אחת הבעיות שבהן נתקל מנהל אבטחת מידע בארגונים גדולים היא שמירה על מידע ארגוני חיוני שעובר ממערכות הייצור לסביבות בדיקה או פיתוח.
פיתוח או בדיקה של מערכות ויישומים ארגוניים מעלים את החשש שמידע ארגוני רגיש יעבור מסביבת הייצור המאובטחת יחסית לסביבות פחות מאובטחות. במקרים רבים מטופלים הנתונים בסביבות אלה על ידי אוכלוסייה שאין לה הרשאת גישה לנתונים. לעתים אף מדובר באנשי מקצוע שאינם עובדי הארגון ולכן נוצר חשש כבד לזליגת מידע ארגוני בטעות או במזיד מחוץ לארגון.

כדי לצמצם את הסיכון מקובל לבצע מניפולציות שונות על נתוני הייצור, כך שהמידע שעובר לסביבת הפיתוח\ייצור ישמור על אמינותו אך לא יהיה מידע אמיתי וחסוי כמו פרטי לקוחות, מספרי כרטיסי אשראי וכדומה.
השמירה על המידע והצורך בערבולו מעוגנת במגזרים מסויימים גם ע"י הרגולטור. זהו המצב במגזר הפיננסי הרפואי ובמגזרים נוספים.
שמירה על מידע והסוואתו יכולה להעשות במספר אופנים: הצפנה, החלפה של המידע, הסתרה, ערבול ועוד. העיקרון המנחה בהעברת נתונים מסביבת ייצור לסביבת בדיקות\פיתוח הוא הצורך בשמירה על אבטחתם, עדכונם ואמינותם.
עקרונות חשובים נוספים שיש לשים לב אליהם בעת ערבול נתונים:
ערבול המידע חייב להיות בלתי הפיך –אם הוא הפיך קל יותר להגיע לנתוני האמת וכך לחשוף אותם מחוץ לארגון.
על מנת לא לפגוע באותנטיות הפיתוח או הבדיקות, המידע המעורבל חייב לייצג נאמנה את המידע המקורי בנפח, בתצורה, בהיררכיית היחסים, במבנה, במיקום המפתחות או בקיצור בשימוש בנתונים קרובים במידת האפשר לנתונים האמיתיים.
העברת המידע המעורבל מחוץ לסביבת הייצור צריך להיות תהליך מובנה, אוטומטי ודימני. העברה חד פעמית של נתונים מעורבלים ידנית לא משרתת על פי רוב את צרכי הארגון ואת ה DB המשתנה ולכן אין בהם טעם.
בחלק גדול מהארגונים שמבצעים ערבול נתונים מקובל לכתוב סקריפט לצורך העניין או להשתמש בפתרונות אחרים שניבנו בתוך הארגון. בשוק קיימים מספר כלים מסחריים שמבצעים ערבול מידע בצורה מובנית ומחזורית על פי דרישת הלקוח, אך הם עדיין לא זוכים להצלחה רבה (אולי מכיוון שמדובר בתחום חדש ופחות מוכר).
בישראל מיוצגים מספר כלים כאלה, ביניהם Optim של IBM , פיתרון של Compuware שנקרא File-AID, , פיתרון של Oracle בשם Enterprise Manager Data Masking שמבצע ערבול על בסיסי נתונים של אורקל, Informatica (PowerCenter) ו Datavantage.
השוק המקומי עדיין לא מבצע, כאמור, שימוש נרחב בכלים אלה וברוב הארגונים כלל לא מיושם פיתרון מסודר לערבול מידע למרות הצורך האמיתי במציאת פיתרון הולם להגנה על מה שנחשב (בלי להשמע מליצי) "הנכס הכי חשוב של הארגון".