A probléma, amelyet a felhős eszközök nem tudnak megoldani
Egy védelmi vállalkozó adattudósa 3000 személyzeti rekordot kezel. Névtelen kell tennie a neveket, TB-számokat és biztonsági engedélyezési szinteket, mielőtt megosztja az adatkészletet egy egyetemi kutatópartnerrel egy ellenőrzött nem minősített információs (CUI) megállapodás keretében.
A hálózatnak nincs internet-hozzáférése. Szándékosan.
Minden általa értékelt webalapú anonimizáló eszköz adatok küldését igényli külső API-ra. Minden vállalati SaaS-platform fiókalapítást és felhőkapcsolatot igényel. Még a „helyszíni” eszközök is gyakran igényelnek időszakos internet-hívást végző licencszervereket.
Ez az air-gapped telepítés problémája – és jóval több szervezetet érint, mint amennyit a szűk „minősített kormányzati” keretezés sugall.
Kinek van szüksége offline-first feldolgozásra?
A védelmi vállalkozók és kormányzati szervek a legnyilvánvalóbb kategória. A DISA FedRAMP követelményei engedélyezett határokon belüli adatfeldolgozást írnak elő. Az ITAR korlátozza a műszaki adatok kezelését az USA által ellenőrzött infrastruktúrán. A hírszerzési közösség hálózatai (JWICS, SIPRNet) fizikailag el vannak szigetelve tervezésnél fogva.
De az offline-first követelmény jóval túlnyúlik a minősített környezeteken:
Hálózati szegmentációval rendelkező egészségügyi rendszerek: A kórházi hálózatok elkülönítik a klinikai rendszereket az általános hozzáférésű hálózatoktól. A PACS-rendszerek (orvosi képalkotás), a szegmentált hálózatokon futó EHR-rendszerek és a klinikai kutatási adatbázisok szabályozásnál fogva esetleg nem rendelkeznek internet-kapcsolattal.
Kereskedési padi izolációval rendelkező pénzügyi szolgáltatások: A saját kereskedési környezetek, bizonyos klíringházi hálózatok és SWIFT-kapcsolt infrastruktúrák szigorú hálózati izolációval működnek.
Ipari vezérlőrendszerek: A SCADA-hálózatok, gyártásirányítási rendszerek és kritikus infrastruktúra air-gap-pel vagy közel air-gap-pel üzemelnek biztonsági intézkedésként (Stuxnet utáni megerősítés).
Európai adatszuverenitási követelmények: Németország szigorú Landesdatenschutzgesetze és az EU hasonló nemzeti törvényei egyre inkább helyi feldolgozást írnak elő érzékeny kormányzati és egészségügyi adatokhoz. A TikTok 530 millió eurós GDPR-bírsága (2025. május) az EU adatainak Kínába való átvitele miatt felgyorsította ezt a trendet.
Miért bukik el a felhőarchitektúra az air-gapped telepítésnél?
A legtöbb vállalati anonimizáló eszköz SaaS-platformként van tervezve:
Felhasználói eszköz → HTTPS → Szállítói API → NLP-modellek → Válasz → Felhasználói eszköz
Ez az architektúra igényli:
- Internet-kapcsolatot a feldolgozó eszközről
- Bizalmat a szállító API-infrastruktúrájában
- Annak elfogadását, hogy az adatok külső hálózatokon haladnak keresztül
- Függőséget a szállító elérhetőségétől és árazásától
Air-gapped környezeteknél az 1. lépés fizikai lehetetlenség. Szabályozott környezeteknél a 2–4. lépések mindegyike megfelelőségi jogsértést jelenthet.
Az önállóan hosztolt Presidio a legelterjedtebb alternatíva, de szükséges hozzá:
- Docker-szakértelem a telepítéshez
- Python-környezetkezelés
- spaCy-modellek letöltése (internet szükséges)
- Folyamatos karbantartás a modellek és függőségek frissítésekor
- DevOps-erőforrások, amelyekkel a legtöbb csapat nem rendelkezik
Ez a rés – a SaaS-kényelem és az önállóan hosztolt komplexitás között – pontosan az, amelyet az asztali-first offline eszközök kezelnek.
Az offline-first PII-anonimizálás technikai architektúrája
Egy megfelelően felépített offline személyes adat anonimizáló eszköz mindent beágyaz, ami a feldolgozáshoz szükséges:
1. Előre csomagolt NLP-modellek A spaCy-nyelvmodellek (átlagosan 40–80 MB egyenként), transformer modellek a névfelismeréshez és a nyelvfelismerési modellek az alkalmazástelepítőbe vannak csomagolva. A feldolgozás során nincs szükség letöltési lépésre.
2. Helyi feldolgozási folyamat A teljes regex + NLP + ML felismerési folyamat helyi CPU-n fut (és opcionálisan GPU-n). A Presidio-alapú felismerési motor, amelyet az anonym.legal használ, feldolgozás közben nem igényel hálózati hívást.
3. Titkosított helyi tároló A konfiguráció, a beállítások és a titkosítási kulcsok egy helyi titkosított tárolóban (AES-256-GCM + Argon2id) kerülnek tárolásra. Nincs felhőszinkronizálás. Nincs remote kulcsbiztonsági mentés. A tároló csak a helyi eszközön létezik.
4. Helyi fájl I/O A bemeneti fájlok helyi tárolóból olvasódnak; a kimeneti fájlok helyi tárolóba kerülnek. Semmilyen adat nem halad át hálózati interfészen.
5. Minimális támadási felület A Tauri 2.0 (Rust-alapú) lényegesen kisebb támadási felületet biztosít, mint az Electron (Chromium-alapú) alternatívák. A Tauri-alkalmazások ~10-szer kisebb binárisméretűek és alapból kevesebb OS-API-hoz férnek hozzá.
Megfelelőségi felhasználási esetek
ITAR műszaki adat anonimizálása
Egy védelmi vállalkozónak műszaki dokumentációt kell megosztania egy külföldi partnerrel ITAR-licencmentesség alapján. A dokumentumok olyan US-állampolgárok neveit és személyzeti adatait tartalmazzák, amelyeket anonimizálni kell az ITAR-licencmentesség alkalmazása előtt.
Követelmények:
- Kizárólag engedélyezett munkaállomásokon végzett feldolgozás (nincs felhő)
- Nincs adatátvitel a törölt környezeten kívülre
- Az anonimizálás alkalmazását igazoló auditnapló
- Kötegelt feldolgozás 500+ dokumentumhoz
Az anonym.legal asztali alkalmazása mind az 500+ DOCX fájlt helyben dolgozza fel, kötegelve. A feldolgozás során nem kerül sor hálózati hívásra. Az auditnapló a helyi titkosított tárolóban marad. Az anonimizált dokumentumok teljesítik az ITAR-licencmentességi követelményeket.
Német szövetségi ügynökség adatmegosztása
Egy német szövetségi ügynökségnek (Bundesbehörde) anonimizálnia kell az állampolgári panaszadatokat, mielőtt megosztja egy külső kutatóintézettel. A BfDI útmutatása tiltja a feldolgozást nem kormányzati infrastruktúrán.
Az asztali alkalmazás az ügynökség Windows 11 rendszert futtató munkaállomásain fut. A feldolgozás helyben, külső hálózati hívás nélkül történik. Az ügynökség IT-biztonsági csapata ezt hálózati forgalom-monitorozással validálja – a feldolgozás során nulla külső kapcsolódás.
Kórházi klinikai kutatási adatok
Egy kórházi kutatási részlegnek betegrekordokat kell anonimizálnia egy többközpontú klinikai vizsgálathoz. A HIPAA Safe Harbor de-azonosítás 18 azonosítókategóriát távolít el. A klinikai hálózatnak szabályozásnál fogva nincs internet-hozzáférése.
Az asztali alkalmazás CSV és JSON formátumú EHR-exportok kötegelt feldolgozását kezeli. A kórház adatvédelmi tisztviselője validálja a kimenetet a HIPAA Safe Harbor követelmények ellen, mielőtt az adatkészletet átküldik a kutatópartnereknek.
Fő képességek air-gapped telepítéshez
Offline személyes adat anonimizáló eszközök értékelésekor ezeket helyezze előtérbe:
| Képesség | Miért fontos? |
|---|---|
| Telepítés után teljesen offline | Nincs internet-függőség feldolgozás közben |
| Előre csomagolt NLP-modellek | Nincs hálózati hozzáférést igénylő letöltési lépés |
| Kötegelt feldolgozás | Nagy volumen kezelése ismételt kézi beavatkozás nélkül |
| Helyi titkosított tároló | Konfigurációk és kulcsok biztonságos helyi tárolása |
| Auditnapló | Dokumentáció megfelelőségi felülvizsgálatokhoz |
| Windows/macOS/Linux-támogatás | Lefedi a minősített munkaállomás-környezeteket |
| Nincs telemetriai opció | Biztosítja, hogy nincs adatkiszűrés telemetrián keresztül |
| Fájlformátum-lefedettség | DOCX, PDF, TXT, CSV, JSON, Excel |
Az adatszuverenitás előnye
A TikTok 530 millió eurós GDPR-bírságja és az azt követő végrehajtási hullám másodlagos hajtóerőt teremtett az offline-first eszközök számára: adatszuverenitás.
Azok az EU-szervezetek, amelyek korábban felhős eszközöket használtak kényelemből, most újragondolják, hogy a külső szállítói infrastruktúrán végzett feldolgozás megfelel-e a GDPR V. fejezetének (nemzetközi adattovábbítás) és a nemzeti adatvédelmi törvényeknek.
A legegyszerűbb válasz a „hova kerülnek az adatai feldolgozás közben?” kérdésre: „Sehova – soha nem hagyják el az eszközt.” Az offline-first feldolgozás teljesen kiküszöböli a GDPR-átviteli kérdést.
A német szervezetek számára különösen a DSGVO 44–46. cikkének szigorú értelmezése és a legújabb végrehajtási trend teszi a helyi feldolgozást egyre vonzóbbá, még azok számára is, akiknek nincsenek szigorú kapcsolódási követelményeik.
Praktikus telepítési megfontolások
Telepítés air-gapped rendszerekre: A telepítőcsomag (Windows .exe/.msi, macOS .dmg, Linux .AppImage/.deb) USB-n vagy biztonságos fájlátvitellel kerül az air-gapped környezetbe. A telepítés után nincs szükség internet-hozzáférésre.
Nyelvmodell-lefedettség: 24 nyelvspecifikus modell van csomagolva. Air-gapped környezetekhez a teljes nyelvkészlet offline elérhető, további letöltés nélkül.
Hardverkövetelmények: Az NLP-folyamat hatékonyan fut modern munkaállomásokon GPU-követelmény nélkül. 1000 dokumentum kötegelt feldolgozása általában 5–15 percet vesz igénybe a dokumentum méretétől és a CPU teljesítményétől függően.
Licencelés air-gapped környezetekben: Offline licencaktiválás elérhető olyan környezetekhez, ahol nem lehetséges a licencszerverhez való csatlakozás.
Mikor nem megfelelő az air-gapping?
Az air-gapped és offline-first architektúrák meghatározott problémákat oldanak meg, de jelentős üzemeltetési kihívásokat okoznak:
Frissítési súrlódás: Az AI-modellek, entitásfelismerők és szoftverek naprakészen tartása air-gapped környezetben manuális folyamatokat igényel (USB-átvitel, manuális letöltések). Azok a szervezetek, amelyek nem tartanak fenn szigorú frissítési ciklust, elavult modelleket futtathatnak, amelyek kihagyják az új személyes adat mintákat.
Integrációs komplexitás: Az air-gapped rendszerek nem integrálhatók közvetlenül felhőalapú naplózó, SIEM-platformokkal vagy remote audit vezérlőpultokkal egyéni adatdiódás megoldások nélkül. Ez jelentősen megnöveli az infrastruktúra-költséget.
Pontossági kompromisszumok: A felhőalapú személyes adat felismerő rendszerek folyamatosan frissített tanítási adatokat és ensemble modelleket használhatnak több ügyfél adatain keresztül. Az offline modellek egy pillanatfelvétel, amely idővel romlik az emergens nyelvi mintákkal szemben, különösen többnyelvű tartalmaknál.
Nem szükséges minden fenyegetési modellnél: Azok a szervezetek, amelyeknél nincs kormányzati, egészségügyi vagy jogi szektorra vonatkozó adatelkülönítési kötelezettség, praktikusabbnak találhatják a SOC 2 Type II auditált, erős titkosítású és adatfeldolgozási megállapodással rendelkező felhőalapú megoldásokat. Az air-gapping terhe csak akkor hoz értéket, ha a fenyegetési modell valóban magában foglalja az eltökélt ellenség általi hálózati kiszűrést.
KKV-k és a legtöbb vállalati felhasználási eset számára az átvitel közbeni és nyugalmi erős titkosítás szerződéses adatfeldolgozási kontrollokkal megfelelő védelmet biztosít a teljes air-gapping üzemeltetési terhe nélkül.
Az anonym.legal asztali alkalmazása (Windows, macOS és Linux rendszerekre elérhető) kizárólag helyben dolgozza fel a személyes adatokat előre csomagolt NLP-modellek segítségével. A telepítés után nincs szükség internet-kapcsolatra. A kötegelt feldolgozás 1–5000 fájlt támogat csomagtól függően.
Források: