Коли мережа не має виходу
Наукова співробітниця працює в оборонній компанії. У неї є 3 000 особистих записів. Їй потрібно видалити імена, номери соціального страхування та рівні допуску. Після цього вона зможе поділитися даними з дослідницьким партнером за угодою CUI.
Її мережа не має інтернету. За задумом.
Вона тестує кожен веб-інструмент, який може знайти. Кожен відправляє дані на зовнішній сервер. Кожна хмарна платформа потребує акаунту та активного підключення. Навіть «локальні» інструменти часто звертаються до віддаленого сервера ліцензій.
Це проблема розгортання в ізольованій мережі. Вона зачіпає набагато більше команд, ніж більшість думає.
Кому потрібне офлайн-видалення PII
Оборонні компанії та державні установи стикаються з цим найчастіше. Програма FedRAMP DISA вимагає, щоб дані залишалися в межах затверджених мережевих кордонів. ITAR обмежує технічні дані системами під контролем США. Мережі JWICS та SIPRNet фізично відрізані за задумом.
Але потреба в офлайн-режимі виходить далеко за межі класифікованих об'єктів:
Лікарні з сегментованими мережами. Системи візуалізації PACS, платформи EHR та дослідницькі бази даних часто знаходяться в мережах без інтернету за правилами.
Торгові майданчики та клірингові центри. Пропрієтарні торгові системи та підключені до SWIFT системи використовують суворі мережеві відсічення.
Промислові системи управління. SCADA-мережі та критична інфраструктура працюють з ізольованими мережами як основним заходом безпеки. Загартування після Stuxnet зробило це нормою.
Європейські правила щодо даних. Landesdatenschutzgesetze Німеччини та подібні закони ЄС вимагають локальної обробки даних для чутливих державних та медичних записів. Штраф TikTok €530 млн за GDPR з'явився у травні 2025 року. Він стосувався передачі даних до Китаю. Цей штраф підштовхнув більше команд до локальних інструментів. Дивіться наш огляд відповідності для правил передачі GDPR, що застосовуються.
Чому хмарні інструменти не працюють в ізольованих мережах
Більшість інструментів видалення даних працюють за моделлю SaaS:
Пристрій користувача → HTTPS → API постачальника → NLP-моделі → Відповідь → Пристрій користувача
Цей дизайн потребує доступу до інтернету на пристрої обробки. Він вимагає довіри до серверів постачальника. Це означає, що дані перетинають зовнішні мережі.
В ізольованій мережі перший крок фізично неможливий. Для регульованих середовищ кроки два-чотири можуть окремо порушувати правила відповідності.
Self-hosted Presidio є поширеним запасним варіантом. Але він потребує навичок Docker та налаштування Python. Також потрібне завантаження моделей spaCy, яке вимагає доступу до інтернету. І постійна підтримка ІТ. Більшість команд не мають всього цього.
Розрив між зручністю хмари та складністю self-hosted — це саме те, що заповнюють локальні десктопні інструменти.
Як працює локальне видалення PII
Хороший офлайн-інструмент постачається з усім необхідним:
Вбудовані NLP-моделі. Моделі spaCy (40–80 МБ кожна) та трансформерні моделі для виявлення іменованих сутностей входять до складу інсталятора. Завантаження під час роботи не потрібне.
Локальний конвеєр виявлення. Regex, NLP та ML — все запускається на локальному CPU або GPU (якщо доступний). Рушій на основі Presidio в anonym.legal не здійснює мережевих викликів під час роботи.
Зашифроване локальне сховище. Конфігурації, пресети та ключі зберігаються локально. Сховище використовує шифрування AES-256-GCM та деривацію ключів Argon2id. Без хмарної синхронізації. Без віддаленого резервного копіювання. Сховище залишається на пристрої.
Локальне введення/виведення файлів. Вхідні файли надходять із локального сховища. Вихідні файли повертаються до локального сховища. Жодні дані не перетинають жоден мережевий інтерфейс.
Мала поверхня атаки. Десктопний застосунок використовує Tauri 2.0 (на основі Rust). Tauri має значно меншу поверхню атаки, ніж інструменти на основі Electron (Chromium). Його бінарний файл приблизно у десять разів менший. Він також за замовчуванням викликає менше API операційної системи.
Три реальні сценарії відповідності
Документи ITAR — 500 файлів
Оборонна компанія повинна поділитися технічними документами з іноземним партнером за винятком ліцензії. Файли містять імена громадян США та кадрові дані. Обидва мають бути видалені спочатку.
Ключові вимоги: обробка лише на допущених робочих станціях. Жодні дані не надсилаються поза допущеною мережею. Журнал аудиту, що підтверджує виконану роботу. Підтримка пакетного режиму для 500+ файлів.
Desktop App обробляє всі 500+ файлів DOCX локально у пакетному режимі. Жодного мережевого виклику під час роботи. Журнал аудиту залишається у локальному сховищі. Результат відповідає вимогам винятку ліцензії ITAR.
Федеральне агентство Німеччини — записи скарг
Німецьке федеральне агентство повинне видалити персональні дані зі скарг громадян. Потім надіслати записи до дослідницького інституту. Рекомендації BfDI забороняють обробку на недержавних системах.
Desktop App запускається на робочих станціях агентства Windows 11. Вся обробка локальна. Команда ІТ-безпеки підтверджує це за допомогою моніторингу трафіку — нуль зовнішніх підключень під час роботи.
Лікарняне дослідження — деідентифікація EHR
Дослідницька команда лікарні повинна знеособити записи пацієнтів для клінічного випробування. HIPAA Safe Harbor вимагає видалення 18 типів ідентифікаторів. Клінічна мережа не має доступу до інтернету.
Desktop App обробляє пакетне оброблення експортів EHR у форматах CSV та JSON. Офіцер конфіденційності перевіряє результат за правилами Safe Harbor, перш ніж набір даних передається дослідницьким партнерам.
Що шукати в офлайн-інструменті
| Можливість | Чому це важливо |
|---|---|
| Повністю офлайн після встановлення | Відсутність залежності від інтернету під час обробки |
| Вбудовані NLP-моделі | Крок завантаження не потрібен |
| Пакетна обробка | Обробка великих обсягів без ручної роботи |
| Локальне зашифроване сховище | Безпечне зберігання конфігурацій та ключів |
| Журнал аудиту | Записи, необхідні для перевірок відповідності |
| Підтримка Windows, macOS, Linux | Охоплює типи класифікованих робочих станцій |
| Відсутність телеметрії | Зупинити витік даних через телеметрію |
| Підтримка форматів файлів | DOCX, PDF, TXT, CSV, JSON, Excel |
Правила щодо даних штовхають команди до локальних інструментів
Штраф TikTok €530 млн спровокував ширшу хвилю штрафів. Команди ЄС, що використовували хмарні інструменти, тепер задають нове питання. Чи задовольняє обробка на серверах постачальника Розділ V GDPR та національні закони про дані?
Найчистіша відповідь на «куди йдуть ваші дані?» така: нікуди — вони ніколи не покидають пристрій. Локальна обробка повністю виключає питання передачі GDPR.
Для німецьких команд суворе тлумачення Статей 44–46 DSGVO робить локальну обробку розумним вибором. Це стосується навіть без суворих мережевих обмежень. Наш огляд безпеки пояснює, як локальна обробка усуває ланцюжок даних третіх сторін.
Практичні примітки щодо розгортання
Встановлення на ізольованих системах. Інсталятор — Windows .exe або .msi, macOS .dmg, Linux .AppImage або .deb — передається до ізольованої мережі через USB або захищену передачу файлів. Після встановлення інтернет не потрібен.
Підтримка мов. З застосунком постачаються 24 мовні моделі. Повний набір доступний офлайн без додаткового завантаження.
Апаратні вимоги. Конвеєр NLP запускається на сучасних робочих станціях без GPU. Пакетна обробка 1 000 документів зазвичай займає 5–15 хвилин. Швидкість залежить від розміру документа та швидкості CPU.
Офлайн-налаштування ліцензії. Для мереж, де сервер ліцензій недоступний, доступне офлайн-налаштування ліцензії.
Коли ізоляція мережі — не правильний вибір
Ізольовані системи вирішують конкретні проблеми. Вони також додають реальне навантаження.
Тертя при оновленні. Підтримка актуальності моделей та програмного забезпечення вимагає ручних кроків. Команди, що відстають, можуть пропустити нові шаблони PII.
Накладні витрати на зв'язок. Ізольовані системи не можуть підключатися до хмарних інструментів SIEM або віддалених дашбордів аудиту. Потрібні спеціальні рішення з однонаправленою передачею даних. Це підвищує витрати.
Компроміси точності. Хмарні інструменти постійно оновлюють навчальні дані. Офлайн-моделі — це знімок. З часом вони можуть відставати від нових мовних шаблонів.
Не потрібно для кожної моделі загроз. Команди без державних, медичних або юридичних мандатів можуть знайти хмарні інструменти більш практичними. Надійне шифрування при передачі та зберіганні, аудити SOC 2 Type II та угоди про обробку даних охоплюють більшість випадків. Ізоляція мережі окупається лише тоді, коли модель загроз дійсно включає мережеву крадіжку даних кваліфікованим зловмисником.
Для більшості МСП та стандартних корпоративних команд надійне шифрування при передачі та зберіганні забезпечує достатній захист. Додайте надійні договірні засоби контролю — і ви охопите більшість випадків без накладних витрат повної ізоляції. Дивіться наш FAQ для більшої інформації про вибір правильної моделі розгортання.
Desktop App anonym.legal (Windows, macOS, Linux) обробляє PII повністю локально з вбудованими NLP-моделями. Підключення до інтернету після встановлення не потрібне. Пакетна обробка підтримує 1–5 000 файлів за один запуск залежно від рівня плану.
Джерела
- DISA FedRAMP vs ITAR — Огляд Paramify — VERIFIED-EXTERNAL
- GDPR Розділ V — Міжнародні передачі — VERIFIED-EXTERNAL
- Рішення DPC щодо TikTok €530 млн (травень 2025) — VERIFIED-EXTERNAL
- Модель безпеки Tauri — VERIFIED-EXTERNAL
- Деідентифікація HIPAA Safe Harbor — 45 CFR 164.514 — VERIFIED-EXTERNAL