Svaka tvrtka, udruga, institucija, tijelo javne vlasti, jedinica lokalne ili regionalne uprave, ma svaka organizacija unutar svojih sigurnosnih postavki sustava i procedura mora imati osigurane i tzv. dnevničke zapise ili logove o ključnim zbivanjima, posebice ulascima i aktivnostima korisnika po sustavima.
Logovi se moraju neprekidno bilježiti i prikupljati u središnji sustav, jer bez njih teško možemo imati učinkovit nadzor na svim sigurnosnim događajima.
Da ne pričamo o situacijama kada imamo otkriven sigurnosni incident i povredu osobnih podataka i kada moramo u ekstremno kratkom vremenu u najtežim trenucima otkriti što se zbivalo na sustavima, tko je ulazio u koje sustave i koje aktivnosti ovlaštenog ili neovlaštenog korisnika su bile vršene.
Bez kvalitetnih i detaljnih logova u najvećem broju slučaja nije moguće utvrditi kako je do incidenta i povrede podataka došlo, kao što nam je kritično ograničena mogućnost utvrđivanja opsega incidenta i kompromitiranih osobnih podataka na sustavu ili npr. horizontalnim širenjem incidenta na više sustava u organizaciji.
Kad smo konkretno posljednji put prijavljivali povredu osobnih podataka AZOP-u, logovi pristupa sustavima predstavljali su nam ključan alat u utvrđivanju karaktera i opsega neovlaštenog pristupa bazama podataka o čemu se prilikom prijave povrede podataka AZOP-u moraju predočiti takve informacije.
U suprotnom se može desiti vrlo teška situacija u kojoj se našlo sveučilište u Danskoj nakon što su sigurnosnim propustom omogućili neovlašteni pristup 7.000 svojih zaposlenika bazi od 400 osobnih dosjea unutar HR aplikacije u razdoblju od 2 tjedna.
Uslijed nepostojanja logova pristupa prilikom izvješćivanja o povredi osobnih podataka nisu mogli ni na koji način utvrditi jesu li uopće neovlašteni zaposlenici pristupali osobnim dosjeima, niti su mogli utvrditi količinu takvih pristupa i opsežnost povrede koja ima utjecaj na same pojedince čiji su osobni podaci iz dosjea bilim kompromitirani.
Da je sveučilište vodilo brigu o redovitom testiranju svojih sustava i sigurnosnih procedura u skladu s člankom 32. GDPR-a, pravovremeno bi uočili da nešto fali - logovi.
Više o danskom slučaju:
https://gdprhub.eu/index.php?title=Datatilsynet_(Denmark)_-_2021-442-13989&mtc=today
Image by Robinraj Premchand from Pixabay