Prilikom pisanja ovog posta dugo smo razmišljali o naslovu samog posta. Naime, vjerujemo da se svi slažemo s činjenicom da se backup nikada ne može dovoljno često raditi, kao i s činjenicom da kada moramo posegnuti za backupom, da smo već u ozbiljnom problemu.

Međutim, jesmo li se ikada zapitali da li je i sam medij na koji pohranjujemo sigurnosne kopije - siguran, ispravan, pouzdan?

Da li je sigurnosna kopija pouzdano i sigurno izrađena i pohranjena na pravo mjesto?

Možemo li nadzirati kvalitetu i pouzdanost medija za pohranu? Možemo li pratiti logove pristupa mediju pohrane?

Pitanje je vrlo praktične prirode, naime, koliko puta susrećemo situaciju da tvrtke ili ustanove pohranjuju svoje dokumente na vanjskim hard diskovima ili USB stickovima, koji ne daju mogućnost praćenja i nadzora sigurnosti pohrane.

To su pitanja o kojima moramo voditi brigu kada razmišljamo o održivosti poslovanja naše tvrtke i usklađenosti s GDPR obvezama, posebice u području očuvanja integriteta naših sustava.

Štoviše, slučajno uništenje ili gubitak osobnih podataka predstavlja, po definiciji iz članka 4. GDPR-a, povredu podataka ili Data Breach, i samim time niz novih obveza u ekstremno kratkim rokovima.

Nevjerojatna je priča koju dijelimo na niže spomenutom linku, jedan od globalno najjačih over-the-top igrača je prilikom migracije podataka na nove servere izgubio 50 milijuna pohranjenih pjesama. 50 milijuna!? Nismo ni mogli zamisliti da ih je uopće toliko i napisano u ljudskoj povijesti. A radi se samo o pjesmama koje je My Space pohranio do 2015.

Naravno, postavlja se pitanje zašto se nije napravila sigurnosna kopija cjelokupnog materijala prije migracije na nove servere. Nemoguće je da je netko na to zaboravio. Vjerojatnije je da je sam backup, odnosno, sigurnosna kopija bila neispravna, oštećena, nemoguća za oporavak. Ili je diskovni prostor na novom serveru bio neispravan i bez uvedenih kontrolnih mjera ispravnosti zapisivanja. Ili sve zajedno. Sad se postavlja i pitanje postoje li uopće i logovi, odnosno, zapisi zbivanja i pristupanja diskovnom prostoru na novom serveru. Vrlo neprofesionalno, a da ne govorimo kakva tek šteta slijedi.

Sreća u nesreći za My Space je ta da same pjesme ne predstavljaju osobne podatke, pa će zaobići sankcije po GDPR-u, ali je reputacija prema korisnicima trajno ugrožena.

Ali, ukoliko je My Space, osim pjesama, izgubio i informacije o profilima korisnika, njihovim željenim play-listama ili voljenim vrstama glazbe, tada već ulazimo u područje osobnih podataka i moguć nastanak velikih problema za My Space koji može prerasti u incident s dodatno teškim posljedicama i nadzorima nadležnih tijela.

Više o incidentu:

https://nakedsecurity.sophos.com/2019/03/19/myspace-loses-50-million-songs-in-server-migration/