Czym jest modyfikacja danych (i dlaczego warto na nią uważać)

 

Według przepisów RODO modyfikacja danych jest takim samym incydentem jak ich wyciek lub skasowanie. Jednak wiele firm zastanawia się, co ten termin w zasadzie oznacza – mówi Adam Wódz, IT security manager z firmy Cybercom.

W myśl RODO obowiązkiem firmy jest zapewnić „najlepsze dostępne środki” ochrony danych. Jednocześnie to na przedsiębiorstwie leży cały ciężar udowodnienia, że zastosowane środki faktycznie były „najlepsze dostępne” a opracowane procedury  wcielone w życie.

– Firmy często zabezpieczają się przede wszystkim przed zagrożeniami związanymi z celowym działaniem. Nie należy jednak zakładać, że są one jedynym źródłem problemów z bezpieczeństwem w firmach – mówi Adam Wódz. Podkreśla, że według danych serwisu breachlevelindex 22,12 proc danych wyciekło na skutek przypadku i nieumyślnego zachowania pracowników. – Błędy się zdarzają. Czasem pracownik wyśle dostęp do bazy na niewłaściwy adres lub zgubi laptopa ze skonfigurowanym dostępem do najważniejszych zasobów firmy. Należy się liczyć z taką sytuacją.

Modyfikacja a wyciek

O ile jednak definicja wycieku danych znacznie łatwiejsza do zrozumienia intuicyjnego zrozumieniai, ujęta w RODO „modyfikacja” może być już znacznie bardziej problematyczna.

– W epoce big data i marketing automation duże zbiory danych  dostarczają coraz istotniejszej wiedzy na temat użytkowników. Co więcej, na podstawie tych danych wiele firm kształtuje swoją politykę działania i wszelkie zmiany mogą pociągnąć ze sobą poważne konsekwencje.

Jako przykład stosunkowo niegroźnego incydentu związanego z modyfikacją danych Adam Wódz podaje serwisy streamingowe z muzyką.

– Łatwo sobie wyobrazić sytuację, w której firmie fonograficznej zależy na wypromowaniu konkretnego artysty przy użyciu takich serwisów. Dlatego preferencje każdego użytkownika są modyfikowane tak, by usłyszał ten konkretny utwór. – wskazuje Adam Wódz. – Incydent jest pozornie niegroźny, jednak stanowi naruszenie danych a dostawca poniósłby odpowiedzialność w ramach RODO.

Nieumyślne modyfikacje

Choć powyższy scenariusz dotyczy celowego działania, znacznie bardziej prawdopodobne, że do modyfikacji danych dojdzie na skutek działań pracownika, który nie ma złych intencji.

– W handlu internetowym całkiem powszechnie stosowane są prace na bazie danych klientów. Firmy przeprowadzają data mining, aby przygotować ciekawszą, bardziej dostosowaną ofertę – mówi Adam Wódz. – Jeśli podczas takiego procesu pracownik niechcący podmieni adresy e-mail lub dostawy, skutki zarówno dla firmy jak i dla klienta będą przykre. Jeśli dodatkowo firma nie posiadała kopii zapasowych, będzie miała poważny problem.

Zdaniem eksperta to właśnie kopie zapasowe są w przypadku modyfikacji danych najważniejszym narzędziem ochrony.

– Jeśli firma dysponuje kopiami zapasowymi łatwo można, po wykryciu takiego incydentu, porównać obecny stan bazy z kopią i podjąć odpowiednie kroki. Jeśli przedsiębiorstwo dysponuje odpowiednimi procedurami, najprawdopodobniej uniknie kar – mówi Adam Wódz. – Jeżeli jednak firma nie będzie w stanie przywrócić właściwej wersji bazy danych a klienci odczują efekty modyfikacji, z pewnością zakończy się do odpowiedzialnością i karami. Jeśli wydarzenie dodatkowo będzie miało miejsce w szczególnie wrażliwej branży, na przykład medycznej lub finansowej, skutki mogą być naprawdę fatalne – podsumowuje Adam Wódz.