Attribute-Based Access Control (ABAC) to model kontroli dostępu, w którym decyzja o przyznaniu lub odmowie dostępu jest podejmowana na podstawie atrybutów opisujących użytkownika, zasób, działanie i kontekst operacji. W odróżnieniu od modeli opartych wyłącznie na rolach, ABAC nie ogranicza się do przypisania użytkownika do grupy lub stanowiska. Zamiast tego ocenia zestaw reguł polityki dostępu, np. czy operator jest członkiem zespołu compliance, pracuje na stacji w sieci wewnętrznej, ma uprawnienie do przeglądu materiału dowodowego oraz czy materiał pochodzi z określonej sprawy lub ma określony status retencji.
Attribute-Based Access Control (ABAC) - definicja
ABAC jest formalnie opisany w publikacjach NIST, przede wszystkim w NIST Special Publication 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations z 2014 r. NIST definiuje ABAC jako metodę kontroli dostępu, w której autoryzacja jest ustalana przez ocenę atrybutów podmiotu, obiektu, operacji i środowiska względem polityk. W praktyce oznacza to, że system nie pyta wyłącznie „kim jesteś?”, ale także „do czego chcesz uzyskać dostęp?”, „co chcesz zrobić?” i „w jakich warunkach?”.
W kontekście anonimizacji zdjęć i nagrań wideo ABAC ma znaczenie operacyjne. Materiał źródłowy przed zamazaniem twarzy lub tablic rejestracyjnych zawiera dane osobowe. Dostęp do niego powinien być bardziej restrykcyjny niż dostęp do wersji już zanonimizowanej. ABAC pozwala więc rozdzielić uprawnienia między etapy pracy z plikiem - import, przegląd surowego materiału, uruchomienie detekcji, ręczną korektę masek, eksport oraz usunięcie plików tymczasowych.
W systemie do anonimizacji wideo i zdjęć polityka ABAC może brać pod uwagę nie tylko użytkownika, ale także klasę materiału, podstawę przetwarzania, jurysdykcję, etap postępowania oraz lokalizację środowiska. Jest to szczególnie istotne przy wdrożeniach on-premise, gdzie organizacja sama odpowiada za techniczne i organizacyjne środki bezpieczeństwa, zgodnie z art. 24, 25 i 32 RODO.
Rola ABAC w anonimizacji zdjęć i nagrań wideo
Model ABAC jest użyteczny tam, gdzie ten sam plik wideo przechodzi przez kilka etapów przetwarzania i na każdym etapie powinien być widoczny dla innej grupy osób. Dotyczy to zwłaszcza materiałów z monitoringu, nagrań z kamer nasobnych, dokumentacji inspekcyjnej, materiałów szkoleniowych i treści przygotowywanych do publikacji.
W takim scenariuszu ABAC może wymuszać precyzyjne ograniczenia dostępu:
- do materiału surowego - tylko dla osób z uzasadnioną podstawą służbową, np. operatora sprawy lub osoby pełniącej funkcję inspektora ochrony danych, jeśli jest to uzasadnione zakresem obowiązków,
- do funkcji automatycznego wykrywania - dla użytkowników z uprawnieniem do uruchamiania procesu wykrywania twarzy i tablic rejestracyjnych,
- do edycji manualnej - dla operatorów odpowiedzialnych za korektę obszarów, których system nie wykrywa automatycznie, np. dokumentów czy treści na monitorach,
- do eksportu wersji zanonimizowanej - dla osób publikujących lub przekazujących materiał dalej,
- do usunięcia plików źródłowych - dla administratora retencji lub osoby zatwierdzającej zakończenie sprawy.
W praktyce ogranicza to ryzyko nadmiarowego dostępu do danych osobowych. Jest to zgodne z zasadą minimalizacji oraz zasadą integralności i poufności z art. 5 ust. 1 lit. c i f RODO.
Atrybuty i polityki ABAC w systemach anonimizacji
Skuteczność ABAC zależy od jakości atrybutów i precyzji polityk. Atrybuty muszą być aktualne, mierzalne i możliwe do zweryfikowania przez system. W środowiskach przetwarzających obrazy i wideo stosuje się zwykle kilka klas atrybutów.
Klasa atrybutu | Przykłady | Zastosowanie w anonimizacji
|
|---|---|---|
Podmiot | rola służbowa, dział, certyfikacja, poziom uprawnień, status zatrudnienia | określa, kto może oglądać materiał źródłowy i kto może eksportować wynik |
Obiekt | typ pliku, klasyfikacja poufności, źródło nagrania, identyfikator sprawy, status retencji | rozróżnia np. materiał dowodowy od materiału do publikacji |
Operacja | odczyt, anotacja, uruchomienie detekcji, edycja, eksport, usunięcie | pozwala przyznać dostęp tylko do konkretnych działań |
Środowisko | adres IP, segment sieci, pora dnia, stacja robocza, kraj przetwarzania | ogranicza operacje do bezpiecznego środowiska on-premise |
Przykładowa polityka może wyglądać następująco: dostęp do surowego nagrania z monitoringu jest dozwolony tylko wtedy, gdy użytkownik ma status aktywnego pracownika, należy do jednostki prowadzącej sprawę, korzysta z urządzenia zarządzanego przez organizację i znajduje się w sieci wewnętrznej. Eksport wersji zanonimizowanej może być dozwolony dla szerszej grupy, ale bez prawa pobrania materiału źródłowego.
Techniczny kontekst ABAC a wykrywanie twarzy i tablic rejestracyjnych
W systemach anonimizacji decyzja o dostępie i sam proces wykrywania to dwie różne warstwy. ABAC nie służy do rozpoznawania twarzy ani tablic rejestracyjnych. Służy do kontrolowania, kto i w jakich warunkach może uruchamiać oraz obsługiwać te funkcje. Samo wykrywanie twarzy i tablic zwykle opiera się na modelach uczenia maszynowego, najczęściej deep learning. Model AI jest wcześniej wytrenowany na odpowiednich danych i następnie używany do lokalizacji obiektów w obrazie lub kolejnych klatkach wideo, które mają zostać zamazane.
W praktyce oznacza to rozdzielenie odpowiedzialności:
- warstwa AI odpowiada za detekcję twarzy i tablic rejestracyjnych,
- warstwa polityk ABAC odpowiada za to, kto może uruchomić detekcję, zobaczyć wynik i zatwierdzić eksport.
W Gallio PRO istotne jest poprawne zdefiniowanie tych granic. Oprogramowanie automatycznie zamazuje twarze i tablice rejestracyjne, ale nie wykrywa automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Te elementy mogą być zamazywane manualnie w edytorze. Z punktu widzenia ABAC oznacza to, że polityka może oddzielić uprawnienie do automatycznej anonimizacji od uprawnienia do ręcznej ingerencji w materiał.
Kluczowe parametry i metryki ABAC
ABAC ocenia się nie tylko przez pryzmat bezpieczeństwa, ale też wydajności i audytowalności. W systemach pracy z dużymi plikami wideo zbyt wolna autoryzacja może obniżyć efektywność procesów. Dlatego warto mierzyć podstawowe parametry działania polityk.
Parametr | Znaczenie | Praktyczny sens
|
|---|---|---|
Decision latency | czas oceny polityki dostępu | wpływa na płynność otwierania plików i wykonywania operacji |
Policy coverage | odsetek przypadków objętych formalną polityką | pokazuje, czy nie istnieją ścieżki dostępu poza kontrolą |
False allow / false deny | błędne dopuszczenie lub odmowa dostępu | mierzy ryzyko operacyjne i wpływ na pracę zespołu |
Audit completeness | kompletność śladu audytowego | pozwala wykazać, kto wykonał daną operację |
Attribute freshness | aktualność atrybutów | ogranicza ryzyko pozostawienia dostępu po zmianie roli lub projektu |
Warto rozróżnić metryki ABAC od metryk modelu detekcyjnego. Skuteczność wykrywania twarzy lub tablic rejestracyjnych mierzy się innymi wskaźnikami, np. precision, recall czy intersection over union. ABAC nie poprawia jakości detekcji, ale ogranicza ekspozycję danych przed i po anonimizacji.
ABAC a RODO, bezpieczeństwo danych i wdrożenia on-premise
ABAC wspiera realizację wymagań RODO, ale samo w sobie nie daje automatycznej zgodności. Jest środkiem technicznym, który pomaga egzekwować zasady dostępu do materiałów zawierających wizerunek lub tablice rejestracyjne. Szczególne znaczenie ma to tam, gdzie organizacja przetwarza materiał lokalnie, bez przekazywania go do usług chmurowych.
W środowisku on-premise ABAC może ograniczać dostęp do danych źródłowych do bardzo małej grupy użytkowników. Jest to korzystne zwłaszcza przy materiałach wysokiego ryzyka, np. nagraniach interwencji, materiałach dowodowych czy nagraniach z przestrzeni publicznej. Jednocześnie organizacja powinna zadbać o spójność ABAC z zarządzaniem tożsamością, retencją i polityką stacji roboczych.
Warto też pamiętać, że ślad audytowy powinien dokumentować operacje administracyjne i procesowe, ale nie powinien sam stawać się zbiorem danych osobowych wykraczającym poza cel. W kontekście Gallio PRO istotne jest, że oprogramowanie nie zapisuje w logach wyników detekcji twarzy i tablic rejestracyjnych; zakres logów nadal może jednak obejmować inne dane eksploatacyjne, zależnie od konfiguracji systemu.
Wyzwania i ograniczenia ABAC
ABAC daje dużą elastyczność, ale wymaga dojrzałego modelu zarządzania atrybutami. Im więcej polityk i wyjątków, tym większe ryzyko błędów konfiguracyjnych. Problemem bywa także niespójność źródeł atrybutów, np. gdy dział HR, system IAM i repozytorium spraw mają różne dane o tym samym użytkowniku.
Najczęstsze ograniczenia są następujące:
- złożoność polityk rośnie wraz z liczbą wyjątków organizacyjnych,
- błędne lub nieaktualne atrybuty prowadzą do błędnych decyzji dostępowych,
- trudne jest testowanie pełnej liczby kombinacji warunków,
- ABAC nie zastępuje przeglądów uprawnień, segmentacji sieci ani szyfrowania danych,
- ABAC nie rozwiązuje problemów jakości detekcji AI i nie zastępuje kontroli manualnej wyniku anonimizacji.
Odniesienia normatywne i źródła
Pojęcie ABAC i jego praktyczne zastosowanie należy opierać na dokumentach źródłowych oraz przepisach regulujących bezpieczeństwo przetwarzania. Dla systemów anonimizacji zdjęć i nagrań wideo kluczowe są następujące publikacje:
- NIST SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations, National Institute of Standards and Technology, 2014,
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 - RODO, w szczególności art. 5, 24, 25 i 32,
- ISO/IEC 27001:2022 - wymagania dla systemu zarządzania bezpieczeństwem informacji,
- ISO/IEC 27002:2022 - środki bezpieczeństwa, w tym kontrola dostępu i zarządzanie tożsamością.
Jeżeli organizacja stosuje ABAC przy przetwarzaniu materiałów zawierających wizerunek, warto dokumentować logikę polityk, źródła atrybutów, procedury przeglądu uprawnień oraz relację między dostępem do materiału surowego i zanonimizowanego. To ułatwia wykazanie rozliczalności oraz ocenę adekwatności zabezpieczeń.