Immutable Audit Logs - definicja
Immutable Audit Logs, czyli niezmienialne logi audytowe, to zapis zdarzeń systemowych i operacyjnych zaprojektowany tak, aby po utworzeniu wpisu nie można go było usunąć ani zmodyfikować bez pozostawienia śladu. W praktyce oznacza to stosowanie mechanizmów technicznych i organizacyjnych, które zapewniają integralność, rozliczalność i weryfikowalność historii operacji. W środowiskach przetwarzających zdjęcia i nagrania wideo takie logi dokumentują nie samą treść obrazu, lecz działania wykonane na plikach, zadaniach i konfiguracji systemu.
W kontekście anonimizacji zdjęć i materiałów wideo niezmienialne logi audytowe służą do wykazania, kto, kiedy i na jakiej podstawie uruchomił proces zamazywania twarzy lub tablic rejestracyjnych, jaki plik był przetwarzany, jaka wersja modelu detekcji została użyta, jaki był wynik operacji oraz czy operator wykonał korekty manualne. Jest to istotne dla zasady rozliczalności z art. 5 ust. 2 RODO, która wymaga, aby administrator był w stanie wykazać zgodność przetwarzania z przepisami. Samo RODO nie narzuca konkretnej technologii niezmienialności, ale wymaga odpowiednich środków bezpieczeństwa, w tym zapewnienia integralności i poufności przetwarzania oraz odporności systemów i usług - art. 5 ust. 1 lit. f oraz art. 32 RODO, Rozporządzenie (UE) 2016/679.
Niezmienialny log audytowy nie jest tym samym co zwykły log aplikacyjny. Zwykłe logi można nadpisać, skrócić przez rotację albo usunąć przez administratora. Log niezmienialny powinien być odporny na takie działania, na przykład przez zastosowanie pamięci WORM, kryptograficznych łańcuchów skrótów, podpisów cyfrowych, kwalifikowanych lub innych wiarygodnych znaczników czasu albo kontroli retencji na poziomie systemu plików albo obiektu.
Rola niezmienialnych logów audytowych w anonimizacji zdjęć i wideo
W procesach anonimizacji obrazu audyt ma znaczenie nie tylko dla bezpieczeństwa IT, ale także dla zgodności prawnej i jakości operacyjnej. Inspektor Ochrony Danych lub audytor musi móc odtworzyć przebieg operacji bez dostępu do samych danych osobowych, o ile nie jest to konieczne.
W praktyce niezmienialne logi audytowe wspierają kilka obszarów jednocześnie:
- rozliczalność - wykazanie, że materiał został poddany anonimizacji przed udostępnieniem lub publikacją,
- integralność procesu - potwierdzenie, że wynik nie został podmieniony po anonimizacji,
- kontrolę dostępu - zapis tego, który użytkownik otworzył zadanie, zaakceptował wynik lub wykonał edycję manualną,
- forensics - analizę incydentów, błędów detekcji i nieautoryzowanych działań,
- zarządzanie modelem AI - powiązanie wyniku z konkretną wersją modelu wykrywania twarzy lub tablic.
W systemie takim jak Gallio PRO log audytowy powinien dotyczyć operacji na zadaniach anonimizacji oraz administracji systemem. Zgodnie z wymaganiami produkt nie powinien zapisywać logów zawierających same detekcje twarzy i tablic rejestracyjnych ani innych danych osobowych, jeśli nie jest to niezbędne do celu audytowego. Oznacza to, że projekt logowania musi rozdzielać dane dowodowe od treści, która mogłaby zwiększać zakres przetwarzania danych osobowych.
Jakie zdarzenia powinny trafiać do logu audytowego
Zakres logowania powinien być ograniczony do informacji niezbędnych do audytu, bezpieczeństwa i wykazania zgodności. W środowisku przetwarzania zdjęć i nagrań wideo warto logować metadane operacyjne, a nie zawartość obrazu.
Zdarzenie | Przykładowe pola | Cel audytowy
|
|---|---|---|
Utworzenie zadania | ID zadania, identyfikator pliku, użytkownik, czas UTC | ustalenie początku procesu |
Uruchomienie anonimizacji | typ operacji, wersja modelu, konfiguracja rozmycia | powiązanie wyniku z parametrami przetwarzania |
Manualna korekta | użytkownik, zakres korekty, czas, powód | udokumentowanie interwencji operatora |
Eksport wyniku | format wyjściowy, suma kontrolna pliku, odbiorca | śledzenie udostępnienia materiału |
Zmiana uprawnień | administrator, rola przed i po zmianie | kontrola bezpieczeństwa i segregacji obowiązków |
Technologie stosowane do zapewnienia niezmienialności
Niezmienialność nie wynika z samego faktu zapisu logu. Musi być wymuszona przez architekturę systemu. Najczęściej stosuje się kilka warstw zabezpieczeń jednocześnie, aby utrudnić zarówno przypadkową modyfikację, jak i celowe fałszowanie zapisów.
- WORM - Write Once Read Many. Dane po zapisaniu nie mogą być zmienione w okresie retencji. Mechanizm jest stosowany w pamięciach optycznych, macierzach i magazynach obiektowych.
- Hash chaining - każdy wpis zawiera skrót poprzedniego wpisu. Zmiana jednego rekordu zrywa ciąg integralności.
- Podpis cyfrowy - wpis lub paczka logów są podpisywane kluczem prywatnym, co pozwala wykryć manipulację.
- Kwalifikowany lub inny wiarygodny znacznik czasu - potwierdza istnienie wpisu w określonym momencie.
- Oddzielny storage audytowy - logi są przesyłane do repozytorium o odrębnych uprawnieniach administracyjnych.
W praktyce weryfikacja integralności może opierać się na funkcjach skrótu z rodziny SHA-2. FIPS 180-4, NIST, określa między innymi SHA-256 i SHA-512 jako standardowe algorytmy skrótu. Dla podpisów i znaczników czasu zastosowanie mają dokumenty ETSI z obszaru usług zaufania, w tym ETSI EN 319 421 i ETSI EN 319 422 dla polityk i wymagań dotyczących urzędów znakowania czasem. Jeżeli logi są przechowywane w systemach chmurowych lub obiektowych, istotne są także polityki retencji i blokady usunięcia na poziomie nośnika.
Kluczowe parametry i metryki niezmienialnych logów audytowych
Ocena jakości logów audytowych nie powinna ograniczać się do stwierdzenia, że logi istnieją. Potrzebne są mierzalne parametry, które można zweryfikować podczas audytu lub testu bezpieczeństwa.
Parametr | Znaczenie | Przykład interpretacji
|
|---|---|---|
Retencja | minimalny czas przechowywania wpisów | np. 12, 24 lub 36 miesięcy zgodnie z polityką organizacji |
RPO logów | dopuszczalna utrata wpisów po awarii | 0 lub blisko 0 dla krytycznych zdarzeń |
Opóźnienie zapisu | czas między zdarzeniem a utrwaleniem logu | sekundy lub mniej w systemach wysokiego zaufania |
Wskaźnik weryfikacji integralności | odsetek rekordów poprawnie zweryfikowanych kryptograficznie | 100% dla pełnej kontroli spójności |
Pokrycie zdarzeń | procent krytycznych operacji objętych audytem | powinno obejmować cały cykl anonimizacji |
W środowiskach regulowanych używa się także pojęcia complete, consistent, enduring i available oraz attributable, legible, contemporaneous, original i accurate, znanego jako ALCOA+. Choć termin wywodzi się z sektorów regulowanych, dobrze porządkuje wymagania wobec logów audytowych także poza nimi.
Znaczenie dla AI stosowanej do zamazywania twarzy i tablic
Automatyczne zamazywanie twarzy i tablic rejestracyjnych opiera się na modelach detekcji obrazu, zwykle trenowanych z użyciem deep learning. Sam model AI nie zapewnia zgodności ani audytowalności. Potrzebne jest powiązanie wyniku z konkretną wersją modelu, konfiguracją progu detekcji i decyzjami operatora.
W logach warto zapisywać między innymi:
- identyfikator i wersję modelu,
- datę wdrożenia modelu do środowiska produkcyjnego,
- parametry uruchomienia, na przykład próg confidence, jeśli jest konfigurowalny,
- informację, czy wynik został poprawiony ręcznie,
- sumę kontrolną pliku wejściowego i wyjściowego.
Takie dane nie powinny zawierać samych współrzędnych detekcji, jeśli polityka minimalizacji danych wyklucza zapis informacji pozwalających odtwarzać obecność konkretnych osób lub pojazdów. To ważne rozróżnienie: audyt procesu nie wymaga przechowywania danych, które zwiększają ryzyko prywatności.
Wyzwania i ograniczenia
Niezmienialny log audytowy nie rozwiązuje wszystkich problemów. Jeżeli system zapisze błędne zdarzenie, log wiernie utrwali błąd. Jeżeli nie zaprojektowano właściwego zakresu zdarzeń, późniejsza analiza będzie niepełna. Dodatkowo zbyt szerokie logowanie może prowadzić do nadmiarowego przetwarzania danych osobowych.
Najczęstsze problemy to:
- brak synchronizacji czasu między węzłami systemu,
- rotacja logów bez zachowania łańcucha integralności,
- wspólne konta administratorów, które osłabiają rozliczalność,
- logowanie danych, których nie trzeba utrwalać z punktu widzenia audytu,
- brak procedury regularnej weryfikacji podpisów i skrótów.
Odniesienia normatywne i standardowe
Przy projektowaniu i ocenie niezmienialnych logów audytowych warto opierać się na dokumentach źródłowych. Nie wszystkie z nich używają terminu immutable audit logs wprost, ale definiują wymagania dotyczące integralności, rozliczalności, rejestrowania zdarzeń i ochrony logów.
- RODO - Rozporządzenie (UE) 2016/679, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24, art. 32.
- ISO/IEC 27001:2022 - wymagania dla systemu zarządzania bezpieczeństwem informacji.
- ISO/IEC 27002:2022 - środki bezpieczeństwa, w tym logowanie, monitoring i ochrona informacji.
- NIST SP 800-92, Guide to Computer Security Log Management, 2006 - zarządzanie logami bezpieczeństwa.
- NIST SP 800-53 Rev. 5, 2020 - kontrolki AU dotyczące audytu i rozliczalności.
- FIPS PUB 180-4, NIST, 2015 - Secure Hash Standard.
- ETSI EN 319 421 oraz ETSI EN 319 422 - wymagania dla usług znakowania czasem.