Zadaj pytanie

Co to jest Security Orchestration, Automation and Response (SOAR)?

Spis treści

Security Orchestration, Automation and Response (SOAR) - definicja

Security Orchestration, Automation and Response, w skrócie SOAR, to klasa rozwiązań bezpieczeństwa służących do koordynacji działań operacyjnych, automatyzacji powtarzalnych zadań oraz standaryzacji reakcji na incydenty. Pojęcie zostało ugruntowane przez Gartner w 2017 r. jako połączenie trzech obszarów: orkiestracji, automatyzacji i zarządzania reakcją na incydenty. W praktyce SOAR integruje wiele systemów, wykonuje zdefiniowane procedury oraz dokumentuje przebieg obsługi zdarzeń bezpieczeństwa.

W kontekście anonimizacji zdjęć i nagrań wideo SOAR nie jest silnikiem detekcji twarzy ani tablic rejestracyjnych. Nie zastępuje modelu AI, który wykrywa obiekty na obrazie. Jego rola polega na tym, aby uruchomić właściwy proces po wystąpieniu określonego zdarzenia, na przykład po wpłynięciu materiału wideo do analizy, po wykryciu naruszenia polityki prywatności albo po zgłoszeniu żądania zabezpieczenia materiału dowodowego. SOAR może więc spinać procesy wokół anonimizacji, ale sama anonimizacja wymaga odrębnych komponentów analizy obrazu, zwykle opartych na deep learning.

Dla Inspektora Ochrony Danych istotne jest rozróżnienie: SOAR zarządza przepływem działań i kontrolą procesu, natomiast wykrywanie twarzy i tablic rejestracyjnych realizują modele komputerowego widzenia. W systemach takich jak Gallio PRO automatyczne zamazywanie dotyczy twarzy i tablic rejestracyjnych, a nie logotypów, tatuaży, tabliczek z imionami, dokumentów czy obrazów na monitorach. Te elementy mogą wymagać edycji manualnej w osobnym kroku procesu.

Rola SOAR w anonimizacji zdjęć i nagrań wideo

W środowiskach, w których przetwarza się dużą liczbę materiałów, największym problemem nie jest wyłącznie wykrycie obiektów na obrazie. Równie ważne są powtarzalność, audytowalność i kontrola kolejnych kroków. Tu właśnie pojawia się SOAR.

W obszarze ochrony prywatności SOAR może koordynować cały łańcuch czynności od przyjęcia pliku po jego bezpieczne wydanie. System tego typu zwykle realizuje następujące funkcje:

  • odbiór zdarzenia - na przykład przesłania zdjęć lub nagrania do repozytorium,
  • klasyfikację sprawy - określenie, czy materiał wymaga anonimizacji przed dalszym użyciem,
  • uruchomienie odpowiedniego workflow - automatyczne skierowanie plików do analizy,
  • weryfikację wyników - przekazanie materiału do kontroli operatora, jeżeli próg pewności modelu jest zbyt niski,
  • rejestrowanie kroków procesu - bez zapisywania zbędnych danych osobowych,
  • eskalację - gdy materiał zawiera wysokie ryzyko naruszenia prywatności,
  • zamknięcie sprawy - wraz z potwierdzeniem wykonania anonimizacji.

W tym modelu SOAR nie "rozumie" twarzy ani tablic rejestracyjnych na poziomie pikseli. Uruchamia natomiast narzędzia, które takie wykrywanie wykonują. To ważne z perspektywy zgodności z RODO, ponieważ pozwala odseparować warstwę decyzyjną, warstwę przetwarzania obrazu i warstwę audytu.

Technologie powiązane z SOAR i anonimizacją wideo

Skuteczny proces anonimizacji materiałów wizualnych wymaga połączenia kilku klas technologii. SOAR jest tylko jedną z nich, a jego wartość rośnie dopiero po integracji z systemami analitycznymi i repozytoriami danych.

Najczęściej spotykana architektura obejmuje poniższe komponenty:

  • SIEM - źródło alertów i korelacji zdarzeń bezpieczeństwa,
  • system zarządzania incydentami - do przypisywania spraw i dokumentowania działań,
  • moduł CV/AI - detekcja twarzy i tablic rejestracyjnych na obrazach i wideo,
  • repozytorium plików - kontrolowany magazyn materiałów źródłowych i wynikowych,
  • mechanizmy kontroli dostępu - zgodne z zasadą najmniejszych uprawnień,
  • narzędzia DLP lub klasyfikacji danych - do wykrywania ryzyk naruszenia polityk,
  • edytor manualny - do ręcznego zamazania elementów, których model nie wykrywa automatycznie.

W warstwie AI stosuje się zwykle sieci konwolucyjne oraz nowsze architektury detekcyjne. To deep learning jest potrzebny do zbudowania modelu zdolnego do wykrywania twarzy i tablic rejestracyjnych, a następnie do przekazania współrzędnych obiektów do modułu zamazywania. SOAR nie zastępuje tego etapu. Może jednak decydować, jaki model uruchomić, jaki próg pewności zastosować i kiedy skierować wynik do walidacji człowieka.

Kluczowe parametry i metryki SOAR w procesach anonimizacji

Ocena przydatności SOAR wymaga mierzenia zarówno parametrów operacyjnych, jak i jakościowych. Same deklaracje producenta nie wystarczają. W środowisku ochrony danych trzeba wykazać, że proces jest kontrolowany, powtarzalny i możliwy do audytu.

Parametr

Znaczenie

Przykład zastosowania

 

MTTD

Mean Time To Detect - średni czas od zdarzenia do wykrycia

Czas od wpłynięcia pliku do uruchomienia workflow anonimizacji

MTTR

Mean Time To Respond/Remediate - średni czas reakcji lub usunięcia skutków

Czas do przygotowania wersji z zamazanymi twarzami i tablicami

Latency workflow

Opóźnienie wykonania procesu

Istotne przy dużych kolejkach plików, choć nie zawsze mówimy tu o przetwarzaniu w czasie rzeczywistym

Recall detekcji

Odsetek poprawnie wykrytych obiektów spośród wszystkich rzeczywistych

Kluczowy dla twarzy i tablic, bo pominięcia zwiększają ryzyko naruszenia

Precision detekcji

Odsetek trafnych detekcji spośród wszystkich wskazań modelu

Niski precision zwiększa liczbę błędnych zamazań i obciąża kontrolę manualną

Audit trail completeness

Kompletność ścieżki audytowej

Potwierdzenie, kto uruchomił proces, kto zatwierdził wynik i kiedy

W ocenie jakości detekcji stosuje się standardowe miary uczenia maszynowego. Dla przejrzystości można je zapisać następująco:

Precision = TP / (TP + FP)

Recall = TP / (TP + FN)

Gdzie TP oznacza poprawne wykrycia, FP - błędne wskazania, a FN - obiekty pominięte. Przy anonimizacji zdjęć i wideo wysoki recall jest zwykle ważniejszy niż maksymalizacja precision, bo niewykryta twarz lub tablica może prowadzić do ujawnienia danych osobowych.

Praktyczny przebieg procesu z użyciem SOAR

Najbardziej użyteczne jest pokazanie SOAR jako warstwy sterującej procesem. W organizacji przetwarzającej materiały wizualne workflow może wyglądać następująco.

  1. System odbiera zgłoszenie lub plik z nagraniem.
  2. SOAR sprawdza typ sprawy, źródło materiału i politykę przetwarzania.
  3. Plik trafia do narzędzia anonimizacji obrazów i wideo.
  4. Moduł AI wykrywa twarze oraz tablice rejestracyjne i przygotowuje efekt zamazania.
  5. Jeżeli pewność detekcji spada poniżej zadanego progu, SOAR kieruje materiał do kontroli operatora.
  6. Operator może ręcznie zamazać elementy niewspierane automatycznie przez model.
  7. SOAR zapisuje wynik sprawy, status, czas obsługi i identyfikator operatora.
  8. Materiał wynikowy trafia do uprawnionego odbiorcy lub do archiwum zgodnego z polityką retencji.

Taki model jest zgodny z praktyką privacy by design z art. 25 RODO, ponieważ może minimalizować liczbę ręcznych interwencji, ograniczać niepotrzebny dostęp do materiału źródłowego i pozwalać wykazać, że proces został wykonany według ustalonej procedury.

Wyzwania i ograniczenia SOAR w ochronie prywatności

SOAR poprawia organizację pracy, ale nie rozwiązuje wszystkich problemów związanych z anonimizacją. W praktyce występują ograniczenia techniczne i prawne, które trzeba uwzględnić już na etapie projektowania procesu.

Najważniejsze z nich to:

  • zależność od jakości integracji - błędna integracja z repozytorium lub silnikiem AI może zatrzymać cały proces,
  • jakość modelu detekcyjnego - SOAR nie skoryguje słabego modelu wykrywania twarzy lub tablic,
  • ryzyko nadmiernego logowania - ścieżka audytowa nie powinna sama generować nowych danych osobowych,
  • konieczność walidacji manualnej - szczególnie przy materiałach trudnych, nocnych, rozmytych lub częściowo zasłoniętych,
  • rozbieżności interpretacyjne dotyczące tablic rejestracyjnych - w Polsce ocena, czy i kiedy stanowią dane osobowe, zależy od kontekstu i nie jest całkowicie jednolita w praktyce stosowania prawa.

Właśnie dlatego SOAR należy traktować jako mechanizm kontroli procesu, a nie jako gwarancję pełnej skuteczności anonimizacji. W środowiskach zgodności kluczowe jest połączenie automatyzacji, nadzoru człowieka i dobrze zdefiniowanych polityk.

Odniesienia normatywne i źródła

Definicję i praktykę stosowania SOAR należy osadzać w źródłach technicznych oraz regulacyjnych. W obszarze ochrony danych osobowych przy przetwarzaniu obrazów i nagrań najistotniejsze są zarówno dokumenty dotyczące reagowania na incydenty, jak i akty prawne regulujące legalność dalszego użycia materiałów.

  • Gartner, definicja rynku SOAR - 2017, dokumenty analityczne wprowadzające termin Security Orchestration, Automation and Response.
  • NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide, 2012 - odniesienie dla procesów reagowania na incydenty.
  • NIST SP 800-92, Guide to Computer Security Log Management, 2006 - zasady logowania i ograniczania ryzyk związanych z logami.
  • Rozporządzenie (UE) 2016/679, RODO - w szczególności art. 5, art. 25 i art. 32.
  • ENISA, materiały i wytyczne dotyczące automatyzacji bezpieczeństwa, SOC i reagowania na incydenty - dokumenty sektorowe przydatne przy projektowaniu playbooków.
  • Wytyczne EROD i stanowiska organów nadzorczych dotyczące danych osobowych w materiałach wizualnych, w tym wizerunku i tablic rejestracyjnych.

Warto zaznaczyć, że SOAR nie jest standardem formalnym w rozumieniu normy ISO z własnym numerem specyfikacji. Jest to termin rynkowy i architektoniczny, który opisuje funkcję systemu. Dlatego jego ocenę należy opierać na mierzalnych parametrach procesu oraz na zgodności z obowiązującymi wymaganiami prawnymi i bezpieczeństwa.

Zobacz także

Powrót do słownika