Előző cikkünkben körbejártuk, milyen veszélyesek lehetnek a GDPR szempontjából az elfekvőben levő, de még mindig tárolt, személyes információkat hordozó fagyott/sötét adatok. A jelenség ismerete már fél siker az új európai regulációnak való maradéktalan megfelelőség felé, de a feladat itt nem ért véget: valahogy meg is kell találni az "elbújt" adatokat.
Ebben nyújtanak segítséget az angol terminológiában forensic data analytics (FDA) néven ismert adatelemzés eszközei.
Felfoghatatlan tempóban nő az információ mennyisége
Ahhoz, hogy lássuk, mekkora jelentősége van a fagyott/sötét adatoknak, érdemes felidézni az IDC előrejelzését: 2025-re a globálisan előállított adatmennyiség 163 zettabyte-ra fog rúgni. Ha pedig ez még mindig felfoghatatlan lenne (és nyilvánvaló az), itt egy másik módszer, hogy képet alkothassunk. Vegyük az összes könyvet, ami valaha is készült az emberiség történelme során (ez nagyjából 130 millió különböző címet jelent); az ennek megfelelő információmennyiség napjainkban közel ezer másodpercenként (!) áll elő.
Egy szervezet nyilvánvalóan csak a fenti számok nagyon apró töredékéért felel, de a trend kicsiben igaz. Ennek kezelése pedig egyre nagyobb kihívást jelent – különösen igaz ez a megállapítás a GDPR pár héttel korábban történő életbe lépését követően.
A feladat tehát adott: megoldást kell találni a tű és a szénakazal problémájára. És itt lép be a képbe az FDA: a nyomozás fő szereplőjévé azok az analitikai eszközök válnak, melyek természetüknél fogva alkalmasak bármilyen adathalmaz felderítésére és elemzésére. Strukturált vagy strukturálatlan adat – az FDA megoldások számára egyik fajta információhalmaz sem jelent áthághatatlan akadályt. Használatukkal a vállalatok beazonosíthatják az adatokban rejlő mintázatokat, vagy különböző forrásokból származó információkból vonhatnak le korábban fel nem ismert következtetéseket.
A fejlett FDA technológiák még azt is lehetővé teszik, hogy az adott szervezet a teljes adatkészletét átvizsgálja, és nem kell csupán a mintavételezések során szerzett információkra támaszkodni (utóbbi módszer nem is ad átfogó képet a teljes adatkészletről). Például, ha egy vállalatnál belső szabotázsra gyanakodnak, például hogy valaki titokban megpróbál adatokat megváltoztatni, ellopni, akkor az FDA eszközökkel felderíthető ez a tevékenység (ebben a kiragadott esetben a hálózati hozzáférést tartalmazó naplóállományok átvizsgálásával). A mintaelemzés felderítheti azokat a gyanús mintákat, amik alapján bemérhető, hogy ki és mikor végzett bármilyen jellegű olyan tevékenységet, ami a vállalati szabályzatba ütközik.
Hogyan segítheti az FDA a GDPR-t?
Mivel a GDPR elsődlegesen a személyes adatok védelmével kapcsolatos feladatokat jelent a szervezeteknek, azok adatkezelési kihívást jelentenek. Az FDA pedig alapvetően egy adatkezelő eszköz, pontosabban azok összessége. Abban segít, hogy az információt kezelő szervezet felmérhesse, hol vannak a személyes adatok, kinek van hozzáférése, hogyan védett, és miként kerül felhasználásra. Az információ származásának nyomon követése, az archívumok tárolásának ideje, a felhasználás formája és a törlés mikéntje – ezek azok a kulcsfontosságú területek, amiknek GDPR szempontjából sikeres kezelésében az FDA hatékony eszközkészletet kínál az érintetteknek.
Mindez azonban nem érhetné el azt a hatékonyságot, amire ma a technika képes, ha nem alkalmaznának mesterséges intelligenciát. Jó példa erre az elsősorban SAP és Oracle környezetek megfigyelésére létrehozott SAS Continuous Auditing & Monitoring Platformja, amely mesterséges intelligenciára és gépi tanulásra alapulóan vizsgálja a vállalati környezetet, és kutat anomáliák után.
Tavaly két olyan vizsgálat is lezajlott – a dél-afrikai Eskom energetikai közműszolgáltatónál és a Saudi Aramcónál –, amelyeknél a beszállítói számlákat kifizetése előtt akarták felderíteni a potenciális csalásokat, a felesleges és a vállalati vagyonnal visszaélő beszerzési tranzakciókat. A két vállalatnál felállítottak egy folyamatosan működő ellenőrzőrendszert is felállítottak, mely azonnal jelzett, ha szabálytalanságot érzékelt az SAP adatokban. Mindehhez kialakítottak egy esetkezelő rendszert és vezetői dashboardokat is.
Egy ilyen rendszer számos gyanús adatra mutat rá, de nem mindegyik jelent visszaélést is. Az információk alapján azonban lefolytathatók a már célzott vizsgálatok.
Felfutó ágban
Az Ernst & Young egy felmérése azt mutatja, hogy a vállalatok 42 százaléka szerint az adatvédelmi és magánszférát szabályozó jogi rendelkezések jelentős hatást gyakorolnak az FDA módszerek alkalmazásának ütemére. A megkérdezettek 52 százalékánál jelenleg is aktívan folyik az adatelemző eszközök kiértékelése, hogy meghatározhassák, mely megoldások segíthetik őket a legjobban a GDPR-megfelelőség elérése érdekében.
Jelentős részben egyébként az idei európai uniós szabályozási környezet változásának köszönhető, hogy az FDA-piacon tapasztalt trend megfordult. Míg korábban csökkenőben volt a területre fordított befektetések volumene, az EY felmérése rámutatott, hogy tavaly 51 százalékkal nőtt a költések összege a 2016-os adatokhoz képest.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak