To nie jest artykuł o tym, czym są boty. To jest artykuł o tym, skąd wiesz, że dane już wyciekły.
W praktyce wyciek danych osobowych bardzo rzadko wygląda jak atak. Nie ma alarmu. System działa normalnie. Klienci nadal się logują.
Dane są pobierane „legalnie”: przez API, przez konto użytkownika, przez integrację, przez wewnętrzny dostęp. Najgroźniejsze wycieki są niewidoczne.
Administrator dowiaduje się o nich dopiero wtedy, gdy:
- 📧 klienci zgłaszają spam na adresy, które podali tylko w Twoim systemie
- 🌐 dane pojawiają się w internecie lub dark webie
- 🧠 konkurencja zna informacje, których nie powinna znać
Problem? Wtedy często okazuje się, że 72 godziny na zgłoszenie do UODO już minęły, tylko nikt nie wiedział, kiedy naruszenie się zaczęło.
Podejrzenie, naruszenie, potwierdzony wyciek – to nie to samo
W kontekście RODO kluczowe jest rozróżnienie trzech stanów:
- 🔍 Podejrzenie – coś wygląda nienormalnie (np. skok ruchu, dziwne logi)
- ⚠️ Naruszenie – doszło do nieuprawnionego dostępu do danych
- 🚨 Potwierdzony wyciek – masz dowód, że dane opuściły system
RODO wymaga zgłoszenia wtedy, gdy administrator dowiedział się lub powinien się dowiedzieć o naruszeniu. Dlatego tak ważne są mechanizmy wykrywania.
Pierwszy sygnał: anomalie w dostępie do danych
Anomalia (ang. anomaly) to zachowanie odbiegające od normalnego wzorca. W praktyce są to sytuacje, które „technicznie działają”, ale logicznie nie mają sensu.
- 📊 tysiące rekordów pobranych w minutę
- 🕒 dostęp do danych o 2–4 w nocy
- 🔁 pobieranie danych sekwencyjnie: ID 1,2,3,4…
Przykład prostej logiki wykrywania anomalii:
if (recordsAccessed > 1000 && timeWindow < 60000) {
raiseAlert('POTENTIAL_DATA_EXFILTRATION');
}
To jeszcze nie dowód wycieku, ale wyraźny sygnał: „sprawdź, co się dzieje”.
Honeypoty – kiedy masz twardy dowód
Honeypot to fałszywy rekord danych (np. użytkownik, email), który nie powinien nigdy zostać użyty.
Jeśli ktoś go pobierze lub wykorzysta, masz potwierdzony wyciek danych. Tu nie ma interpretacji.
if (honeypotRecordAccessed) {
triggerIncidentResponse();
}
Canary tokens – wyciek wykryty poza systemem
Canary token (ang. „kanarek”) to specjalny link lub znacznik, który istnieje tylko w Twojej bazie danych.
Jeśli ktoś go otworzy w internecie, oznacza to, że dane opuściły Twój system.
if (canaryTokenTriggered) {
breachConfirmed = true;
}
Od kiedy liczy się 72 godziny?
72-godzinny termin zgłoszenia do UODO nie liczy się od momentu ataku, tylko od chwili, gdy administrator:
- ✔ dowiedział się o naruszeniu
- ✔ lub powinien się dowiedzieć, mając odpowiednie narzędzia
Brak monitoringu, alertów i mechanizmów wykrywania nie jest usprawiedliwieniem.
⚠️ Nie wiesz, czy to już naruszenie?
Jeśli widzisz nietypowe sygnały, ale nie masz pewności, czy doszło do naruszenia danych osobowych, możesz bezpłatnie opisać swój przypadek.
Otrzymasz ocenę sytuacji i rekomendacje, co zrobić dalej z perspektywy technicznej i RODO.
Sprawdź swój przypadek za darmoJeśli nie masz sposobu, żeby wykryć wyciek, musisz założyć, że może on już trwać. Monitoring i dowody to dziś fundament zgodności z RODO.
