Jak trwale usunąć dane?

Trwałe usunięcie danych

Zdarza się, że urządzenia służbowe, ale także prywatne, przechowujące różne dane zmieniają właściciela.

Problematyczną kwestią pozostaje ich zawartość; informacje, które się na nich znajdują w przypadku dostania się w niewłaściwe ręce mogą zostać wykorzystane przeciwko nam oraz naszym organizacjom.

Dane muszą zostać zniszczone tak, aby nigdy więcej ich nie odtworzyć – w tym przypadku naciśnięcie „Usuń” nie wystarczy.

Ryzyko ewentualnego odzyskania i ponownego odtworzenia danych musi znajdować się na zadowalająco niskim poziom.

Kiedy dobrze jest trwale usunąć dane?

1. Ponowne użycie: przez ponowne użycie rozumiemy sytuację, kiedy nasze urządzenie zmienia właściciela, niezależnie czy jest nim właściciel biznesowy zasobu, czy fizyczny właściciel należącego do niego sprzętu. Bywa tak, iż sprzęt znajdujący się w organizacji przechodzi do innego pracownika albo jest po prostu sprzedawany; warto wtedy upewnić się co do całkowitego wyczyszczenia danych, które się na nim znajdowały.
2. Naprawa: oczywistością jest, że urządzenia czasem po prostu się psują i musimy skorzystać z usług serwisu, aby je naprawić. Dobrą praktyką jest oddawanie do naprawy „czystych urządzeń” .
3. Niszczenie i utylizacja: zdarza się, że stare urządzenia musimy po prostu zniszczyć, a następnie zutylizować. Zazwyczaj korzystamy z usług specjalistycznych firm, z którymi podpisujemy umowy powierzenia (o umowach powierzenia piszemy tutaj: https://odo24.pl/blog-post.wzor-umowy-powierzenia-przetwarzania-danych-zgodny-z-rodo) i które wystawiają świadectwo zniszczenia naszych urządzeń. Jeżeli chcemy zwiększyć naszą pewność co do bezpiecznego zniszczenia wszelkich danych, warto je wcześniej nadpisać.

W każdym z powyższych przypadków ewentualne dane znajdujące się na sprzęcie znajdą się w obcym środowisku. Nie jesteśmy w stanie przewidzieć, jakie zamiary ma ich nowy posiadacz. Każda taka sytuacja wiąże się z ryzykiem, iż ktoś będzie próbował nasze dane odzyskać. W przypadku zmaterializowania się ryzyka spotkają nas zagrożenia takie, jak na przykład:

1. brak kontroli nad danymi przechowywanymi na sprzęcie, co w konsekwencji może doprowadzić do utraty kontroli nad innymi naszymi urządzeniami,
2. nasze dane, a w szczególności dane naszych klientów, pracowników czy kontrahentów, które zostałyby odzyskane, zostaną wykorzystane przez naszą konkurencję lub wrogów,
3. przestępcy mogą wykorzystać te dane do różnych oszustw czy nawet kradzieży tożsamości,
4. jeśli na urządzeniu przechowywaliśmy nasze notatki lub dokumenty, mogą zostać one opublikowane, przez co ucierpi nasz portfel, a nawet reputacja.

Oczywiście, powyższa lista nie jest kompletna, a w zależności od zamiarów nowych właścicieli naszych danych i ich zakresu mogą spotkać nas mniej lub bardziej dotkliwe konsekwencje.

Co, jeżeli nie zdążymy?

Zdarzają się niestety sytuacje, kiedy nagle tracimy kontrolę nad urządzeniem; bez wątpienia zdarza się tak, kiedy nasz sprzęt zostanie nam ukradziony albo po prostu go zgubimy. Biorąc pod uwagę bezpieczeństwo danych się tam znajdujących, możemy tylko zapobiegać.

W przypadku urządzeń mobilnych (jak np. tablety, smartfony, a nawet laptopy) warto wprowadzić system do zdalnego zarządzania urządzeniami, pozwalający np. zdalnie usuwać dane z ich pamięci. Niestety, takie systemy potrafią być drogie, jednak każdy sprzęt przechowujący jakiekolwiek dane można zaszyfrować. Zaszyfrowany sprzęt jest chroniony przed praktycznie wszystkimi zagrożeniami, oczywiście oprócz tych najbardziej wyrafinowanych.

Zalecamy uruchomienie szyfrowania na wszystkich nośnikach, które często znajdują się w ruchu, przez co narażone są na kradzież, jak i zagubienie.

Zarządzaj ryzykiem

W celu odpowiedniego zarządzania danymi, przechowywanymi na naszych nośnikach powinniśmy:

1. mieć świadomość ich wartości, w szczególności wartości danych, które znajdą się we władaniu osób mających złe intencje,
2. docenić ważność bezpiecznego niszczenia danych i zaakceptować jego koszt,
3. posiadać odpowiednie procedury sprzedaży albo zniszczenia wykorzystywanych urządzeń,

4. posiadać wszystkie instrukcje i dokumenty od producenta urządzenia, aby wiedzieć, jak w razie potrzeby trwale usunąć dane z pamięci,
5. po wyczyszczeniu pamięci sprawdzić na urządzeniu, czy nie zostały jakieś informacje,
6. w przypadku, kiedy chcąc trwale zniszczyć nośnik pamięci zawierający jakieś dane korzystamy z usług firmy zewnętrznej, wybierać taką, która wystawi nam certyfikat zniszczenia,
7. w przypadku korzystania z usług firmy zewnętrznej, przed powierzeniem jej sprzętu, usunąć wszelkie etykiety i oznaczenia, które mogą świadczyć o właścicielu urządzenia bądź danych, jakie może zawierać.

Gdzie są dane? Monitory i telewizory

Chociaż pamięć wewnętrzna takich urządzeń jest bardzo mała, żeby nie powiedzieć – malutka, i trudno byłoby ją wykorzystać, to jednak w formie ciekawostki warto o niej wspomnieć. Jest to najczęściej minimalna pamięć potrzebna np. do buforowania danych. Można ją łatwo wyczyścić nadpisując ją poprzez wyświetlanie jakichkolwiek danych na kilka minut przed wyłączeniem urządzenia.

Sprzęt biurowy

Warto zauważyć, że niektóre niżej wymienione urządzenia posiadają dyski HDD czy SSD, które będą omawiane w dalszej części artykułu.

Wszystkie inne nośniki danych przed odsprzedaniem czy zniszczeniem prawdopodobnie wystarczy poddać resetowi ustawień fabrycznych opisanych w instrukcji. Są to:

1. laptopy,
2. komputery PC,
3. kamery,
4. drukarki,
5. skanery,
6. kserokopiarki,
7. faksy.

Należy pamiętać, że techniki resetu różnią się w zależności od producentów, dlatego ważne jest posiadanie instrukcji resetu, aby było można go skutecznie przeprowadzić.

Infrastruktura teleinformatyczna

Są to elementy zdecydowanie większe i mniej poręczne niż typowy sprzęt biurowy. Zwykle przechowujemy je specjalnie zabezpieczone w serwerowniach czy data centers. Służą do budowania sieci informatycznych. Są to m.in.:

• serwery,
• routery,
• przełączniki.

Kiedy planujemy dać tym urządzeniom drugie życie musimy zdać sobie sprawę, iż mogą one zawierać różne dane, certyfikaty czy chociażby klucze szyfrowania. Oczywiste jest, że chcąc sprzedać takie urządzenie musimy je wyczyścić, aby uniemożliwić jakiejkolwiek osobie odczyt pozostawionych danych. Zalecamy wykonanie resetu producenta, przy czym jeszcze raz przypominamy, iż wspomniane techniki różnią się w zależności od producenta. Pamiętajmy, że zawsze należy upewnić się co do skuteczności opisywanej funkcji, czy na pewno bezpiecznie wyczyści całą pamięć urządzenia.

W przypadku zdecydowania się na fizyczne zniszczenie takiego sprzętu, weźmy pod uwagę, że często w przypadku masowego niszczenia zachodzi ryzyko zostawienia zbyt dużych powierzchni zawierających dane, z których potencjalnie można odzyskać wiele informacji. Wielkość pojedynczej ścinki określa norma DIN 66399 (poziom co najmniej P-3), która zaleca, aby nośniki danych szczególnie chronionych zostały podzielone na fragmenty o szerokości maksymalnie 6 mm i całkowitej powierzchni nie większej niż 160 mm².

Tanie i małe nośniki

Istnieje wiele małych i tanich nośników pamięci, do których niewątpliwie zaliczają się:

1. płyty CD,
2. płyty DVD,
3. płyty Blu-ray,
4. karty pamięci,
5. karty magnetyczne,
6. dowody tożsamości.

Niektóre z tych nośników często można łatwo przypisać do konkretnej organizacji albo osoby fizycznej, poprzez np. dokument tożsamości. Wiele z nich możemy zniszczyć we własnym zakresie, nie jest to trudne. Często nie potrzebujemy do tego drogich narzędzi, a może się okazać, że wystarczy zwykła niszczarka lub dezintegrator. Jednak nadal pamiętajmy o wymaganiach dotyczących bezpiecznego niszczenia danych, a więc pojedyncze fragmenty zgodnie z normą DIN 66399 (poziom co najmniej P-3) po zniszczeniach nie mogą być szersze niż 6 mm oraz nie większe niż 160 mm².

Dyski twarde HDD

Konstrukcja dysków umożliwia wymontowywanie ich z urządzeń nadrzędnych, czyli np. komputerów. Jest to ważne, ponieważ ze względu na ilość danych, które przetwarzają zawsze należy czyścić je dodatkowo.

Z uwagi na ogrom danych przechowywanych na dyskach, atrakcyjnych dla kogoś chcącego wprowadzić firmę w zakłopotanie, w przypadku zdecydowania się na utylizację nośnika zalecamy jego wcześniejsze rozmagnesowanie, czyli umieszczenie w specjalnym urządzeniu i poddanie go działaniu silnego pola magnetycznego. W przypadku technologii magnetycznych zmniejsza ono możliwość odzyskania danych, kiedy urządzenie znajdzie się w niepowołanych rękach, np. podczas transportu, dlatego zadbajmy, aby serwis zajmujący się niszczeniem nośnika wykonał usługę demagnetyzacji w siedzibie naszej organizacji oraz zadbajmy, aby usługa wykonana była z użyciem jak najwyższego pola magnetycznego (co najmniej 18 000 Gauss).

Alternatywą dla rozmagnesowywania dysku jest jego fizyczne zniszczenie. Po raz kolejny przywołujemy w tym miejscu normę DIN 66399 (poziom co najmniej P-3), nakazującą, aby rozdrobnić dysk na fragmenty o szerokości 6 mm.

Dla chcących całkowicie pozbyć się nośnika wiele specjalistycznych laboratoriów oferuje usługę roztopienia dysku w kwasie. Taka operacja daje możliwość całkowitego fizycznego zniszczenia dysku wraz ze znajdującymi się na nim danymi.

Jednak często chcemy całkowicie usunąć dane z dysku, ale nie chcemy niszczyć samego nośnika; wtedy pomocne okaże się jego nadpisywanie.

W przypadku nadpisywania plików również istnieje wiele standardów, jak np.;

• metoda Gutmann 35 – jest to stara metoda z lat 90., wymagająca 35-krotnego nadpisywania dysku; tak duża liczba wynika z ówczesnego systemu zapisu danych, obecnie nie ma potrzeby, aby nadpisywać dyski aż 35 razy;
• HMG IS5 – metoda nakazująca nadpisywać dane trzykrotnie, za pierwszym razem wartością „0”, za drugim razem wartością „1”, a za trzecim losowymi wartościami;
• DoD 5220.22-M – są to metody standardowe dla Departamentu Obrony Stanów Zjednoczonych, mają one dwie wersje, nakazujące nadpisywać pliki 3-, albo 7-krotnie;
• NIST 800-88 – wytyczne stwierdzające, iż nawet jednokrotne nadpisanie znacząco utrudnia odzyskanie plików nawet w warunkach laboratoryjnych.

Na rynku istnieje wiele programów oferujących kasowanie, a następnie kilkukrotne nadpisywanie pamięci dysku. Wśród popularnego oprogramowania można wyróżnić np. Eraser czy Darik’s Boot and Nuke, oba wspomniane programy oferują możliwość wykorzystania metody DoD 5220.22-M (8-306. /E)3 jak i Gutmanna.

Dyski SSD oraz dyski hybrydowe HDD+SSD

Dyski SSD stosunkowo trudniej jest nadpisać niż dyski HDD. Niewielka część danych może zostać zapisana w obszarach serwisowych dysku. Dobrze jest korzystać z niskopoziomowych metod nadpisywania, jak np. funkcjonalność Secure Erase wbudowana w firmware – w tym przypadku nadpisywanie odbywać się będzie na poziomie sprzętowym, ponieważ zmiany wprowadza oprogramowanie dysku, a nie aplikacja.

Każdy producent pamięci SSD buduje ją w inny sposób, dlatego też ciężko znaleźć uniwersalną metodę zniszczenia danych znajdujących się na dysku. W przypadkach, kiedy producent nie dostarcza narzędzia do usuwania danych, trudno jest z pewnością orzec o całkowitym wyczyszczeniu dysku.

W przypadku dysków HDD jak i SSD dobrą i niezwykle ważną praktyką jest zweryfikowanie procesu nadpisywania danych.

Kiedy niszczyć nośniki, a kiedy możemy użyć ich ponownie?Rozważając, kiedy powinniśmy zniszczyć nośniki, a kiedy możemy je nadpisać i przeznaczyć do ponownego użytku, musimy zastanowić się nad potencjalnymi skutkami, gdyby informacje dostały się do nieupoważnionych osób. W celu lepszego zrozumienia warto posłużyć się skalą potencjalnych skutków zaproponowanych w wytycznych amerykańskich FIPS 199. Wyróżniają one trzystopniowy poziom skutków dla poufności, integralności oraz dostępności danych:

• poziom niski – utrata poufności, integralności oraz dostępności będzie miała niski wpływ na procesy, zasoby oraz osoby (niewielki wpływ na ciągłość działalność organizacji, niewielkie straty finansowe, niewielkie straty dla osób fizycznych);
• poziom średni – utrata poufności, integralności oraz dostępności będzie miała poważny wpływ na procesy, zasoby oraz osoby (duży wpływ na ciągłość działania organizacji, duże straty finansowe, poważne straty dla osób fizycznych, jednak nie zagrażające zdrowiu ani życiu);
• poziom wysoki – utrata poufności, integralności oraz dostępności będzie miała bardzo poważny, a wręcz katastrofalny wpływ na procesy, zasoby oraz osoby (poważny wpływ na ciągłość działania organizacji, a nawet utrata zdolności do działania, poważne szkody majątkowe, szkody dla osób zagrażające ich zdrowiu i życiu).

Musimy także wziąć pod uwagę czas i koszt potencjalnego usuwania danych, dlatego w przypadku nośników, które zawierają dane o wysokiej wartości dla organizacji i mają być wycofane z użycia służbowego, zalecamy ich zniszczenie.

W przypadku nośników zawierających informację o średnim poziomie, które nie są przeznaczone do ponownego użycia i będą wycofane z użytkowania służbowego, również zalecamy zniszczenie. Kiedy zdecydujemy się na ich ponowne użycie, np. poprzez sprzedaż, zalecamy używanie metod gwarantujących trwałe usunięcie danych, a następnie późniejszą weryfikację procesu.

Zalecamy przeprowadzenie procesu trwałego czyszczenia danych w przypadku każdego nośnika służbowego, zawierającego najniższą wartość informacji, który opuszcza organizację.