Kasować czy niszczyć? – oto jest pytanie!
Bezpieczne usunięcie danych z nośników nie jest, wbrew pozorom, prostym zagadnieniem; wiele różnorakich czynników może wpłynąć na ostateczną decyzję co zrobić z nośnikiem zawierającym wrażliwe dane.
W tym artykule nie tylko omówimy różne metody bezpiecznego usuwania danych z nośników, ale również pewne, koncepty z dziedziny ochrony informacji.
Usuwanie danych powinno być traktowane jako jeden z elementów kompleksowej polityki bezpieczeństwa informacji, która powinna być wdrożona i przestrzegana w ramach całej organizacji.
Bezpieczeństwo danych stało się priorytetem dla wielu firm i instytucji, zwłaszcza w erze cyfrowej, gdzie informacje są kluczowymi aktywami. W kontekście usuwania danych, często dyskutowane są dwie główne metody: kasowanie danych oraz fizyczne niszczenie dysków. Jednakże, jak pokazuje analiza, oba te sposoby mają swoje wady i zalety.
Dane ważne i mniej ważne…
Zacznijmy od rozgraniczenia informacji na kilka grup, jako metryki używając potencjalne konsekwencje, jakie mogą wynikać z nieuprawnionego dostępu do nich. W wielkim skrócie można je podzielić na:
– krytyczne (ich ujawnienie spowoduje duże szkody dla firmy lub organizacji, które są trudne do oszacowania),
– istotne (ich ujawnienie naruszy prywatność osób, jednak szkody dla firmy lub organizacji będą niewielkie),
– nieistotne (dane, które mogą zostać ujawnione, lub nawet wcześniej zostały opublikowane i nie stanowią tajemnicy przedsiębiorstwa).
Z punktu widzenia usuwania wrażliwych danych problem pojawia się dopiero w chwili wycofania danego urządzenia z eksploatacji i przekazania nad nim kontroli innym osobom.
Już na tym etapie warto zadbać o odpowiednie procedury i fizyczne zabezpieczenia oraz jasne zdefiniowanie osób odpowiedzialnych za bezpieczeństwo urządzeń zawierających istotne lub krytyczne informacje.
Składowanie wycofanego z eksploatacji sprzętu
Według badań przeprowadzonych przez Blancco, w wielu organizacjach wycofany z eksploatacji sprzęt nadal zawiera istotne lub krytyczne informacje a ich usuwanie nie jest integralną czynnością związaną z wycofaniem sprzętu. Sprzęt taki często składowany jest w pomieszczeniach, do których dostęp ma wiele osób, które często są nieświadome ryzyka i konsekwencji, które mogą wyniknąć z nieuprawnionego dostępu do tych informacji. Często zdarza się, że urządzenia składowane są przez wiele miesięcy bez zabezpieczeń stosownych do ważności zapisanych na nośnikach informacji. Urządzenia te nierzadko pełnią funkcję „dawców” elementów dla napraw bieżących innych urządzeń a procedury nie zapewniają należytej ochrony nośników danych.
Inną, często stosowaną procedurą jest demontaż dysków w chwili wycofania urządzenia z eksploatacji i przechowywanie nośników w bezpiecznym miejscu. Zmniejszamy w ten sposób ryzyko nieuprawnionego dostępu do danych, ale nadal problem zapisanych danych, które podlegają ochronie, pozostaje nierozwiązany – coś w końcu trzeba z tymi dyskami zrobić.
W zależności od rodzaju nośnika możemy:
– przeprowadzić proces demagnetyzacji,
– fizycznie zniszczyć nośnik,
– w bezpieczny sposób usunąć dane z nośnika.
Rozmagnesowanie dysków HDD…
… działa poprawnie tylko w przypadku nośników korzystających z magnetycznego zapisu informacji. Innymi słowy usuniemy w ten sposób dane wyłącznie z dysków HDD i dyskietek. W przypadku dysków hybrydowych (SSHD) oraz wszystkich nośników półprzewodnikowych (dyski SSD, pendrive, karty pamięci) jest to metoda całkowicie nieskuteczna.
Warto pamiętać, że po wykonaniu procesu demagnetyzacji dysk nie może być ponownie użytkowany, gdyż zniszczeniu ulegają również znaczniki sektorów, co uniemożliwia pozycjonowanie głowic i zapis lub odczyt informacji. W procesie demagnetyzacji powstają zatem odpady, które należy utylizować, zgodnie z obowiązującymi przepisami.
Niszczarki dysków – złudne poczucie bezpieczeństwa
Wydawałoby się, że jest to wymarzone narzędzie: kupujemy profesjonalną, drogą maszynę i załatwiamy problem dysków z ważnymi danymi w ciągu kilku sekund – nic bardziej mylnego!
Maszyny fizycznie niszczące nośniki dzielą się na klasy, ze względu na bezpieczeństwo od H3 (gdzie nośnik jest tylko zdeformowany) poprzez H4, H5 (ze ścinkami odpowiednio 2000 mm² i 320 mm²) do H7 (ścinki poniżej 2mm²). O ile w przypadku dysków HDD pocięcie lub połamanie talerzy praktycznie zniechęci potencjalnych amatorów dostępu do cudzych danych, to w przypadku dysków hybrydowych (SSHD) oraz wszystkich nośników półprzewodnikowych (dyski SSD, pendrive, karty pamięci) dostęp do danych może okazać się stosunkowo łatwy, gdyż istnieje duża szansa, że moduły pamięci pozostały nieuszkodzone.
Zalecenia Narodowej Agencji Bezpieczeństwa Stanów Zjednoczonych sugerują, aby rozmiar rozdrobnionych części wynosił 2 mm lub mniej, aby skutecznie usunąć dane. Większość standardowych niszczarek przemysłowych produkuje jednak znacznie większe fragmenty, pozostawiając za sobą informacje.
W procesie niszczenia nośników powstają niebezpieczne odpady, które musza być w odpowiedni sposób utylizowane. Recykling takich odpadów jest dużo trudniejszy niż w przypadku demontażu nośnika i selekcji materiałów po jego wykonaniu.
Certyfikowane usuwanie danych – tak jak się dane pojawiły, tak je usuwamy
Programowe usuwanie danych polega na wielokrotnym zapisie różnych informacji w tych samych blokach pamięci w celu uniemożliwienia odzyskania pierwotnej zawartości.
Działamy podobnie jak użytkownik, który zapisał dane na dysku, jednak usuwając dane nie posługujemy się już strukturą plików i dostępem na poziomie systemu operacyjnego. Bloki danych zapisujemy bezpośrednio do określonych sektorów i obszarów dysków, omijając ograniczenia systemu operacyjnego. Pozwala nam to na dostęp do całej przestrzeni adresowej i na usunięcie wszystkich informacji z danego nośnika. Kilkukrotne nadpisywanie różnymi danymi wszystkich sektorów w przypadku dysków HDD ma na celu wyeliminowanie możliwości częściowego odzyskania danych bazującego na tolerancji pozycjonowania głowic – dysk HDD to komponent zawierający mechanizmy, które posiadają pewne tolerancje i „luzy”, co powoduje, że dane za każdym razem mogą być zapisane na nieco przesuniętej ścieżce. Dokonując wielokrotnego zapisu praktycznie niwelujemy to zjawisko i uniemożliwiamy odczyt pierwotnej zawartości. Ważne jest również korzystanie z odpowiednich wzorców zapisu, zgodnych z obecnie obowiązującymi standardami.
Dyski SSD są pod tym względem dużo łatwiejsze w obsłudze, gdyż nie posiadają elementów mechanicznych i zjawisko luzów nie występuje. Ponadto w jednej komórce pamięci zapisywanych jest od 2 do 4 bitów informacji, więc już nawet jednokrotny zapis innej informacji praktycznie uniemożliwia odzyskanie pierwotnej zawartości. Algorytmy wykonujące więcej niż 3 kompletne zapisy są rzadko używane, gdyż nie zapewniają żadnych dodatkowych korzyści z ich stosowania.
Jest jednak jeszcze coś…
Dyski twarde, zarówno magnetyczne jak i półprzewodnikowe posiadają tzw. obszary rezerwowe. W trakcie eksploatacji może się okazać, że dany sektor dysku, z różnych przyczyn, uległ uszkodzeniu i konieczne jest jego „wyłączenie” z dalszej eksploatacji. Sektor ten zostaje zastąpiony jednym z dostępnych sektorów obszaru rezerwowego, dysk może pracować dalej a użytkownik takiej zmiany nawet nie zauważy. W przypadku wykorzystania większości lub całości obszaru rezerwowego nośnik nie nadaje się już do dalszej eksploatacji, o czym użytkownik najczęściej jest informowany za pomocą mechanizmu SMART.
Pytanie jednak co z danymi znajdującymi się w sektorach przemapowanych? Otóż dane nadal tam pozostają, jednak z poziomu systemu operacyjnego nie ma do nich dostępu.
Wykorzystanie certyfikowanego oprogramowania do usuwania danych umożliwia również nadpisanie zawartości niedostępnych sektorów usuwając z nich fragmenty chronionych danych. Dostęp do tych obszarów dysku odbywa się poprzez wewnętrzne funkcje kontrolera dysku i jest to bardzo złożony proces, który jest dostępny w niewielu rozwiązaniach, m.in. Blancco.
Weryfikuj – nie wierz na słowo!
Jaką mamy gwarancję, że w przypadku rozmagnesowania pole magnetyczne przemagnesowało wszystkie talerze dysku? Albo czy mamy pewność, że układy pamięci nie przetrwały w całości procesu fizycznego zniszczenia? Odpowiedź na tak postawione pytania opierać się będzie jedynie na zapewnieniach producenta, certyfikatach danych urządzeń, jednak ich weryfikacja dla konkretnego nośnika nie będzie możliwa.
Jedynie w przypadku certyfikowanego usuwania danych mamy możliwość przeprowadzenia weryfikacji, która nota bene jest częścią całego procesu.
W praktyce wygląda to w ten sposób:
– zapisujemy blok informacji na nośniku,
– odczytujemy ten sam blok z nośnika i sprawdzamy czy jest to dokładnie to, co wcześniej zapisaliśmy,
– jeśli zapis był skuteczny (odczytany blok zawierał te same informacje), wówczas kontynuujemy zapis dla następnego bloku aż do ostatniego bloku danych nośnika,
– w zależności od algorytmu proces stosujemy kilkukrotnie dla całego nośnika wykorzystując różne bloki informacji, odpowiednio przygotowane, np. same „zera”, same „jedynki”, dane losowe itd.
Wielokrotne nadpisanie poprzednich informacji uniemożliwia odzyskanie poprzednich danych.
Jaką metodę wybrać?
Odpowiedź na to pytanie, nie jest, wbrew pozorom skomplikowana i może ograniczyć się do poniższego algorytmu:
– jeśli mamy uszkodzony nośnik, który zawierać może wrażliwe dane wówczas należy go zniszczyć fizycznie przy pomocy maszyny min. klasy H5 (dla dysków HDD) albo H7 (dla dysków SSHD i pozostałych nośników półprzewodnikowych),
– jeśli nośnik jest sprawny i zawiera wrażliwe dane wówczas usuwamy dane przy pomocy certyfikowanego oprogramowania zgodnie z procedurami dostosowanymi do stopnia ochrony danej grupy informacji. Po zakończeniu procesu nośnik możemy ponownie wykorzystać, odsprzedać go lub podarować jednej z fundacji lub organizacji wspierających najuboższych.
I jeszcze słów kilka o bezpieczeństwie…
Pamiętajmy, że cały proces, począwszy od wycofania urządzenia aż do usunięcia danych powinien być ściśle zdefiniowany i monitorowany. Eliminacja dostępu osób niepowołanych, wykorzystanie certyfikowanych rozwiązań, bezpieczny transport urządzeń w przypadku korzystania z usług firm zewnętrznych to niezbędne minimum mające na celu ochronę danych przed nieuprawnionym dostępem.
Nie wyrzucaj, wykorzystaj!
Trudno inaczej niż marnotrawstwem nazwać niszczenie sprawnego, często wysokiej jakości sprzętu tylko z tego powodu, że zawiera informacje, które nie powinny być ujawnione. Dostępne obecnie metody programowego usuwania danych dają pełną gwarancję bezpieczeństwa oraz trwałego usunięcia danych, w przeciwieństwie do niszczarek, przez które część elementów zawierających dane może przejść nieuszkodzona. Nawet jeśli dany nośnik nie ma już większej wartości rynkowej nie powinniśmy zamieniać go w śrut, utrudniając proces recyklingu jego elementów. Odpowiedzialne wykorzystanie nieodnawialnych zasobów naturalnych powinno być brane pod uwagę w przypadku podejmowania decyzji dotyczących usuwania danych lub niszczenia nośników.