Biznes

Jak bezpiecznie wycofać sprzęt IT z użycia i nie narazić firmy na wyciek?

Każdego roku w firmach wycofywane są tysiące komputerów, laptopów, serwerów i dysków. Większość z nich trafia do odsprzedaży, oddania lub utylizacji bez żadnej pewności, że dane zostały faktycznie usunięte. Badania pokazują, że ponad 40% dysków kupowanych na rynku wtórnym zawiera odzyskiwalne dane poprzednich właścicieli. Certyfikowane kasowanie danych to jedyny sposób, żeby zamknąć ten rozdział bezpiecznie i mieć na to pisemny dowód.

Dlaczego formatowanie dysku nie wystarczy

To najczęstszy błąd organizacji, które myślą, że zrobiły wystarczająco dużo. Formatowanie dysku, przywrócenie ustawień fabrycznych czy nawet reinstalacja systemu operacyjnego nie usuwa danych fizycznie. Kasuje jedynie wpisy w tablicy plików, informując system, że dane przestrzeni można nadpisywać. Same dane pozostają na nośniku i są odzyskiwalne za pomocą ogólnodostępnych narzędzi, które można pobrać bezpłatnie w kilka minut.

W przypadku dysków SSD sytuacja jest bardziej złożona. Mechanizm wear leveling, który przedłuża żywotność nośnika, celowo rozrzuca dane po różnych komórkach pamięci. W efekcie nawet wielokrotne nadpisywanie całej przestrzeni dysku nie gwarantuje usunięcia każdego fragmentu danych. Trwałe usuwanie danych z dysków SSD wymaga metod specjalnie zaprojektowanych pod tę architekturę, a nie narzędzi pisanych z myślą o talerzowych dyskach HDD.

Fizyczne zniszczenie nośnika, czyli popularne wiercenie dziur czy rozdrabnianie, rozwiązuje problem odzysku danych, ale wyklucza ponowne użycie sprzętu. Dla organizacji z cykliczną wymianą floty urządzeń to opcja kosztowna i nieekologiczna. Certyfikowane kasowanie pozwala zachować wartość sprzętu i jednocześnie zapewnić pełne bezpieczeństwo informacji.

Co oznacza certyfikowane kasowanie danych w praktyce?

Certyfikowane kasowanie to proces, w którym specjalistyczne oprogramowanie nadpisuje każdy sektor nośnika zgodnie z uznanym standardem, a następnie generuje raport potwierdzający wykonanie operacji. Raport zawiera informacje o urządzeniu (numer seryjny, model, pojemność), zastosowanej metodzie kasowania, dacie i godzinie operacji oraz jej wyniku.

Takie dokumenty są podstawą do rozliczenia z audytorem, regulatorem lub kontrahentem. Nie ma tu miejsca na „chyba usunęliśmy” ani „wydaje nam się, że było bezpiecznie”. Jest konkretny plik, podpisany certyfikat i pełna ścieżka audytowa.

Standardy kasowania danych, z którymi powinno być zgodne oprogramowanie, to między innymi NIST 800-88, DoD 5220.22-M, HMG IS5 oraz wytyczne BSI. Każdy z nich określa liczbę przebiegów nadpisywania i sposób weryfikacji wyniku. Wybór standardu zależy od klasyfikacji danych przechowywanych na nośniku i wymagań regulacyjnych obowiązujących organizację.

Kiedy trwałe usuwanie danych jest obowiązkiem, a nie opcją

RODO i odpowiedzialność administratora danych

Rozporządzenie o ochronie danych osobowych nakłada na administratora obowiązek zapewnienia, że dane są przetwarzane i usuwane w sposób zapewniający ich bezpieczeństwo. Art. 5 RODO mówi wprost o zasadzie integralności i poufności, która obowiązuje przez cały cykl życia danych, łącznie z momentem ich usuwania. Wyciek danych z wycofanego sprzętu jest traktowany jak każde inne naruszenie ochrony danych osobowych i może skutkować postępowaniem ze strony organu nadzorczego.

ISO 27001 i zarządzanie aktywami

Norma ISO 27001 w obszarze zarządzania aktywami (Annex A, punkt 8.10) wprost wskazuje na konieczność bezpiecznego usuwania danych z nośników przed ich wycofaniem lub ponownym użyciem. Organizacje ubiegające się o certyfikację lub utrzymujące ją muszą być w stanie wykazać, że dysponują udokumentowaną procedurą kasowania danych.

BSI i wymagania sektorowe

Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) w swoich wytycznych technicznych definiuje metody bezpiecznego kasowania dla różnych typów nośników. Organizacje współpracujące z kontrahentami z Niemiec lub działające na rynkach regulowanych przez BSI coraz częściej otrzymują wymagania dotyczące zgodności z tymi standardami jako warunek współpracy.

Przeczytaj także:  Czy opcje giełdowe mogą być narzędziem inwestowania długoterminowego?

Sprzęt do wycofania: co kasować i jak podejść do każdego przypadku

Komputery i laptopy

To najliczniejsza kategoria w większości organizacji. Dyski HDD i SSD w komputerach pracowniczych przechowują dokumenty, e-maile, hasła przechowywane w przeglądarce, dane uwierzytelniające do systemów, pliki tymczasowe i wiele innych informacji. Nawet jeśli pracownik „wyczyścił” swój komputer przed zwrotem, nie oznacza to, że dane zniknęły.

Przy masowej wymianie floty kluczowa jest możliwość uruchomienia procesu kasowania centralnie, bez konieczności fizycznego dostępu do każdego urządzenia z osobna, oraz automatycznego zbierania raportów do centralnego rejestru.

Serwery i macierze dyskowe

Serwery przechowują dane o szczególnie wysokiej wartości: bazy danych, logi systemowe, kopie zapasowe, dane aplikacji. Wycofanie serwera z nieusunięczonymi danymi to ryzyko o skali trudnej do oszacowania przed faktem. Procedura kasowania serwerów powinna być częścią formalnego procesu decommissioningu, z dokumentacją na każdym etapie.

Urządzenia mobilne

Smartfony i tablety firmowe synchronizują pocztę, kalendarze, dokumenty i dane aplikacji. Przywrócenie ustawień fabrycznych nie jest wystarczające, co potwierdzają liczne testy bezpieczeństwa. Trwałe usuwanie danych z urządzeń mobilnych wymaga narzędzi, które rozumieją specyfikę systemów Android i iOS.

Blancco Drive Eraser: raportowanie, które zamienia proces w dowód

Jednym z rozwiązań adresujących te wyzwania jest Blancco oferowany przez InfoProtector. Oprogramowanie obsługuje trwałe usuwanie danych z dysków HDD i SSD w komputerach, laptopach i serwerach, zgodnie z uznanymi standardami kasowania. Po każdej operacji generuje raport zawierający pełne informacje o urządzeniu i przebiegu procesu, który może być podstawą do audytu wewnętrznego lub zewnętrznego.

Dla organizacji, które chcą zobaczyć, jak narzędzie działa w praktyce przed podjęciem decyzji wdrożeniowej, platforma Blancco Drive Eraser udostępniona przez Akademię InfoProtector zawiera materiały edukacyjne i filmy instruktażowe pokazujące realne scenariusze kasowania oraz proces generowania certyfikatów. Akademia InfoProtector powstała z myślą o osobach, które chcą samodzielnie przetestować rozwiązania cyberbezpieczeństwa i podjąć świadomą decyzję opartą na własnym doświadczeniu, nie na deklaracjach producenta.

Za platformą stoi firma InfoProtector, specjalizująca się we wdrożeniach i szkoleniach z zakresu cyberbezpieczeństwa, pomagająca organizacjom zabezpieczyć dane i urządzenia również na etapie ich wycofywania z użycia.

Jak zbudować procedurę kasowania danych w organizacji?

Skuteczna procedura to nie jednorazowe działanie, lecz powtarzalny, udokumentowany proces zintegrowany z cyklem życia urządzeń IT. Warto zadbać o kilka elementów.

Inwentaryzacja nośników przed wycofaniem. Każde urządzenie powinno mieć przypisaną klasyfikację danych, które przechowywało. Od niej zależy wybór metody kasowania i standardu, z którym musi być zgodna operacja.

Centralny rejestr certyfikatów kasowania. Raporty z operacji kasowania powinny trafiać do jednego miejsca i być przechowywane przez okres wymagany przepisami lub polityką wewnętrzną. W przypadku audytu lub incydentu to ten rejestr pozwala udowodnić, że dane były usuwane zgodnie z procedurą.

Szkolenie zespołu IT. Osoby odpowiedzialne za wycofywanie sprzętu powinny znać procedurę, rozumieć jej cel i wiedzieć, jak postępować w sytuacjach niestandardowych, na przykład gdy dysk jest uszkodzony i nie odpowiada na komendy kasowania.

Weryfikacja wyników. Oprogramowanie do certyfikowanego kasowania powinno weryfikować wynik operacji i flagować przypadki, gdy kasowanie nie powiodło się w pełni. Takie nośniki wymagają alternatywnego podejścia, fizycznego zniszczenia lub specjalistycznego serwisu.

Najczęściej zadawane pytania przez naszych czytelników

Czy certyfikowane kasowanie danych jest wymagane przez RODO?

RODO nie wskazuje wprost konkretnej metody usuwania danych, ale nakłada obowiązek zapewnienia, że dane są usuwane w sposób uniemożliwiający ich odtworzenie. Certyfikowane kasowanie z dokumentacją jest najskuteczniejszym sposobem wykazania spełnienia tego wymagania w przypadku kontroli lub postępowania wyjaśniającego.

Czy można kasować dane zdalnie, bez fizycznego dostępu do urządzenia?

Nowoczesne narzędzia do trwałego usuwania danych obsługują scenariusze zdalnego kasowania w zarządzanej sieci firmowej. Jest to szczególnie przydatne przy masowej wymianie sprzętu lub kasowaniu urządzeń rozlokowanych w różnych lokalizacjach.

Co zrobić z dyskiem, który nie odpowiada na komendy kasowania?

Uszkodzony nośnik, który nie reaguje na oprogramowanie kasujące, powinien zostać fizycznie zniszczony w sposób uniemożliwiający odczyt danych. Degaussing (demagnetyzacja) jest skuteczny dla dysków HDD, ale bezużyteczny dla SSD i nośników flash. Dla tych ostatnich konieczne jest mechaniczne zniszczenie zgodne z odpowiednim standardem.

Jak długo należy przechowywać certyfikaty kasowania danych?

Nie ma jednej uniwersalnej odpowiedzi. RODO, ISO 27001 i przepisy sektorowe różnie podchodzą do okresu retencji dokumentacji. Praktyczna zasada to przechowywanie certyfikatów przez minimum 5 lat lub przez okres wymagany przez branżowe regulacje obowiązujące organizację, zależnie od tego, który jest dłuższy.

Art. dla Partnera

Źródło grafiki: Canva Pro

© Chain Tech: Rozmawiamy o technologii | Wspierane przez SpiceThemes

Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.