Specjaliści SDR-IT zdecydowali się na wybór narzędzi firmy Blancco do świadczenia usług, gdyż zapewniają najwyższą skuteczność w usuwaniu danych, potwierdzoną licznymi certyfikatami. Oprogramowanie to uzyskało także certyfikat polskiej Agencji Bezpieczeństwa Wewnętrznego, która uznała je za jedyne dopuszczalne do usuwania danych. Warto dodać, że firma Ontrack, a więc lider w odzyskiwaniu danych, rekomenduje oprogramowanie Blancco do usuwania danych z dysków HDD i SSD.
Funkcjonalność narzędzi niemieckiej marki jest niemal nieograniczona. Szczególną uwagę należy zwrócić na możliwość bezpiecznego kasowania danych z nośników SSD, w przypadku których nie działa demagnetyzacja, powszechnie wykorzystywana do niszczenia mechanicznych dysków. Rozwiązania Blancco zapewniają także trwałe kasowanie wszelkich informacji z urządzeń mobilnych (telefonów, smartfonów i tabletów), niezależnie od środowiska, w którym działają, a także pendrive’ów i kart pamięci flash. Oprogramowanie to umożliwia ponadto usuwanie informacji z serwerów i dysków sieciowych, dzięki czemu nie trzeba wyjmować ich z urządzeń na stałe zainstalowanych w centrach danych. Trwałej destrukcji można poddawać nie tylko całe napędy, lecz także pojedyncze pliki i foldery z komputerów osobistych i serwerów oraz macierzy dyskowych.

Specjaliści SDR-IT zapraszają do współpracy resellerów i integratorów, których klienci byliby zainteresowani trwałym usunięciem danych ze swoich nośników, ale bez konieczności ich fizycznego niszczenia. Oprogramowanie Blancco gwarantuje pełne bezpieczeństwo takich operacji. Procedura kasowania może zostać przeprowadzona u klienta, a także w  siedzibie SDR-IT. Potencjalnemu usługobiorcy warto wskazać, że usługi te zapewniają zgodność z regulacjami prawnymi (w tym RODO), a także zapisami normy ISO 27001 (szczegóły w ramce poniżej).

Dodatkowe informacje: 
Miłosz Krzywania, dyrektor operacyjny, SDR-IT, m.krzywania@sdr-it.pl

Artykuł SDR-IT: dane są bez szans pochodzi z serwisu CRN.

– Specjalizujemy się w trwałym niszczeniu nośników dużych firm, głównie z rynku finansowego, oraz operatorów centrów danych – mówi Miłosz Krzywania, dyrektor operacyjny SDR-IT i radca prawny. – Na rynku niemieckim zainteresowanie tego typu usługami jest bardzo duże, w Polsce dopiero rośnie. Zdajemy sobie sprawę, jak dużym wyzwaniem dla firm jest ta operacja, nie tylko ze względu na poufny charakter zgromadzonych informacji, ale także coraz bardziej restrykcyjne regulacje prawne. Dlatego stworzyliśmy procedury, które uwalniają przedsiębiorstwa od tego problemu i bierzemy na siebie pełną odpowiedzialność za skuteczne przeprowadzenie tej operacji.

W ramach przyjętej przez SDR-IT procedury sprzęt jest pakowany i plombowany w siedzibie klienta, ładowany do samochodu i przewożony do magazynu usługodawcy. Tam następuje jego fizyczne niszczenie przez uprawnione do tego osoby, legitymujące się certyfikatami bezpieczeństwa.
Klient ma pełną kontrolę nad przebiegiem operacji – prowadzony jest zapis wideo od momentu odbioru sprzętu, przez jego transport, po fizyczne zniszczenie. Zleceniodawca może śledzić całą procedurę na żywo, a po jej zakończeniu otrzymuje plik z zarejestrowanym filmem i szczegółowy raport. Samochody, które transportują sprzęt, wyposażono w nadajnik GPS, część załadunkowa jest plombowana i monitorowana przez kamery, a dla materiałów wymagających szczególnego bezpieczeństwa zapewnia się konwój ochronny.

W przypadku, gdy procedury lub przepisy obowiązujące przedsiębiorstwo uniemożliwiają wywiezienie nośników poza siedzibę firmy, SDR-IT zapewnia usługę ich dezintegracji w mobilnym centrum niszczenia. Operacja odbywa się wówczas w siedzibie klienta lub w innym miejscu przez niego wskazanym. Także w tym przypadku prowadzona jest rejestracja wideo całego procesu i generowany szczegółowy raport.

Do niszczenia nośników SDR-IT stosuje sprzęt austriackiej firmy Untha, światowego lidera tego rynku, znanego z niezawodności urządzeń i przywiązywania ogromnej wagi do precyzji wykonywanych przez nie operacji. To jedyny na świecie producent tego typu sprzętu, który uzyskał certyfikat przyznany przez niemiecką organizację Dekra.

– Oba modele stosowanych przez nas urządzeń firmy Untha gwarantują zniszczenie na poziomie bezpieczeństwa H5. Wybór dostawcy sprzętu poprzedzony był wielomiesięcznymi testami, które przeprowadziliśmy, korzystając z różnych urządzeń i testując każdy nośnik pamięci – wyjaśnia Jarosław Dancewicz, prezes zarządu SDR-IT. – Położyliśmy nacisk na odpowiednie i bezpieczne zagospodarowywanie zniszczonych nośników zgodnie z wprowadzonymi w SDR-IT standardami ISO 9001, 14001 oraz 27001.

Przedstawiciele SDR-IT podkreślają, że w ramach świadczonych usług do zniszczenia przyjmowane są całe zasoby IT klienta (nie tylko nośniki danych), co kompleksowo uwalnia przedsiębiorstwo od problemu, jakim jest posiadanie starych urządzeń zawierających dane, szczególnie ściśle tajne.

Artykuł Zniszczymy każdy bit danych pochodzi z serwisu CRN.

Przykładem niefrasobliwości jest niedawno opisywany przez media przypadek sędziego łódzkiego sądu okręgowego, który zgubił służbowego pendrive’a z projektami postanowień, wyroków i uzasadnień do nich. Z wyjaśnień sądu wynika, że nośnik może zawierać wiele danych różnych osób, a rzecznik instytucji przyznał, iż „możliwe, że ktoś będzie próbował je wykorzystać”. Zastrzegł jednak przy tym, że sędzia miał prawo wynieść nośnik z dokumentami poza miejsce pracy. Nie odniósł się jednak do – wydawałoby się – oczywistego problemu, że tak wrażliwe dane były przechowywane na nośniku USB bez ich uprzedniego zaszyfrowania.

Powodem zaniechań w tego rodzaju przypadkach bywają obawy przed złożonością poszczególnych rozwiązań do szyfrowania. W tym kontekście sporym wyzwaniem dla branży zabezpieczeń jest zachowanie prostoty obsługi narzędzi ochronnych, pomimo coraz bardziej wyrafinowanych ataków, jakim muszą sprostać. W naturze ludzkiej leży poszukiwanie najłatwiejszego sposobu wykonania jakiegokolwiek zadania, ale często powinien on być przy tym także najbezpieczniejszy. W kontekście RODO mówi się sporo o „security by design” oraz „security by default”. Takie podejście jest najlepszym sposobem na częściowe zwolnienie użytkowników końcowych z myślenia o bezpieczeństwie (całkowicie nigdy się do tego nie da doprowadzić, poza tym nie jest to wskazane). Integrator, który wdraża rozwiązania ochronne, musi więc starać się o równowagę pomiędzy akceptowalnym poziomem bezpieczeństwa, a złożonością zapewniających je narzędzi.

Zaniedbania mimo RODO

Oceniając stan bezpieczeństwa, trzeba wziąć pod uwagę wielkość przedsiębiorstwa. Duże firmy, posiadające odpowiednie zasoby zarówno ludzkie, jak i finansowe, są doskonale przygotowane do ochrony przed utratą danych za pomocą szyfrowania komputerów, stacji roboczych, serwerów aplikacyjnych, nośników oraz przesyłanych danych. Korzystają z rozwiązań zabezpieczających przed wyciekami danych (DLP), mają procedury kasowania danych i niszczenia nośników.

– W ich przypadku RODO niewiele wniosło, ponieważ poprzednia ustawa o ochronie danych osobowych oraz standardy branżowe już wcześniej wymagały odpowiednich zabezpieczeń. Oczywiście, także w tym segmencie zdarzają się firmy, które nie potrafią zabezpieczyć swoich danych i nadal mają dziury w systemach, z których korzystają – zauważa Robert Sepeta, Business Development Manager w Kingstonie.

Największy problem dotyczy małych i średnich przedsiębiorstw. Wiele tzw. „misiów” cierpi na brak zarówno specjalistów, jak i środków na wdrożenie właściwych systemów. Oczywiście nierzadko zagadnienie bezpieczeństwa bywa przez nie ignorowane. W tym przypadku ważną rolę może odegrać integrator, który wie, o co klient powinien zadbać i podejmie próbę, aby go do tego przekonać.

W prostocie siła

Wdrożenie systemu obejmującego wszystkie drogi wycieku danych to proces długotrwały. Ustanowiona polityka bezpieczeństwa musi być bowiem stale modyfikowana tak, aby lepiej przystawała do sposobu zarządzania danymi w przedsiębiorstwie. Dostrajanie ma wpływ nie tylko na skuteczniejszą ochronę, ale także na optymalizację wykorzystania zasobów sprzętowych komputerów, bo wypełnianie reguł DLP może stanowić dla nich spore obciążenie. Trzeba przy tym przyznać, że na stosowanie mechanizmów DLP decydują się głównie firmy, które są do tego zobowiązane przepisami.

Kierujący wszystkimi przedsiębiorstwami i instytucjami powinni natomiast zwrócić uwagę na fakt, że do utraty danych bardzo często dochodzi w wyniku niekontrolowanego użycia przez pracowników pamięci USB. Pendrive’y mają obecnie bardzo dużą pojemność, a ze względu na małe wymiary łatwo je zgubić czy ukraść. Aby tego uniknąć, można oczywiście całkowicie zablokować możliwość używania portów USB w firmowych komputerach, co jest rozwiązaniem skutecznym, ale dość radykalnym. Jak podkreśla Robert Sepeta, choć to najtańsza i najprostsza opcja, bardzo ogranicza mobilność pracowników. W czasach, gdy są oni  coraz mniej przywiązani do biurka, takie zabezpieczenie staje się poważnym utrudnieniem.

Przedstawiciel Kingstona dodaje, że mobilność jest dość mocno ograniczana także w wyniku stosowania firmowych procedur użytkowania pamięci USB obejmujących wewnętrzne szyfrowanie danych. Odpowiedni poziom bezpieczeństwa bez ograniczania mobilności pracowników ma według niego zapewniać użycie pamięci USB z pełnym sprzętowym szyfrowaniem.

– Po zastosowaniu, dodatkowo, platformy typu endpoint management, można stworzyć bardzo bezpieczne rozwiązanie – uważa Robert Sepeta.

Warto wspomnieć, że wymogi unijnego rozporządzenia o ochronie danych osobowych nakładają na administratora danych osobowych konieczność zgłoszenia ich utraty w czasie maksymalnie 72 godzin od zdarzenia, a także powiadomienia o problemie wszystkich poszkodowanych. W przypadku utraty szyfrowanej pamięci USB firma nadal ma obowiązek zgłoszenia incydentu, ale nie musi powiadamiać osób, których dane zostały zgubione czy ukradzione, bowiem ryzyko, że zostaną odczytane przez znalazcę lub złodzieja jest niewielkie.

Kontrolowany koniec cyklu życia danych

Ze względu na możliwość wycieku danych, ich skuteczne zniszczenie staje się sprawą newralgiczną. Tymczasem z badania Comparitech oraz University of Hertfordshire wynika, że niemal 60 proc. dysków twardych, których przedsiębiorstwa się pozbywają, wciąż zawiera szereg poufnych informacji. W dwustu takich urządzeniach, kupionych do testów w internecie, znaleziono skany paszportów i praw jazdy, wyciągi bankowe, dokumenty podatkowe, wnioski wizowe, a nawet zdjęcia o charakterze intymnym. Badanie wykazało, że tylko 26 proc. dysków zostało poprawnie wyczyszczonych i nie można było z nich odzyskać danych, a kolejne 16 proc. miało cechy uszkodzenia i nie można było odczytać żadnych informacji. Z pozostałych nośników dane można było, w taki czy inny sposób, odzyskać. Co ciekawe, jeden na sześciu użytkowników nawet nie próbuje usunąć swoich plików.

Popularność usług bezpowrotnego usuwania danych rośnie przede wszystkim w związku z RODO. Zwłaszcza że są branże, w których obowiązują szczególne wymagania odnośnie do bezpieczeństwa danych i ich zupełnego zniszczenia (tak, żeby nie można było ich odtworzyć nawet za pomocą specjalistycznego sprzętu). Zwłaszcza trwałe czyszczenie lub niszczenie SSD i innych pamięci flash, to obiecujący biznes, z uwagi na coraz większe rozpowszechnienie tych nośników.

– Obecnie pracujemy nad technologią niszczenia pamięci flash, bo nie istnieje w pełni skuteczna metoda, gwarantująca całkowite usunięcie danych z telefonów, pamięci USB czy dysków SSD. Są firmy, które oferują programowe kasowanie danych z tego typu nośników, ale naszym zdaniem metody te nie są wystarczające, ze względu na złożoność budowy struktury tych pamięci. Pozostają oczywiście fizyczne niszczarki, których użycie również w 100 proc nie gwarantuje całkowitego usunięcia danych – mówi Tomasz Filipów, dyrektor zarządzający w Diskusie.

Fizyczną niszczarkę trudno jest jednak zastosować w przypadku telefonów komórkowych. Tym bardziej, że przeważają urządzenia bez wyjmowanej baterii. A ten rynek może być największym i najbardziej lukratywnym, jeśli chodzi o niszczenie zapisanych nośników flash. Dlatego tak istotną sprawą staje się opracowanie technologii, która szybko i skutecznie uniemożliwiałaby dostęp do danych z wycofywanego z użytku nośnika SSD.

W przypadku tradycyjnych nośników magnetycznych klient ma do wyboru ich zniszczenie lub skasowanie danych. Programowe kasowanie wybiorą ci, którzy chcą przekazać czy sprzedać sprzęt komputerowy innym użytkownikom albo zdecydują się ponownie użyć wyczyszczony nośnik. Proces ten polega na wielokrotnym (bywa, że kilkudziesięciokrotnym) nadpisywaniu utrwalonych na nośniku danych losowo generowanymi ciągami liczb. Z kolei niszczenie nośników to taka zmiana ich fizycznej struktury, by odczyt wcześniej zapisanych na nich danych stał się niemożliwy. Można w tym celu zastosować pole magnetyczne – wówczas wygląd nośnika się nie zmieni, ale jego wewnętrzna struktura zostanie trwale zniszczona i nie będzie się on nadawał do ponownego wykorzystania.

– Skasowanie danych po to, by można było ponownie wykorzystać dany nośnik, polega na wykorzystaniu specjalistycznego oprogramowania. Skuteczne i bezpieczne (na tę chwilę) kasowanie programowe trwa od kilku do kilkunastu godzin – w zależności od pojemności nośnika – i tylko pod warunkiem, że jest on sprawny. W połączeniu z zakupem stosownych licencji, to nie zawsze jest to opłacalne, pomijając fakt, że metoda programowa wykorzystuje algorytmy zapisu, które mogą zostać prędzej czy później złamane – ocenia Tomasz Filipów.

Oczywiście, klient może próbować oszczędności, decydując się na samodzielne zniszczenie nośnika, chociażby wiertarką i młotkiem. Jednak obecnie użytkownicy zdają sobie coraz lepiej sprawę z tego, jak wrażliwe mogą być dane i jakie konsekwencje może mieć dostanie się ich w niepowołane ręce.

Artykuł Zaszyfrować, a na koniec zniszczyć pochodzi z serwisu CRN.

Metody archiwizacji i przechowywania dysków oraz usuwania z nich danych, kiedy już się zużyją, są stale udoskonalane. Tam jednak, gdzie w grę wchodzą kwestie bezpieczeństwa, kluczowego znaczenia nabierają także procedury – stałe zasady postępowania. To one pozwalają na minimalizację ryzyka i zapewnienie stałego, kontrolowanego poziomu ochrony.

Mogą również pomóc resellerom i integratorom w kontaktach z klientami. Stanowią bowiem istotny punkt odniesienia w razie podejmowania wiążących decyzji inwestycyjnych. Jeśli zarządzanie cyklem życia nośników danych zostanie potraktowane jak element procesu budowania i obsługi systemów informatycznych w firmie, łatwiej będzie wdrożyć potrzebne rozwiązania bądź zainstalować przydatne narzędzia. Jeszcze lepiej, jeśli zostanie wpisane w całościową, zatwierdzoną przez zarząd politykę bezpieczeństwa.

Warto więc, aby integratorzy wspierali klientów w tworzeniu procedur postępowania z nośnikami danych i znajdującymi się na nich zapisami. Istnienie spisanego zestawu reguł lub instrukcji postępowania przynosi bowiem korzyści obu stronom. Użytkownikom zapewnia osiągnięcie wyższego poziomu bezpieczeństwa, a dostawcom stałość i przewidywalność zamówień. Jeśli w firmie obowiązują standardy archiwizowania i przechowywania nośników danych, osobie odpowiedzialnej za bezpieczeństwo łatwiej jest podejmować decyzje o zakupie właściwych zabezpieczeń. Z kolei sprzedającemu lub świadczącemu usługi łatwiej będzie wybrać i zaproponować adekwatne do ustalonych wymogów rozwiązanie.

Może to dotyczyć np. sejfów do przechowywania dysków i taśm, które nie są jeszcze dzisiaj zbyt powszechnie stosowane, szczególnie w MŚP. Charakteryzują się specjalną konstrukcją, która pozwala na umieszczenie nośników w sposób chroniący je przed fizycznym zniszczeniem. Mają różne klasy odporności ogniowej, gwarantują także określony poziom ochrony przed zalaniem wodą.

Podobna sytuacja ma miejsce w przypadku walizek do transportu kopii zapasowych. Oferowane na rynku pojemniki zapewniają ochronę przed ogniem, wodą, zapyleniem, a nawet przed wstrząsami. Mogą być wyposażone w GPS pozwalający na monitorowanie ich położenia oraz systemy alarmowania w przypadku próby nieuprawnionego otwarcia. Producenci montują też specjalne czujniki w obudowach dysków chroniące nośniki przed dostaniem się do środka niepowołanych osób.

Prawo wymaga skuteczności

Klienci nie zawsze dysponują (i nie zawsze muszą dysponować) wiedzą o oferowanych na rynku rozwiązaniach. Jeżeli jednak potrafią określić swoje wymagania, integratorowi łatwiej będzie pomóc im we właściwym wyborze. W zdefiniowaniu potrzeb przydadzą się obowiązujące w firmie procedury i instrukcje.

Ze względu na regularną wymianę sprzętu dużego znaczenia nabierają wewnętrzne, firmowe regulacje dotyczące niszczenia nośników i usuwania z nich danych. Powinny zawierać ściśle określone zasady postępowania obowiązujące w całej firmie, m.in. zdefiniowania kategorii niszczonych nośników i klasy ich ochrony. Muszą być również wskazane miejsca niszczenia danych oraz rodzaj używanych do tego urządzeń bądź oprogramowania.

W opracowywaniu procedur i instrukcji pomogą istniejące normy i standardy. Przykładowo, norma ISO 27001 wymaga, aby w systemie zarządzania bezpieczeństwem informacji były określone i przestrzegane sposoby skutecznej likwidacji danych. Zarządzanie nośnikami pamięci zostało też opisane w kodeksie postępowania dla działów informatyki (Information Technology Infrastructure Library), który zawiera zbiór zaleceń, jak efektywnie oferować usługi informatyczne.

Również wiele obowiązujących w naszym kraju przepisów wymaga skutecznego usuwania danych, żeby ich odzyskanie lub odtworzenie nie było możliwe. Prawo nie precyzuje jednak, w jaki sposób należy tego dokonać. Wybór konkretnej metody zniszczenia nośników lub usuwania danych pozostawiono w gestii administratora lub właściciela danych. Istniejące regulacje, głównie branżowe (np. ustawa o rachunkowości, ordynacja podatkowa, prawo pracy), mówią o tym, jak długo dane mają być przechowywane. Nakazują niszczenie określonych dokumentów lub informacji, również w formie elektronicznej, gdy nie są już potrzebne do prowadzenia działalności, wygasła zgoda na ich przetwarzanie, minął ustawowy okres ich obowiązkowego przechowywania lub podlegają ustawowej ochronie.

Do opracowania zasad postępowania z danymi osobowymi, w tym ich usuwania w przypadku realizacji prawa do bycia zapomnianym, zobowiązuje od maja 2018 r. unijne rozporządzenie o ochronie danych osobowych. Już dzisiaj widać efekty jego wprowadzenia w postaci zwiększonego zainteresowania niszczeniem danych. Firmy zaczęły dokładniej sprawdzać, co się dzieje z danymi na wycofywanych z użycia nośnikach, a szykuje się jeszcze zmiana przepisów branżowych w związku z projektem ustawy o zmianie niektórych ustaw w związku z wejściem w życie RODO.

Wiarygodny partner w cenie

Z biznesowego punktu widzenia ważne jest stosowanie właściwych procedur i zasad postępowania również przez firmy świadczące usługi niszczenia nośników i usuwania danych. Przestrzegane standardy mogą uwiarygodnić usługodawcę w oczach potencjalnego klienta i przekonać go do zamówienia usługi.

Oczywiście, najważniejsze jest posiadanie przez firmę oferującą usuwanie danych odpowiedniego sprzętu i oprogramowania. Powinny gwarantować należyte wykonanie zadania. Parametry i możliwości techniczne stosowanych urządzeń czy narzędzi programistycznych muszą być przy tym adekwatne do wymagań klienta.

Technika to jednak nie wszystko. Duże znaczenie mają również procedury stosowane w procesie niszczenia danych. Chodzi tu m.in. o zapewnienie bezpiecznego odbioru i transportu nośników. Odpowiednie warunki muszą panować też w miejscu niszczenia danych, bez względu na to, czy odbywa się to w siedzibie klienta, w budynku usługodawcy, czy w specjalnym samochodzie (mobilnym punkcie usuwania danych). W każdym przypadku niezbędne jest określenie zasad dostępu do danych, zarówno ze strony pracowników zleceniodawcy, jak i wykonawcy usługi.

Wiarygodność firmy świadczącej usługi niszczenia danych podnoszą niewątpliwie certyfikaty. W niektórych sytuacjach jej pracownicy będą musieli wykazać się poświadczeniami dopuszczenia do dostępu do informacji niejawnych. Również usługodawca musi mieć prawo do wydawania certyfikatów dotyczących niszczenia danych. Taki dokument to niejednokrotnie warunek podpisania umowy z klientem.

Różnorodność metod

Stosowanie właściwych procedur i standardów jest ważne również z powodu braku jednoznacznych opinii w sprawie skuteczności dostępnych metod niszczenia nośników i usuwania danych. Zdania na temat efektywności poszczególnych sposobów są cały czas podzielone. Do powszechnie stosowanych należy metoda programowa, która polega na wielokrotnym (nawet kilkudziesięciokrotnym) nadpisywaniu utrwalonych na nośniku danych losowo generowanymi ciągami liczb. Po jej zastosowaniu dysk nadaje się do dalszego użytkowania. Chętnie więc wykorzystywana jest przez firmy, które przekazują swój sprzęt komputerowy kolejnym użytkownikom, a także w sytuacji, gdy trzeba użyć wyczyszczony nośnik do innych celów. Poszczególne rodzaje wykorzystywanego do usuwania danych oprogramowania bazują na różnych algorytmach sterujących procesem nadpisywania danych.

Dane można też zniszczyć metodą magnetyczną, za pomocą urządzenia demagnetyzującego (ang. degausser). Wytwarzane przez nie pole magnetyczne niszczy strukturę namagnesowania nośnika. Impulsy elektromagnetyczne muszą mieć odpowiednią siłę, aby spowodować rzeczywiste zniszczenie danych. Generalnie im bardziej pojemny nośnik, tym mocniejsze impulsy trzeba zastosować. W związku z tym, że demagnetyzery wytwarzają różne natężenia pola magnetycznego, nie każdy może być użyty do niszczenia danych na każdym dysku.

Zniszczenia danych można dokonać także przez fizyczne zniszczenie samego nośnika. Istnieje cała gama metod mechanicznych, które pozwalają na: zgniecenie, zmielenie, przecięcie, sprasowanie, rozdrobnienie lub przewiercenie nośnika danych. Do mniej popularnych należą metody: termiczna (spalenie w temperaturze powyżej 1000 st. C), radioaktywna (oddziaływanie promieniowaniem jonizującym), pirotechniczna (zastosowanie ładunków wybuchowych), chemiczna (za pomocą odczynnika chemicznego zmieniającego strukturę nośnika danych). W przypadku stosowania którejś z metod fizycznych potrzebna jest duża dokładność, by nie pozostawić fragmentów nośników w stanie umożliwiającym odczytanie danych.

Informacje zapewnią kontrolę

Ułatwieniem w zarządzaniu cyklem życia nośników będzie z pewnością dostęp do aktualnych informacji o nich: gdzie są przechowywane, jakie dane zawierają, kiedy powinny być poddane utylizacji, w jaki sposób należy je zniszczyć itp. Pomocny bywa w tym specjalny system zarządzania informacją o nośnikach.

Może, na przykład, przypominać o zbliżającym się terminie usunięcia danych, co pozwoli przedsiębiorstwu ustrzec się przed karami za niezgodne z prawem przechowywanie zasobów i pomóc zaoszczędzić czas potrzebny na poszukiwanie nośników czy danych. Uzyskana dzięki wspomnianemu systemowi wiedza ma ogromne znaczenie w sytuacjach awaryjnych, ale też ułatwia codzienne zarządzanie wykorzystaniem dysków i taśm.

Oferowanie takich rozwiązań może być również okazją do dodatkowego zarobku dla resellerów lub integratorów. Wiele systemów storage’owych jest już wyposażonych w takie oprogramowanie. Istnieje też cała paleta osobnych produktów umożliwiających zarządzanie informacją o danych i nośnikach. W interesie dostawców jest pokazywanie korzyści i ułatwień wynikających z ich stosowania. Może więc warto poszerzyć o nie ofertę.

Artykuł Od zasad do technologii pochodzi z serwisu CRN.

– Od dawna chcieliśmy tworzyć własne produkty, bo tylko w ten sposób możemy zachować kontrolę od momentu ich zaprojektowania przez proces produkcji do sprzedaży i wsparcia – tłumaczy Tomasz Filipów, dyrektor zarządzający firmy Diskus. – Widzieliśmy, że dystrybucja nośników przynosi coraz mniej zysków, więc zajęliśmy się sprzedażą (poza rozwiązaniami z dziedziny pamięci masowych oraz dla centrów danych) demagnetyzerów. Ale wciąż nie byliśmy zadowoleni z tego, co w dziedzinie niszczenia danych oferuje rynek. Dlatego zdecydowaliśmy się na zaprojektowanie i produkcję własnych urządzeń, sprzedawanych obecnie w ponad 30 krajach świata pod marką ProDevice. Są to zarówno degaussery, jak i niszczarki nośników danych.

Szybki rozwój oraz pojawiające się nowe pomysły skłoniły zarząd do przeniesienia firmy do nowej, większej siedziby, w której stworzono profesjonalne laboratorium badawcze. Na początek przyjęto, że jego działalność będzie skupiona na dwóch obszarach: innowacyjnych metodach usuwania danych z pamięci typu flash oraz produkcji pierwszych na świecie demagnetyzerów z technologią PPMS, generujących pole elektromagnetyczne o mocy do 55 tys. gaussów.

Realizacja tych zadań wymaga nie tylko bogatej wiedzy i doświadczenia, ale także zaplecza technicznego. D.LAB to obiekt o powierzchni ok. 800 m2 (samo laboratorium to ok. 220 m2), w pełni przystosowany do prac naukowo-badawczych. Doboru aparatury pomiarowej dokonano we współpracy z wybitnymi specjalistami z krakowskiej Akademii Górniczo-Hutniczej oraz warszawskiego Instytutu Technologii Elektronowej. Zbieranie i dokumentowanie wyników badań z urządzeń pomiarowych odbywa się za pomocą oprogramowania OMS D.LAB.

W centrum stworzono także tzw. klatkę Faradaya – wydzielone, specjalistyczne pomieszczenie, całkowicie uziemione, skonstruowane w celu niwelowania zakłóceń pochodzących z zewnątrz. Dzięki idealnemu tłumieniu sygnałów możliwe jest przeprowadzanie w nim badań kompatybilności elektromagnetycznej wytwarzanych przez Diskus i wprowadzanych na rynek produktów. Bogato wyposażono też serwerownię centrum, której zadaniem jest obsługa urządzeń pracujących w chmurze, a bezpieczeństwo energetyczne całego budynku zapewniają profesjonalne UPS-y oraz agregat prądotwórczy z systemem samoczynnego załączania rezerwy. Nad bezpieczeństwem czuwa również system kamer wideo, kontroli dostępu oraz klimatyzacji wykorzystującej wodę lodową. Całość sprzężona jest z systemem monitoringu warunków środowiskowych, czujnikami dymu oraz zalania.

W obiekcie, oprócz projektów badawczych, realizowane są także usługi dla klientów. W placówce znajduje się specjalistyczne pomieszczenie, spełniające wszelkie normy bezpieczeństwa, w którym m.in. przeprowadzane są prace związane z usuwaniem danych: demagnetyzacja i fizyczne niszczenie nośników, a także naprawa bibliotek taśmowych wszystkich wiodących producentów. Całość prac związana z niszczeniem danych nagrywają kamery, a klient dostaje pełny raport z wykonanej usługi, z certyfikatem potwierdzającym poprawność przeprowadzonych prac.

Artykuł D.LAB – przyszłość niszczenia danych pochodzi z serwisu CRN.

Niszczenie nośników jest przeprowadzane przez przeszkolonych pracowników, legitymujących się dokumentem poświadczenia bezpieczeństwa wydanym przez delegaturę ABW. Dokument ten jest rękojmią zachowania tajemnicy informacji niejawnych, oznaczonych klauzulą „poufne”. Jest też gwarantem, że gdy podczas świadczenia usługi zachodzi konieczność wejścia do systemów kontrahenta, współpraca zawsze bazuje na ściśle ustalonych zasadach, zapewniających pełne bezpieczeństwo danych.

Usuwanie danych metodą demagnetyzacji z jednej taśmy lub dysku twardego zajmuje mniej niż 10 sekund, dlatego cała operacja trwa relatywnie krótko, nawet jeśli obejmuje duże cyfrowe archiwum. Diskus zapewnia także wiele usług dodatkowych, np. wypożyczenie walizek transportowych, filmowanie procesu niszczenia danych, plombowanie przesyłek, fizyczne zniszczenie i przekazanie do utylizacji skasowanych nośników danych.

Każdy etap niszczenia danych jest odpowiednio dokumentowany, a klient ma całkowitą kontrolę nad całym procesem. Po zakończeniu usługi wystawiany jest stosowny certyfikat, potwierdzający poprawność skutecznego skasowania danych. Zawiera on m.in. takie informacje jak: data, czas i miejsce odbioru nośników oraz ich zniszczenia, precyzyjne dane identyfikacyjne nośników oraz podpisy członków komisji nadzorującej proces, w tym przynajmniej jednego przedstawiciela Diskusa oraz firmy klienta.

Z dojazdem do klienta

Usługi niszczenia danych świadczone są przede wszystkim w siedzibie firmy Diskus. Klienci zainteresowani nimi mogą wypożyczyć specjalistyczne walizki do transportu nośników danych. Ale proces niszczenia może być przeprowadzony w dowolnym miejscu – dzięki pierwszemu na świecie w pełni wyposażonemu mobilnemu centrum laboratoryjnemu MobileITlab. Została w nim wydzielona strefa do świadczenia usług bezpowrotnego niszczenia danych, wyposażona w specjalistyczny sprzęt:

– demagnetyzer ProDevice ASM120,

– niszczarkę nośników danych, rozdrabniającą je na skrawki o szerokości 15 mm (spełnia wymogi normy DIN 66399, gwarantującej poziom bezpieczeństwa T-5 dla taśm i H-5 dla dysków twardych),

– fizyczną niszczarkę dysków twardych, taśm, telefonów komórkowych i tabletów (spełnia wymogi norm DIN 66399: H3 oraz DMS 2008/level A),

– automatyczną niszczarkę płyt CD/DVD i talerzy dysków (gwarantuje stopień bezpieczeństwa wg norm DIN 32757–1:3 i DIN 66399:P-3/O-2/T-3/E-2).

W laboratorium zamontowano kamery monitorujące wnętrze oraz otoczenie pojazdu. Wszystkie czynności mogą odbywać się zarówno w obecności przedstawiciela klienta, jak i – dzięki możliwości uzyskania dostępu przez Internet do systemu monitoringu – pod jego zdalnym nadzorem.

Artykuł powstał we współpracy z firmą Diskus.

Artykuł Laboratorium Diskusa zniszczy każdy bit danych pochodzi z serwisu CRN.

Resellerzy i integratorzy mogą liczyć na przychody nie tylko ze sprzedaży nośników. Istnieje szereg akcesoriów, na oferowaniu których można dodatkowo zarobić. Natomiast ci, którzy będą chcieli się w tej dziedzinie wyspecjalizować, mogą postawić na usługi związane z archiwizacją nośników (włącznie z odczytem potrzebnych w danej sytuacji danych), ich długotrwałym składowaniem, przewożeniem i profesjonalnym niszczeniem.

Wśród dużej liczby oferowanych rozwiązań do fizycznej ochrony nośników wyróżnić można specjalne rodzaje sejfów. Wybrane modele zapewniają zabezpieczenie przed kradzieżą, działaniem czynników fizycznych (np. wody i ognia), upadkiem z wysokości, eksplozją, a nawet impulsem elektromagnetycznym. Do zabezpieczenia takiego sejfu wykorzystywane są różnego rodzaju zamki (elektroniczny z wyświetlaczem, mechaniczny z kluczem lub ich kombinacja) oraz czytniki linii papilarnych.

Polityka bezpieczeństwa danych w każdym przedsiębiorstwie powinna zakładać przechowywanie kopii danych poza siedzibą, gdzie znajduje się serwerownia. W przypadku przetwarzania danych niejawnych konieczne jest zapewnienie bezpiecznego transportu nośników z backupem. Zapewniają go specjalne walizki, których charakterystyczną cechą jest wyprofilowana przestrzeń w komorze, co ogranicza ryzyko uszkodzenia nośników spowodowanego wstrząsami i uderzeniami. Niektóre modele mogą zapewniać także ochronę przed wysoką temperaturą, kurzem i wilgocią. Walizki mogą być zamykane na zamek ochronny, kłódkę, mieć zakładaną plombę albo być wyposażone w moduł GPS, zapewniający śledzenie w czasie rzeczywistym aktualnej lokalizacji umieszczonych w niej nośników.

Warto oczywiście pamiętać, że dla zachowania spójności i kompletności systemu bezpieczeństwa informacji firmy powinny dysponować też procedurami odzyskiwania danych na wypadek ich nieprzewidzianej utraty. Dlatego resellerzy i integratorzy zawczasu powinni nawiązać kontakt z profesjonalnym laboratorium odzyskiwania danych i porozumieć się w sprawie potencjalnej współpracy, gdyż w sytuacji awaryjnej na tego typu formalności po prostu nie będzie czasu.

Skutecznie i nieodwracalnie

Właściciele firm coraz częściej mają świadomość, że niepotrzebnych nośników danych nie można tak po prostu wyrzucić do kosza lub przekazać komuś innemu do dalszego użytkowania. Mogą się bowiem na nich znajdować istotne dla prowadzonej działalności lub chronione prawem informacje. Nie mówiąc o tym, że zasady utylizacji tego typu produktów są ściśle określone w przepisach o ochronie środowiska naturalnego. To, rzecz jasna, otwiera kolejne możliwości działania dla firm z branży IT. Proces niszczenia danych kończy cykl życia nośnika, ale żeby przeprowadzić go skutecznie, trzeba poznać wiele arkanów tej sztuki.

Istnieje ponad dwadzieścia szczegółowych branżowych regulacji, które zawierają ogólnie sformułowane, ale jednocześnie mocno restrykcyjne wymagania dotyczące np. pozbywania się informacji. Trudno się więc dziwić, że firmy świadczące usługi usuwania danych bądź niszczenia ich nośników dostosowują się do powszechnie znanych norm i standardów, m.in. norm ISO – 27001, 17799 oraz 27040. Uwzględniane są też standardy NATO-wskie.

Dużego znaczenia nabierają w tej sytuacji wewnętrzne, firmowe instrukcje i procedury niszczenia danych. Powinny zawierać ściśle określone zasady definiowania kategorii niszczonych nośników, jak również wskazywać metody skutecznego usuwania danych i przeznaczone do tego urządzenia.

W polskim prawie także jest wiele regulacji, które nakazują niszczenie określonych dokumentów lub informacji, również w formie elektronicznej, gdy nie są już potrzebne do prowadzenia działalności firmy lub instytucji, skończyła się zgoda na przetwarzanie danych, minął ustawowy okres ich obowiązkowego przechowywania lub podlegają ustawowej ochronie. Przepisy te nie precyzują jednak, w jaki sposób należy dokonać usunięcia cyfrowych danych lub zniszczenia ich nośników.

Generalnie chodzi o to, aby pozbycie się danych było skuteczne i uniemożliwiało ich odtworzenie bądź odzyskanie. Wybór metody pozostaje w gestii ich administratora lub właściciela, inaczej niż w przypadku przepisów dotyczących dokumentacji papierowej, które określają nawet dopuszczalną wielkość skrawka rozdrobnionego papieru.

Obowiązująca ustawa o ochronie danych osobowych nakazuje nieodwracalne kasowanie danych z urządzeń i nośników elektronicznych, które są przeznaczone do likwidacji, zostaną przekazane użytkownikowi nieuprawnionemu do przetwarzania informacji, a także są oddawane do naprawy. Podobne wymagania dotyczące sposobów niszczenia danych zawarte są w wielu innych polskich przepisach (patrz ramka na stronie obok). Każdy z nich wskazuje rodzaj danych, których usunięcie ma nastąpić w sposób uniemożliwiający ich odtworzenie.

Logicznie czy fizycznie?

Czy dostępne dzisiaj na rynku metody i technologie usuwania oraz niszczenia danych gwarantują rezultaty oczekiwane przez ustawodawców? Zdania na temat skuteczności i zakresu efektywnego wykorzystania poszczególnych sposobów utylizacji danych są podzielone. Zawsze istnieje ryzyko, że dzięki umiejętnemu wykorzystaniu najnowszej wiedzy i zastosowaniu nowoczesnych narzędzi uda się komuś odtworzyć zapisane dane. Oczywiście, zasadne w takiej sytuacji jest zawsze pytanie o stosunek wysokości poniesionych nakładów i środków do wartości uzyskanych rezultatów.

Jedną z metod usuwania zawartości dysków jest metoda programowa. Polega ona na wielokrotnym (w niektórych przypadkach nawet 35-krotnym) nadpisywaniu plików na nośniku przypadkowymi wartościami, losowo wygenerowanymi ciągami liczbowymi. Po zastosowaniu tej metody nośnik nadaje się do dalszego użytkowania. Stąd też jest ona często używana przez firmy, które przekazują swój sprzęt komputerowy innym użytkownikom.

Do stosowania metody programowej potrzebne jest oczywiście specjalne oprogramowanie. Poszczególne jego rodzaje bazują na różnych algorytmach sterujących nadpisywaniem danych. Do najczęściej stosowanych algorytmów należą: amerykański US DoD 5220.22-M, niemiecki VSITR oraz algorytm Gutmanna. W użyciu są także amerykańskie algorytmy NAVSO P-5239–26 RLL i MFM oraz rosyjski GOST P50739–95. Przy stosowaniu omawianej metody trzeba jednak uzbroić się w cierpliwość. Trzykrotne nadpisywanie dysku o dużej pojemności może zająć cały dzień.

Można też niszczyć dane metodą magnetyczną (degaussing). Polega ona na wykorzystaniu urządzenia, które wytwarza pole niszczące strukturę nośnika. Wykorzystywane impulsy elektromagnetyczne muszą być odpowiednio silne, aby spowodować rzeczywiste zniszczenie danych. Im bardziej pojemny nośnik, tym generalnie powinny być mocniejsze. Demagnetyzery wytwarzają pole magnetycznego o różnym natężeniu, więc nie każdy może być użyty do niszczenia danych na nośniku każdego rodzaju. Niektóre z nich, zwłaszcza te gorszej jakości, ulegają też zużyciu, co może skutkowaćsłabnięciem wytwarzanego przez nie pola magnetycznego.

Zniszczenia danych można dokonać nie tylko poprzez ich usunięcie z nośnika, lecz także poprzez jego fizyczne zniszczenie. Stosowanych jest kilka metod utylizacji sprzętu, czyli:

– termiczna – spalenie w temperaturze powyżej tysiąca stopni Celsjusza (osiągalna np. w piecu hutniczym),

– radioaktywna – oddziaływanie promieniowaniem jonizującym,

– pirotechniczna – przez zastosowanie ładunków wybuchowych

– chemiczna – użycie odczynnika chemicznego zmieniającego strukturę nośnika danych (na przykład rozpuszczenie w odpowiednio spreparowanej cieczy),

– mechaniczna – nośniki są zgniatane, sprasowywane, mielone, cięte na kawałki, rozdrabniane lub przewiercane.

Ryzyko związane z fizycznym niszczeniem nośników wynika z możliwości niedokładnego wykonania całego procesu lub błędu na jednym z etapów. W wyniku tych działań nadal pozostają fragmenty nośników, z których można odczytać dane. Świadczą o tym chociażby przykłady skutecznego odzyskania danych z dysków zniszczonych po ataku na World Trade Center w 2001 r. lub z promu kosmicznego Columbia po jego katastrofie w 2003 r.

Procedury zwiększają wiarygodność

Resellerzy i integratorzy, którzy chcieliby świadczyć usługi usuwania danych bądź niszczenia nośników, muszą więc bardzo starannie się do tego przygotować. Podstawą jest, oczywiście, zaopatrzenie się w odpowiedniej jakości sprzęt i oprogramowanie. Narzędzia, którymi będzie się posługiwać usługodawca, muszą być adekwatne do zadań, których będzie chciał się podjąć. Parametry wykorzystywanych urządzeń to będą pierwsze informacje, o które poprosi potencjalny klient. Trzeba będzie go przekonać, że zapewniają maksymalną w danej sytuacji skuteczność działania.

Sam sprzęt lub specjalistyczne oprogramowanie jednak nie wystarczą. Duże znaczenie mają również procedury i zasady postępowania stosowane w procesie niszczenia plików. To właśnie one mogą niejednokrotnie przekonać klienta do skorzystania z usług. Ważne są jasno określone zasady dostępu do danych zarówno przez pracowników usługodawcy, jak i przedstawicieli zleceniodawcy. Odpowiednie wymogi musi spełniać również miejsce niszczenia danych – bez względu na to, czy proces ten jest przeprowadzany w siedzibie klienta, w firmie świadczącej usługę czy w mobilnym punkcie niszczenia. Ważne jest także zapewnienie bezpiecznego odbioru i transportu nośników.

Firma świadcząca usługi niszczenia danych musi zatrudniać odpowiednio przeszkolonych pracowników. Wiarygodności jej działaniom dodają też posiadane certyfikaty zgodności z określonymi normami czy standardami działania w tym zakresie. W niektórych sytuacjach wymagane mogą być także poświadczenia wymogów dostępu do informacji niejawnych. Należy także być przygotowanym na wydawanie, po każdorazowym zniszczeniu nośnika, certyfikatu skasowania danych, który jest zazwyczaj warunkiem podpisania umowy z klientem.

Artykuł Zabezpieczanie nośników: wygrają wiarygodni partnerzy pochodzi z serwisu CRN.