Kasowanie a trwałe usuwanie danych – w czym tkwi różnica
Ciągle według powszechnej opinii przeniesienie danych do kosza i opróżnienie go jest równoznaczne z ich usunięciem. Zaawansowani użytkownicy są przekonani, że wykonanie operacji formatowania spowoduje trwałe usunięcie danych. Obie opinie nie są prawdziwe.
Według słownika wyrazów bliskoznawczych, skasowanie i usuwanie to to samo, ale znajomość różnicy jest niezbędna dla każdej osoby i każdej firmy, która rozumie kwestie ochrony danych. Skasowanie po prostu zwalnia miejsce na dysku twardym do ponownego wykorzystania, ale nie oznacza to faktu, że nie da się ich odczytać. Wielu osobom wydaje się, że dane kasuje się przenosząc niepotrzebne pliki do kosza, następnie go opróżniając, niektórzy uważają, że wykonanie operacji formatowania spowoduje trwałe usunięcie danych – ale nie jest to prawda.
Dlaczego usuwać?
– Trwale usunięta zawartość dysków przede wszystkim chroni organizacje przed wyciekiem danych, wykorzystaniem ich przez podmioty konkurencyjne czy hackerów. Trzeba też pamiętać, że w ten sposób firma unika potencjalnych kar finansowych regulatorów, jak chociażby kar związanych z RODO – tłumaczy Przemysław Kucharzewski, VP Sales, Cypher.Dog
Ekspert dodaje też, że wykorzystanie do usuwania danych metod nieinwazyjnych dla sprzętu ma dodatkowe zalety.
– Proces wymiany sprzętu na nowy może być mniej kosztowny, jeśli używany zostanie ponownie wykorzystany. Umożliwia to właśnie programowe trwałe usuwanie danych. Fizyczne niszczenie nośników danych zazwyczaj oznacza wyłącznie koszt w całej operacji – dodaje Przemysław Kucharzewski.
Właściwe usunięcie danych to proces celowego, trwałego i nieodwracalnego usunięcia lub zniszczenia danych przechowywanych na nośniku pamięci w celu uniemożliwienia ich odzyskania. Nie tylko komputery stacjonarne, laptopy i serwery mogą wymagać usuwania danych- także urządzenia mobilne (smartfony i tablety), urządzenia IoT, urządzenia medyczne i systemy informacyjno-rozrywkowe (kioski mutlimedialne) mogą również przechowywać poufne dane. Pamiętać należy o kartach pamięci, pendrive’ach, konsolach do gier czy nawet drukarkach, które też wyposażone są w nośniki pamięci.
Pamiętać należy również o tym, że nierzadko użytkownicy korzystają z funkcji zapamiętywania loginów i haseł do różnego rodzaju usług i serwisów, tak więc przekazanie dysku czy całego urządzenia może spowodować przejęcie naszej tożsamości w wielu miejscach i wyniknąć mogą z tego faktu duże komplikacje – również finansowo-prawne.
Teoria a praktyka
Wydawać mogłoby się, że osoby związane z IT powinny mieć większą świadomość tego, kiedy dane w 100 proc. są bezpowrotnie usuwane. Wynik badania przeprowadzonego przez jednego z czołowych producentów narzędzi do kasowania danych był zaskakujący: 56 proc. pracowników centrum danych uważało, że wystarczy szybkie przeformatowanie, aby trwale usunąć wszystkie dane. Kolejny przykład dotyczył serwisu eBay: co dwudziesty dysk twardy sprzedawany w serwisie, pomimo twierdzenia, że zastosowano odpowiednie metody sanityzacji danych, zawierał poufne informacje umożliwiające identyfikację osoby będącej użytkownikiem sprzętu, z którego pochodził dysk.
Najbardziej zaskakującym przykładem był dysk zakupiony od osoby z „wysokim poziomem poświadczenia bezpieczeństwa przez rząd”. Zawierał on skany paszportów rodzinnych i aktów urodzenia, życiorysów, dokumentów finansowych i dokumentów studenckich oraz powiązanych adresów e-mail.
RODO także ważne
Trwałe usuwanie danych jest wymagane również przez RODO, od 25 maja 2018 roku. Przykładem złamania RODO i konsekwencji wynikających z tego faktu jest opisana poniżej sytuacja z Niemiec. W październiku 2020 r Sąd Okręgowy w Hildesheim orzekł, że odsprzedaż zwróconego laptopa bez niszczenia danych poprzedniego użytkownika stanowi naruszenie przepisów o ochronie danych osobowych. Powód z laptopem kupił notebooka wcześniej od pozwanego. Po procesie regeneracji sprzętu sprzedawca odsprzedał go nowemu klientowi, nie dbając o właściwe „wyczyszczenie” pamięci z danych pozostawionych przez pierwotnego klienta. Nowy nabywca sprzętu znalazł na dysku dane powoda i skontaktował się z nim informując o tym fakcie. Sprawa trafiła do sądu. Wynik? Pozwany musi zapłacić odszkodowanie na podstawie § 82 pkt 1 RODO w wysokości 800 euro, ponieważ w tym przypadku pozwany jest administratorem danych.
Dwie skuteczne metody
Dyski twarde i inne nośniki pamięci mogą być niszczone na kilka sposobów. Do tej pory najpopularniejszymi było przewiercanie, ale nie jest ono w 100 proc. skuteczne. Z metod czysto fizycznych skuteczne jest mielenie nośników na przysłowiowe „wiórki”. Równie efektywne będzie użycie demagnetyzera, który przez odpowiednie pole elektromagnetyczne odpowiedniej mocy usuwa i bezpowrotnie dane zapisane na nośnikach pamięci, a jednocześnie niszczy sam nośnik). Dwa ostatnie sposoby są bardzo skuteczne w przypadku potrzeby pozbycia się zawartości twardego dysku.
Co na to środowisko naturalne
Gospodarka o obiegu zamkniętym (GOZ) (lub gospodarka cyrkularna, ang. circular economy) to regeneracyjny system gospodarczy, w którym minimalizuje się zużycie surowców i wielkość odpadów oraz emisję i utraty energii poprzez tworzenie zamkniętej pętli procesów, w których odpady z jednych procesów są wykorzystywane jako surowce dla innych, co maksymalnie zmniejsza ilość odpadów produkcyjnych. Żyjemy w czasach, w których ochrona środowiska jest jednym z kluczowych zadań cywilizacji. Dlatego również w tym aspekcie powinniśmy stosować wszędzie metody pozwalające na to, aby sprzęt elektroniczny mógł być używany powtórnie. To oznacza, że powinno stosować się metody trwałego usuwania danych nie niszczące nieodwracalnie ich nośnika.
„Programowe” trwałe usuwanie
Na rynku istnieje klika popularnych software’owych rozwiązań usuwania danych, jednym z nich jest polski WIPERAPP, który jest wsparciem gospodarki o obiegu zamkniętym: dzięki trwałemu usuwaniu, ale stosując metody nieniszczące nośnika, sprzęt komputerowy zyskuje „drugie życie” i może ponownie trafić do użytku, po spełnieniu swojej roli w korporacji czy administracji. Dyski twarde nie zawsze muszą być fizycznie przewiercane ani niszczone za pomocą demagnetyzera. Po skasowaniu danych z dysków w sposób programowy i bezpieczny, komputery desktop i notebooki mogą być odsprzedane i stanowić przychód, a nie koszt w procesie utylizacji.
WIPERAPP używa metod programowych zawartych w firmware każdego z dysków twardych. Narzędzie nadpisuje każdy z sektorów osobna różnymi wzorcami danych, a następnie weryfikuje prawidłowość wykonania tej operacji. Po zakończeniu z sukcesem operacji usuwania danych użytkownik otrzymuje certyfikat z nazwą i numerem nośnika, dzięki czemu posada dowód na to, że dane rzeczywiście zostały usunięte w sposób prawidłowy.