Przepisy nakazują likwidowanie zapisów danych

Większość firm, zarówno z sektora MŚP jak i największych światowych koncernów, pamięta o tworzeniu kopii zapasowych czy używaniu odpowiedniego oprogramowania do  ochrony danych.

Niestety, wielu przedsiębiorców zapomina o tym, że w komputerach lub urządzeniach mobilnych, z których już nie korzystają i sprzedali je na aukcji bądź oddali pracownikom na własność, wciąż mogą znajdować się kluczowe dane ich firm i – co gorsza – dane ich klientów.

To często może oznaczać przejęcie ich przez konkurentów i utratę dochodów. Co się stanie, jeśli informacje, które dotyczyły tajnych umów bądź zawierały dane osobowe, dostaną się w niepowołane ręce a następnie zostaną upublicznione?

Specjaliści od  ochrony danych przypominają, że kasowanie strategicznych informacji jest dziś niemal tak samo istotne, jak ich zabezpieczenie na wypadek utraty. W niektórych przypadkach zaniedbania związane z kasowaniem danych mają także swoje konsekwencje prawne.

Co na to ustawa

Czy zatem istnieje możliwość znalezienia kluczowych danych firmy, które zaoferuje nam np. handlarz używanymi komputerami?

Taki scenariusz nie jest wykluczony. Wszędzie tam,kod gdzie zarządza się danymi, istnieje taka możliwość. Chodzi przede wszystkim o instytucje zaufania publicznego, takie jak banki, firmy ubezpieczeniowe czy urzędy.

Sytuacja ta dotyczyć może jednak każdej firmy, która posiada dane w wersji cyfrowej, również te dotyczące konkretnych osób. W przypadku danych osobowych obowiązek usuwania istotnych informacji reguluje ustawa o ochronie danych osobowych z 29 sierpnia 1997.

W myśl jej przepisów urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

- likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

- przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie.

Źródłem problemów nie jest wbrew pozorom brak dostępu do zaawansowanych technologii, ale niewiedza dotycząca elementarnych zasad kasowania danych.

Nowe komputery w firmie… co dalej?

W przypadku otrzymania przez pracownika przedsiębiorstwa lub urzędnika nowego komputera, któremu nie towarzyszą procedury zabezpieczenia i kasowania danych, można mieć niemal gwarancję, że nasze dane wyciekną na zewnątrz.

Warto wspomnieć, że w wielu instytucjach dochodzi do wycieku danych jeszcze przed zastąpieniem starych komputerów nowymi urządzeniami.

Według szacunków ekspertów 25 proc. użytkowników komputerów wysyła wewnętrzne wiadomości firmowe na swoje prywatne konto, natomiast 20 proc. z nich przesyła pocztą elektroniczną tajemnice służbowe do znajomych i osób trzecich.

Co dzieje się natomiast z  komputerem, gdy nie jest on już firmie potrzebny? Są dwie możliwości. Przechodzi on w ręce kolegi lub koleżanki lub zostaje sprzedany do komisu, ewentualnie oddany na złomowisko komputerowe.

Zawodne formatowanie

W razie pozbycia się komputera z firmy najczęściej stosowanym sposobem usunięcia danych, niestety nieskutecznym, jest formatowanie.

Po tej operacji wszystkie dane są jednak nadal dostępne nawet dla amatora odzyskiwania danych, który może skorzystać z dobrego i ogólnodostępnego programu odzyskiwania danych typu EasyRecovery.

Dwie skuteczne metody

Ponad 80 proc. informacji przedsiębiorcy przechowują na dyskach twardych. Istnieją dwie metody bezpowrotnego kasowania danych: programowa i sprzętowa. Pierwsza wykorzystuje aplikacje przeznaczone do wielokrotnego nadpisywania danych.

Choć programowe kasowanie danych jest pewną i bezpieczną metodą ich usuwania, w pewnych warunkach wykorzystanie jej jest, niestety, niemożliwe.

Sytuacje takie mogą dotyczyć np. uszkodzonych dysków twardych. O ile uszkodzenie nośnika powoduje niemożność bezpośredniego skorzystania z danych na nim zgromadzonych, o tyle nie można wykluczyć, że osoby nieuprawnione doprowadzą do naprawy nośnika i uzyskają dostęp do danych.

Inna grupa przypadków, kiedy programowe kasowanie danych nie jest metodą gwarantującą absolutne bezpieczeństwo, dotyczy niektórych typów zaawansowanych technologicznie nośników. Dysponując najnowszą techniką laboratoryjną, można uzyskać do nich dostęp, a co za tym idzie również dostęp do zapisanych tam danych.

Do zastosowania innych metod niż programowe kasowanie danych czasami skłaniają również bardziej prozaiczne przyczyny. Jeśli mamy do czynienia z dużą liczbą nośników magnetycznych a jednocześnie czas, którym dysponujemy, jest ograniczony, należy rozważyć metody szybsze od programowego nadpisywania danych.

Silny impuls

Jedną z takich metod jest demagnetyzacja (ang. degaussing) nośników magnetycznych, polegająca na poddaniu nośnika działaniu silnego impulsu magnetycznego, który niszczy bezpowrotnie wszelkie zapisy dokonane w warstwie magnetycznej nośnika.

W przypadku dysków twardych metoda ta pozwala usunąć również dane niezbędne do prawidłowej pracy dysku, co daje gwarancję, że po demagnetyzacji nośnik nie nadaje się do dalszego użytku.

Najnowsze demagnetyzery w niecałe cztery sekundy bezpowrotnie usuwają dane z każdego nośnika, niezależnie od jego pojemności.

Moc działającego urządzenia jest tak duża, że z większości pozostawionych w odległości dwóch metrów od niego urządzeń przypadkowo usunięte mogą zostać wszystkie dane. Dziś demagnetyzery są także do kupienia w firmach zajmujących się kasowaniem danych.

Paweł Odor, główny specjalista Kroll Ontrack, firmy zajmującej się odzyskiwaniem i kasowaniem danych oraz informatyką śledczą

By sprawdzić, jak duża jest skala problemu, ponad dwa lata temu przeprowadziliśmy badanie, którego celem było sprawdzenie, czy użytkownicy komputerów w Polsce świadomi są tego, jak istotne jest właściwe kasowanie ich danych. Badanie przeprowadzone zostało na ponad 100 dyskach twardych nabytych na giełdach komputerowych, w serwisach aukcyjnych i w firmach leasingowych.

Niestety, udowodniło ono, że świadomość Polaków w zakresie kasowania danych jest wciąż bardzo niska. Na 25 firmowych dyskach, które poddano analizie, znajdowało się m.in. 118 klauzul poufności, bazy klientów (18 364 rekordy z dokładnymi danymi osobowymi), trzy strategie marketingowe, 12 budżetów firmowych i 687 różnego rodzaju umów.

Podobnie kształtowały się wyniki badania w przypadku indywidualnych użytkowników komputerów. Na 75 dyskach maszyn, które należały do osób prywatnych, specjaliści odnaleźli m.in. dane dostępowe do systemów płatności elektronicznej i banków elektronicznych, numery kart kredytowych, loginy i hasła dostępowe do popularnych komunikatorów (gadu-gadu, nasza-klasa, goldenline), a także prace licencjackie i magisterskie.

Konsekwencje wejścia w posiadanie takich informacji przez osoby nieuprawnione mogły być niezwykle dotkliwe. Według raportu firmy doradczej PricewaterhouseCoopers straty polskich firm spowodowane sprzeniewierzeniem aktywów, do których należeć może również niekontrolowany wyciek danych, wynoszą średnio 1,4 miliona dolarów.

Fatalne zaniedbania