Przepisy nakazują likwidowanie zapisów danych

Większość firm, zarówno z sektora MŚP jak i największych światowych koncernów, pamięta o tworzeniu kopii zapasowych czy używaniu odpowiedniego oprogramowania do  ochrony danych.

Niestety, wielu przedsiębiorców zapomina o tym, że w komputerach lub urządzeniach mobilnych, z których już nie korzystają i sprzedali je na aukcji bądź oddali pracownikom na własność, wciąż mogą znajdować się kluczowe dane ich firm i – co gorsza – dane ich klientów.

To często może oznaczać przejęcie ich przez konkurentów i utratę dochodów. Co się stanie, jeśli informacje, które dotyczyły tajnych umów bądź zawierały dane osobowe, dostaną się w niepowołane ręce a następnie zostaną upublicznione?

Specjaliści od  ochrony danych przypominają, że kasowanie strategicznych informacji jest dziś niemal tak samo istotne, jak ich zabezpieczenie na wypadek utraty. W niektórych przypadkach zaniedbania związane z kasowaniem danych mają także swoje konsekwencje prawne.

Co na to ustawa

Czy zatem istnieje możliwość znalezienia kluczowych danych firmy, które zaoferuje nam np. handlarz używanymi komputerami?

Taki scenariusz nie jest wykluczony. Wszędzie tam,kod gdzie zarządza się danymi, istnieje taka możliwość. Chodzi przede wszystkim o instytucje zaufania publicznego, takie jak banki, firmy ubezpieczeniowe czy urzędy.

Sytuacja ta dotyczyć może jednak każdej firmy, która posiada dane w wersji cyfrowej, również te dotyczące konkretnych osób. W przypadku danych osobowych obowiązek usuwania istotnych informacji reguluje ustawa o ochronie danych osobowych z 29 sierpnia 1997.

W myśl jej przepisów urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

- likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

- przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie.

Źródłem problemów nie jest wbrew pozorom brak dostępu do zaawansowanych technologii, ale niewiedza dotycząca elementarnych zasad kasowania danych.

Nowe komputery w firmie… co dalej?

W przypadku otrzymania przez pracownika przedsiębiorstwa lub urzędnika nowego komputera, któremu nie towarzyszą procedury zabezpieczenia i kasowania danych, można mieć niemal gwarancję, że nasze dane wyciekną na zewnątrz.

Warto wspomnieć, że w wielu instytucjach dochodzi do wycieku danych jeszcze przed zastąpieniem starych komputerów nowymi urządzeniami.

Według szacunków ekspertów 25 proc. użytkowników komputerów wysyła wewnętrzne wiadomości firmowe na swoje prywatne konto, natomiast 20 proc. z nich przesyła pocztą elektroniczną tajemnice służbowe do znajomych i osób trzecich.

Co dzieje się natomiast z  komputerem, gdy nie jest on już firmie potrzebny? Są dwie możliwości. Przechodzi on w ręce kolegi lub koleżanki lub zostaje sprzedany do komisu, ewentualnie oddany na złomowisko komputerowe.

Zawodne formatowanie

W razie pozbycia się komputera z firmy najczęściej stosowanym sposobem usunięcia danych, niestety nieskutecznym, jest formatowanie.

Po tej operacji wszystkie dane są jednak nadal dostępne nawet dla amatora odzyskiwania danych, który może skorzystać z dobrego i ogólnodostępnego programu odzyskiwania danych typu EasyRecovery.

Dwie skuteczne metody

Ponad 80 proc. informacji przedsiębiorcy przechowują na dyskach twardych. Istnieją dwie metody bezpowrotnego kasowania danych: programowa i sprzętowa. Pierwsza wykorzystuje aplikacje przeznaczone do wielokrotnego nadpisywania danych.

Choć programowe kasowanie danych jest pewną i bezpieczną metodą ich usuwania, w pewnych warunkach wykorzystanie jej jest, niestety, niemożliwe.

Sytuacje takie mogą dotyczyć np. uszkodzonych dysków twardych. O ile uszkodzenie nośnika powoduje niemożność bezpośredniego skorzystania z danych na nim zgromadzonych, o tyle nie można wykluczyć, że osoby nieuprawnione doprowadzą do naprawy nośnika i uzyskają dostęp do danych.

Inna grupa przypadków, kiedy programowe kasowanie danych nie jest metodą gwarantującą absolutne bezpieczeństwo, dotyczy niektórych typów zaawansowanych technologicznie nośników. Dysponując najnowszą techniką laboratoryjną, można uzyskać do nich dostęp, a co za tym idzie również dostęp do zapisanych tam danych.

Do zastosowania innych metod niż programowe kasowanie danych czasami skłaniają również bardziej prozaiczne przyczyny. Jeśli mamy do czynienia z dużą liczbą nośników magnetycznych a jednocześnie czas, którym dysponujemy, jest ograniczony, należy rozważyć metody szybsze od programowego nadpisywania danych.

Silny impuls

Jedną z takich metod jest demagnetyzacja (ang. degaussing) nośników magnetycznych, polegająca na poddaniu nośnika działaniu silnego impulsu magnetycznego, który niszczy bezpowrotnie wszelkie zapisy dokonane w warstwie magnetycznej nośnika.

W przypadku dysków twardych metoda ta pozwala usunąć również dane niezbędne do prawidłowej pracy dysku, co daje gwarancję, że po demagnetyzacji nośnik nie nadaje się do dalszego użytku.

Najnowsze demagnetyzery w niecałe cztery sekundy bezpowrotnie usuwają dane z każdego nośnika, niezależnie od jego pojemności.

Moc działającego urządzenia jest tak duża, że z większości pozostawionych w odległości dwóch metrów od niego urządzeń przypadkowo usunięte mogą zostać wszystkie dane. Dziś demagnetyzery są także do kupienia w firmach zajmujących się kasowaniem danych.

Paweł Odor, główny specjalista Kroll Ontrack, firmy zajmującej się odzyskiwaniem i kasowaniem danych oraz informatyką śledczą

By sprawdzić, jak duża jest skala problemu, ponad dwa lata temu przeprowadziliśmy badanie, którego celem było sprawdzenie, czy użytkownicy komputerów w Polsce świadomi są tego, jak istotne jest właściwe kasowanie ich danych. Badanie przeprowadzone zostało na ponad 100 dyskach twardych nabytych na giełdach komputerowych, w serwisach aukcyjnych i w firmach leasingowych.

Niestety, udowodniło ono, że świadomość Polaków w zakresie kasowania danych jest wciąż bardzo niska. Na 25 firmowych dyskach, które poddano analizie, znajdowało się m.in. 118 klauzul poufności, bazy klientów (18 364 rekordy z dokładnymi danymi osobowymi), trzy strategie marketingowe, 12 budżetów firmowych i 687 różnego rodzaju umów.

Podobnie kształtowały się wyniki badania w przypadku indywidualnych użytkowników komputerów. Na 75 dyskach maszyn, które należały do osób prywatnych, specjaliści odnaleźli m.in. dane dostępowe do systemów płatności elektronicznej i banków elektronicznych, numery kart kredytowych, loginy i hasła dostępowe do popularnych komunikatorów (gadu-gadu, nasza-klasa, goldenline), a także prace licencjackie i magisterskie.

Konsekwencje wejścia w posiadanie takich informacji przez osoby nieuprawnione mogły być niezwykle dotkliwe. Według raportu firmy doradczej PricewaterhouseCoopers straty polskich firm spowodowane sprzeniewierzeniem aktywów, do których należeć może również niekontrolowany wyciek danych, wynoszą średnio 1,4 miliona dolarów.

Fatalne zaniedbania

Jak wynika z globalnej ankiety kasowania danych przeprowadzonej w 2010 roku przez specjalistów kasowania danych w krajach Ameryki Północnej, Azji i Europy – w tym w Polsce – jedynie połowa firm kasuje kluczowe dokumenty cyfrowe z nieużywanych już przez nie komputerów. Aż 75 proc. z nich nie kasuje natomiast informacji ze swoich urządzeń w sposób bezpieczny.

Jak wskazują specjaliści w corocznym raporcie o magazynowaniu cyfrowych informacji ESI Trends Survey 2010, światowe koncerny borykają się z utratą kluczowych informacji cyfrowych zapisanych na starych urządzeniach średnio raz w roku.

Wyniki globalnej ankiety wskazały także, że 40 proc. firm oddaje swoje stare komputery wraz z zapisanymi na nich danymi innym firmom bądź osobom prywatnym, podczas gdy 22 proc. w ogóle nie wie, co stało się ze sprzętem, który przestali już wykorzystywać.

Ponadto, jak wskazali specjaliści, ponad 60 proc. służbowych komputerów dostępnych na rynku używanego sprzętu IT zawiera dane biznesowe, które są w pełni dostępne i nie zostały poddane nawet najprostszym zabiegom kasowania danych.

Według raportów firm monitorujących nadużycia w biznesie, do których mogą należeć także przypadki wycieku strategicznych danych związanych z ich nieodpowiednim kasowaniem, na przestrzeni lat 2006 – 2009 firmy z dziesięciu największych sektorów gospodarki światowej straciły średnio

8,2 miliona dolarów w wyniku nieuczciwych zachowań pracowników własnych bądź konkurencji. Według międzynarodowego raportu Ponemon Study 2009 zaniedbania związane wyłącznie z brakiem procedur kasowania strategicznych danych mogą natomiast narazić światowe firmy na stratę średnio 6,75 miliona dolarów, w zależności od rodzaju i wagi utraconych informacji.

Według analiz specjalistów dzienne straty poniesione przez średniej wielkości polską firmę, której dane wyciekły, mogą wynieść nawet 0,5 miliona złotych.