Cyfrowa transformacja zwiększa znaczenie danych. Kiedy zaś stają się strategicznym zasobem przedsiębiorstwa, rośnie z kolei znaczenie ich właściwej ochrony. W sytuacji, kiedy analiza odpowiednich informacji może zadecydować o przewadze konkurencyjnej firmy, trzeba zrobić wszystko, aby firmowe zasoby nie dostały się w niepowołane ręce. Temu ma służyć właściwe obchodzenie się z nośnikami danych także po zakończeniu ich „służby”.

Metody archiwizacji i przechowywania dysków oraz usuwania z nich danych, kiedy już się zużyją, są stale udoskonalane. Tam jednak, gdzie w grę wchodzą kwestie bezpieczeństwa, kluczowego znaczenia nabierają także procedury – stałe zasady postępowania. To one pozwalają na minimalizację ryzyka i zapewnienie stałego, kontrolowanego poziomu ochrony.

Mogą również pomóc resellerom i integratorom w kontaktach z klientami. Stanowią bowiem istotny punkt odniesienia w razie podejmowania wiążących decyzji inwestycyjnych. Jeśli zarządzanie cyklem życia nośników danych zostanie potraktowane jak element procesu budowania i obsługi systemów informatycznych w firmie, łatwiej będzie wdrożyć potrzebne rozwiązania bądź zainstalować przydatne narzędzia. Jeszcze lepiej, jeśli zostanie wpisane w całościową, zatwierdzoną przez zarząd politykę bezpieczeństwa.

Warto więc, aby integratorzy wspierali klientów w tworzeniu procedur postępowania z nośnikami danych i znajdującymi się na nich zapisami. Istnienie spisanego zestawu reguł lub instrukcji postępowania przynosi bowiem korzyści obu stronom. Użytkownikom zapewnia osiągnięcie wyższego poziomu bezpieczeństwa, a dostawcom stałość i przewidywalność zamówień. Jeśli w firmie obowiązują standardy archiwizowania i przechowywania nośników danych, osobie odpowiedzialnej za bezpieczeństwo łatwiej jest podejmować decyzje o zakupie właściwych zabezpieczeń. Z kolei sprzedającemu lub świadczącemu usługi łatwiej będzie wybrać i zaproponować adekwatne do ustalonych wymogów rozwiązanie.

Może to dotyczyć np. sejfów do przechowywania dysków i taśm, które nie są jeszcze dzisiaj zbyt powszechnie stosowane, szczególnie w MŚP. Charakteryzują się specjalną konstrukcją, która pozwala na umieszczenie nośników w sposób chroniący je przed fizycznym zniszczeniem. Mają różne klasy odporności ogniowej, gwarantują także określony poziom ochrony przed zalaniem wodą.

Podobna sytuacja ma miejsce w przypadku walizek do transportu kopii zapasowych. Oferowane na rynku pojemniki zapewniają ochronę przed ogniem, wodą, zapyleniem, a nawet przed wstrząsami. Mogą być wyposażone w GPS pozwalający na monitorowanie ich położenia oraz systemy alarmowania w przypadku próby nieuprawnionego otwarcia. Producenci montują też specjalne czujniki w obudowach dysków chroniące nośniki przed dostaniem się do środka niepowołanych osób.

 

Prawo wymaga skuteczności

Klienci nie zawsze dysponują (i nie zawsze muszą dysponować) wiedzą o oferowanych na rynku rozwiązaniach. Jeżeli jednak potrafią określić swoje wymagania, integratorowi łatwiej będzie pomóc im we właściwym wyborze. W zdefiniowaniu potrzeb przydadzą się obowiązujące w firmie procedury i instrukcje.

Ze względu na regularną wymianę sprzętu dużego znaczenia nabierają wewnętrzne, firmowe regulacje dotyczące niszczenia nośników i usuwania z nich danych. Powinny zawierać ściśle określone zasady postępowania obowiązujące w całej firmie, m.in. zdefiniowania kategorii niszczonych nośników i klasy ich ochrony. Muszą być również wskazane miejsca niszczenia danych oraz rodzaj używanych do tego urządzeń bądź oprogramowania.

W opracowywaniu procedur i instrukcji pomogą istniejące normy i standardy. Przykładowo, norma ISO 27001 wymaga, aby w systemie zarządzania bezpieczeństwem informacji były określone i przestrzegane sposoby skutecznej likwidacji danych. Zarządzanie nośnikami pamięci zostało też opisane w kodeksie postępowania dla działów informatyki (Information Technology Infrastructure Library), który zawiera zbiór zaleceń, jak efektywnie oferować usługi informatyczne.

Również wiele obowiązujących w naszym kraju przepisów wymaga skutecznego usuwania danych, żeby ich odzyskanie lub odtworzenie nie było możliwe. Prawo nie precyzuje jednak, w jaki sposób należy tego dokonać. Wybór konkretnej metody zniszczenia nośników lub usuwania danych pozostawiono w gestii administratora lub właściciela danych. Istniejące regulacje, głównie branżowe (np. ustawa o rachunkowości, ordynacja podatkowa, prawo pracy), mówią o tym, jak długo dane mają być przechowywane. Nakazują niszczenie określonych dokumentów lub informacji, również w formie elektronicznej, gdy nie są już potrzebne do prowadzenia działalności, wygasła zgoda na ich przetwarzanie, minął ustawowy okres ich obowiązkowego przechowywania lub podlegają ustawowej ochronie.

Do opracowania zasad postępowania z danymi osobowymi, w tym ich usuwania w przypadku realizacji prawa do bycia zapomnianym, zobowiązuje od maja 2018 r. unijne rozporządzenie o ochronie danych osobowych. Już dzisiaj widać efekty jego wprowadzenia w postaci zwiększonego zainteresowania niszczeniem danych. Firmy zaczęły dokładniej sprawdzać, co się dzieje z danymi na wycofywanych z użycia nośnikach, a szykuje się jeszcze zmiana przepisów branżowych w związku z projektem ustawy o zmianie niektórych ustaw w związku z wejściem w życie RODO.

Dane z odzysku

W polityce bezpieczeństwa należy zawrzeć procedury odzyskiwania danych na wypadek ich utraty. Firmy powinny mieć ustalone zasady postępowania w takich kryzysowych sytuacjach. Rolą świadczących usługi odzyskiwania danych może być wsparcie w opracowaniu skutecznych instrukcji działania. Ułatwią one korzystanie z pomocy wyspecjalizowanych podmiotów. W internecie można znaleźć wiele darmowych narzędzi do odzyskiwania danych. Sprawdzić się one mogą jednak tylko w prostych przypadkach. Zazwyczaj potrzebna jest pomoc fachowca z odpowiednią wiedzą oraz umiejętnościami i dysponującego bardziej zaawansowanymi narzędziami. W dużych firmach dane są z reguły lepiej chronione niż w małych, ale i tam zdarzają się sytuacje wymagające interwencji specjalistów od odzyskiwania danych.

 

Wiarygodny partner w cenie

Z biznesowego punktu widzenia ważne jest stosowanie właściwych procedur i zasad postępowania również przez firmy świadczące usługi niszczenia nośników i usuwania danych. Przestrzegane standardy mogą uwiarygodnić usługodawcę w oczach potencjalnego klienta i przekonać go do zamówienia usługi.

Oczywiście, najważniejsze jest posiadanie przez firmę oferującą usuwanie danych odpowiedniego sprzętu i oprogramowania. Powinny gwarantować należyte wykonanie zadania. Parametry i możliwości techniczne stosowanych urządzeń czy narzędzi programistycznych muszą być przy tym adekwatne do wymagań klienta.

Technika to jednak nie wszystko. Duże znaczenie mają również procedury stosowane w procesie niszczenia danych. Chodzi tu m.in. o zapewnienie bezpiecznego odbioru i transportu nośników. Odpowiednie warunki muszą panować też w miejscu niszczenia danych, bez względu na to, czy odbywa się to w siedzibie klienta, w budynku usługodawcy, czy w specjalnym samochodzie (mobilnym punkcie usuwania danych). W każdym przypadku niezbędne jest określenie zasad dostępu do danych, zarówno ze strony pracowników zleceniodawcy, jak i wykonawcy usługi.

Wiarygodność firmy świadczącej usługi niszczenia danych podnoszą niewątpliwie certyfikaty. W niektórych sytuacjach jej pracownicy będą musieli wykazać się poświadczeniami dopuszczenia do dostępu do informacji niejawnych. Również usługodawca musi mieć prawo do wydawania certyfikatów dotyczących niszczenia danych. Taki dokument to niejednokrotnie warunek podpisania umowy z klientem.

Zdaniem integratora

Ryszard Kołacz, prezes zarządu, Veganet

Obserwujemy ostatnio zwiększone zainteresowanie szyfrowaniem dysków, głównie ze strony dużych firm. Kupują nośniki od razu z wbudowanym mechanizmem szyfrowania albo dokupują osobne narzędzie. Coraz więcej przedsiębiorstw, a w przypadku instytucji publicznych już większość, wymaga też, aby uszkodzony dysk pozostawał u klienta. Nie ma możliwości zabrania go do serwisu czy na wymianę. Musi pozostać u właściciela, a do dalszego użytkowania trzeba dostarczyć inny, nowy nośnik. Większość producentów oferuje już dzisiaj taką możliwość za dodatkową opłatą. Ten sposób ochrony danych przez klientów staje się powoli standardem.

Piotr Skowroński, Presales Director, SimplicITy

Dane to klucz do biznesu. Świadomość wagi zawartości różnych nośników (dysków w macierzy i w stacji roboczej księgowej, pendrive’a w laptopie prezesa, smartfona administratora) stanowi o bezpieczeństwie i efektywności firmy. Zarządzanie nośnikami winniśmy zatem zacząć od zarządzania danymi. W tym celu w każdym przedsiębiorstwie i instytucji należy stosować rozwiązania zapewniające przeskanowanie, indeksację i klasyfikację danych, zarówno strukturalnych, jak i nieustrukturyzowanych. Są produkty ułatwiające wprowadzenie polityki zarządzania informacją – Information Lifecycle Management – której częścią są założenia dotyczące backupu, archiwizacji, zapobiegania wyciekowi danych, szyfrowania oraz usuwania danych. Bezpieczna i efektywna polityka zarządzania nośnikami powinna wynikać ze świadomości wagi firmowych danych.

 

Różnorodność metod

Stosowanie właściwych procedur i standardów jest ważne również z powodu braku jednoznacznych opinii w sprawie skuteczności dostępnych metod niszczenia nośników i usuwania danych. Zdania na temat efektywności poszczególnych sposobów są cały czas podzielone. Do powszechnie stosowanych należy metoda programowa, która polega na wielokrotnym (nawet kilkudziesięciokrotnym) nadpisywaniu utrwalonych na nośniku danych losowo generowanymi ciągami liczb. Po jej zastosowaniu dysk nadaje się do dalszego użytkowania. Chętnie więc wykorzystywana jest przez firmy, które przekazują swój sprzęt komputerowy kolejnym użytkownikom, a także w sytuacji, gdy trzeba użyć wyczyszczony nośnik do innych celów. Poszczególne rodzaje wykorzystywanego do usuwania danych oprogramowania bazują na różnych algorytmach sterujących procesem nadpisywania danych.

Dane można też zniszczyć metodą magnetyczną, za pomocą urządzenia demagnetyzującego (ang. degausser). Wytwarzane przez nie pole magnetyczne niszczy strukturę namagnesowania nośnika. Impulsy elektromagnetyczne muszą mieć odpowiednią siłę, aby spowodować rzeczywiste zniszczenie danych. Generalnie im bardziej pojemny nośnik, tym mocniejsze impulsy trzeba zastosować. W związku z tym, że demagnetyzery wytwarzają różne natężenia pola magnetycznego, nie każdy może być użyty do niszczenia danych na każdym dysku.

Zniszczenia danych można dokonać także przez fizyczne zniszczenie samego nośnika. Istnieje cała gama metod mechanicznych, które pozwalają na: zgniecenie, zmielenie, przecięcie, sprasowanie, rozdrobnienie lub przewiercenie nośnika danych. Do mniej popularnych należą metody: termiczna (spalenie w temperaturze powyżej 1000 st. C), radioaktywna (oddziaływanie promieniowaniem jonizującym), pirotechniczna (zastosowanie ładunków wybuchowych), chemiczna (za pomocą odczynnika chemicznego zmieniającego strukturę nośnika danych). W przypadku stosowania którejś z metod fizycznych potrzebna jest duża dokładność, by nie pozostawić fragmentów nośników w stanie umożliwiającym odczytanie danych.

Tomasz Filipów
dyrektor zarządzający, Diskus

Usuwanie danych z pamięci flash staje się coraz częściej poruszanym tematem. Nośniki te wciąż są stosunkowo drogie, ale zainteresowanie nimi bardzo szybko rośnie, zarówno ze strony użytkowników profesjonalnych, jak i domowych. Perspektywiczny jest szczególnie rynek konsumencki. Telefon komórkowy to dziś więcej niż standard. Nawet jeśli tylko część właścicieli będzie chciała chronić swoje dane, i tak potencjał rozwoju rynku niszczenia danych jest olbrzymi. Duże znaczenie ma uświadamianie użytkownikom, że każdy przechowuje na swoim smartfonie ważne informacje, m.in. hasła do mediów społecznościowych, e-maile, SMS-y, zdjęcia, dane lokalizacyjne itp. Trzeba je więc chronić, choćby przez skuteczne usuwanie z pamięci w telefonach.

 

Informacje zapewnią kontrolę

Ułatwieniem w zarządzaniu cyklem życia nośników będzie z pewnością dostęp do aktualnych informacji o nich: gdzie są przechowywane, jakie dane zawierają, kiedy powinny być poddane utylizacji, w jaki sposób należy je zniszczyć itp. Pomocny bywa w tym specjalny system zarządzania informacją o nośnikach.

Może, na przykład, przypominać o zbliżającym się terminie usunięcia danych, co pozwoli przedsiębiorstwu ustrzec się przed karami za niezgodne z prawem przechowywanie zasobów i pomóc zaoszczędzić czas potrzebny na poszukiwanie nośników czy danych. Uzyskana dzięki wspomnianemu systemowi wiedza ma ogromne znaczenie w sytuacjach awaryjnych, ale też ułatwia codzienne zarządzanie wykorzystaniem dysków i taśm.

Oferowanie takich rozwiązań może być również okazją do dodatkowego zarobku dla resellerów lub integratorów. Wiele systemów storage’owych jest już wyposażonych w takie oprogramowanie. Istnieje też cała paleta osobnych produktów umożliwiających zarządzanie informacją o danych i nośnikach. W interesie dostawców jest pokazywanie korzyści i ułatwień wynikających z ich stosowania. Może więc warto poszerzyć o nie ofertę.

Bogusław Seredyński
Project Manager, WiperApp EP

Dwie rozpowszechnione metody przechowywania danych – elektromagnetyczna (dyski HDD) i półprzewodnikowa (dyski SSD) – wymagają odrębnego podejścia i różnych, bardzo trudnych technik oczyszczania. Na razie  niewiele jest firm, które potrafią sprostać temu zadaniu. Do dzisiaj wyzwaniem i nierozwiązanym problemem jest nieodwracalne, selektywne usuwanie wybranych plików w taki sposób, by nie było konieczne fizyczne zniszczenie nośnika. Na razie nikt sobie z tym nie poradził.