W 2003 r. świat obiegła historia eksperymentu
przeprowadzonego przez Simsona Garfinkela oraz Abhiego Shelata – studentów
amerykańskiej uczelni MIT. Kupili oni na aukcjach i wyprzedażach 158
używanych dysków twardych, na których znaleźli ponad 5 tys. numerów kart
kredytowych, raporty medyczne, informacje prywatne i korporacyjne oraz
wiele poufnych e-maili oraz (oczywiście…) pornografii. Dotychczasowi
użytkownicy 28 dysków albo nie usunęli z nich żadnych danych, albo zrobili
to tylko częściowo. Większość pozostałych dysków została wprawdzie
sformatowana, ale nie przeszkodziło to studentom MIT w odzyskaniu
zapisanych na nich informacji. Jedynie 12 napędów (co daje 9 proc. ogólnej
ich liczby) zostało poprawnie oczyszczonych, zanim trafiły one na rynek wtórny.

Najbardziej
chyba spektakularny przypadek skutecznego odzyskania danych był związany
z katastrofą promu Columbia, który 1 lutego 2003 r. rozpadł się
podczas wchodzenia w ziemską atmosferę. Wśród szczątków wahadłowca
znaleziono trzy dyski twarde. Wprawdzie talerze w dwóch były znacznie
odkształcone, ale w trzecim, który przymocowany był do dużego metalowego
elementu urządzenia badawczego, talerze przetrwały w stanie niemal
nienaruszonym (przyczynił się do tego fakt, że nie obracały się w momencie
katastrofy). Wystarczyło przełożenie ich do drugiego dysku ze sprawnymi
głowicami oraz elektroniką i odpowiednie skalibrowanie. Cała procedura
trwała tylko dwa dni, a w jej trakcie odzyskano 99 proc. danych
z eksperymentów przeprowadzonych przez astronautów.

Tomasz Filipów

dyrektor zarządzający, Diskus

Obecnie najskuteczniejszą i najszybszą metodą usuwania
danych jest rozmagnesowywanie dysków twardych, oczywiście przy pomocy sprawnego
i regularnie serwisowanego demagnetyzera. Natomiast wyzwanie wciąż
stanowią pamięci flash. Rozmagnesować się ich nie da, a nadpisanie
programowe może być nieskuteczne ze względu na dużą ilość zainstalowanej
pamięci nadmiarowej, do której zawartości specjalista zajmujący się
odzyskiwaniem danych będzie potrafił się dostać. Co więcej, stosowane
w dyskach SSD kości pamięci są na tyle małe, że mogą „przetrwać” proces
niszczenia w przemysłowej niszczarce urządzeń. W przypadku takich
nośników dziś jedyną skuteczną metodą, chociaż dość pracochłonną, jest fizyczne
przewiercanie kości pamięci, układ po układzie.

 
Zamazane dane można odczytać

Ostrzeganie klientów, że zwykłe skasowanie pliku czy
sformatowanie nośnika nie usuwa całkowicie danych, to tylko pierwszy krok dla
resellera. Z reguły konieczna jest pomoc w opracowaniu całego procesu
zarządzania cyklem życia nośników. Procedury powinny uwzględniać różne metody
nieodwracalnego niszczenia danych (dobierane w zależności od rodzaju
nośnika i stopnia poufności danych). Należałoby też wraz z klientem
stworzyć opis całej procedury niszczenia, z uwzględnieniem takich informacji
jak możliwość wywiezienia nośnika do zewnętrznego usługodawcy.

Gdy w grę wchodzi niewielka liczba dysków
przeznaczonych do skasowania i niezawierających tajnych informacji, można
skorzystać z metody programowej. Polega ona na wielokrotnym nadpisaniu struktury
nośnika, więc do jej zastosowania konieczne jest, aby dysk był sprawny.
Kluczową zaletą opisanej metody jest to, że tak oczyszczony napęd może zostać
ponownie użyty. Za wadę należy uznać stosunkowo długi czas operacji.

Tajemnice ukryte w drukarce

W firmach drukarki wielofunkcyjne to kolejne urządzenia
– po komputerach i macierzach dyskowych – na których mogą być
przechowywane poufne informacje, chociażby lista płac. Na wbudowany dysk twardy
(o ile w taki wyposażony jest dany model urządzenia) trafiają
wszystkie dokumenty pochodzące ze skanowania oraz przeznaczone do wydrukowania
i… nie zawsze są stamtąd od razu usuwane.

Nic dziwnego, że
w przeszłości dochodziło do wielu wycieków danych, których źródłem były
właśnie dyski twarde z drukarek. Najczęściej w nieuprawnione ręce
trafiały urządzenia z rynku wtórnego, przeznaczone przez pierwotnego
właściciela do odsprzedaży, ale bez poprawnie usuniętych danych, ale także te
przeznaczone do recyklingu. Warto zwrócić na to uwagę klientów, bo uzyskanie
nieuprawnionego dostępu do dokumentów na dysku może być równie groźne
w skutkach jak podejrzenie poufnych wydruków przez przypadkowego
pracownika firmy lub gościa.

Większość liczących się na rynku producentów urządzeń
wielofunkcyjnych zaimplementowało w nich mechanizm wielokrotnego
nadpisywania plików z dokumentami znajdującymi się na dysku twardym
drukarki. Z reguły odbywa się ono zgodnie z algorytmem DoD 5220.28-M,
co – przynajmniej wizerunkowo – ma oznaczać „gwarantowany przez
amerykański rząd” brak możliwości odzyskania takich dokumentów. Sam proces
nadpisywania może być inicjowany na trzy sposoby: natychmiast po zakończeniu
wydruku, według harmonogramu lub na żądanie, gdy urządzenie ma być przekazane
do serwisu, odsprzedaży bądź utylizacji. Alternatywę dla nadpisywania stanowi
szyfrowanie 128- lub 256-bitowym kluczem AES – dziś praktycznie
niemożliwym do złamania.

Kolejnym sposobem na zapewnienie gwarancji bezpieczeństwa
drukowanych danych jest wyjęcie dysku z urządzenia, zanim opuści ono
firmę. Warto zatem upewnić się, czy pracownik działu IT będzie w stanie
przeprowadzić tę operację samodzielnie czy też konieczne będą odwiedziny
serwisanta.

 

Nadpisywanie danych na dysku odbywa się
z wykorzystaniem specjalnego oprogramowania i według ustalonego
algorytmu (w każdym programie zaimplementowano kilka takich algorytmów).
Podstawowa metoda nadpisywania polega na wypełnieniu całego obszaru dysku
zerami (rzadziej jedynkami) lub wartościami losowymi. Ten sposób skutecznie
zapobiega odzyskaniu danych za pomocą ogólnodostępnych narzędzi do przywracania
plików. Nie gwarantuje jednak, że tak skasowanych plików nie uda się odzyskać
– przynajmniej częściowo – w specjalistycznych laboratoriach.

– Metodzie programowego
nadpisywania danych nie można ufać w stu procentach, bo już wkrótce może
zostać opracowany sposób, który zautomatyzuje i znacznie przyspieszy
proces ich odzyskiwania. Już teraz mówi się o kilku możliwych ścieżkach rozwoju
takiej procedury, więc jej dopracowanie to tylko kwestia czasu –
mówi Sebastian Małycha, prezes zarządu
Mediarecovery.

Wielokrotne nadpisanie,
chociaż nie daje pełnej gwarancji, zostało zatwierdzone przez Amerykański
Departament Obrony (Department of Defense, DoD) jako oficjalna metoda
niszczenia danych. Jego inżynierowie szczegółowo opisali proces kasowania
i opublikowali całość pod nazwą DoD 5220.22-M. W implementacji DoD
5220.22-M/E wymuszone jest nadpisywanie dysku w trakcie trzech przebiegów,
kolejno: dowolnym wzorcem, jego dopełnieniem (odwrotnością) oraz wartością
losową. W przypadku implementacji DoD 5220.22-M/ECE nadpisywanie danych
odbywa się w siedmiu przebiegach: najpierw zgodnie z procedurą dla
oznaczenia E, dalej dowolnym wzorcem (oznaczenie C) oraz ponownie procedurą dla
oznaczenia E.

 

Fizyczna destrukcja

Konkurencyjna wobec
programowej metoda usuwania danych polega na fizycznym niszczeniu nośników,
w tym niesprawnych. Oczywiście można tego dokonać w sposób
„chałupniczy”, z wykorzystaniem młotka i wiertarki. Eksperci
przestrzegają jednak, że to nadal nie daje pełnej gwarancji usunięcia danych,
a jedynie znacznie utrudnia ich odzyskanie (często czyniąc cały proces
nieopłacalnym). Istnieją też specjalne niszczarki do sprzętu elektronicznego,
jednak ich ceny idą w setki tysięcy złotych.

Sebastian Małycha

prezes zarządu Mediarecovery

W Polsce resellerzy rzadko pośredniczą w sprzedaży usług
niszczenia danych świadczonych przez profesjonalne firmy. Znacznie częściej
sami kupują odpowiedni sprzęt i na tym zarabiają. Natomiast szybko rośnie
liczba zapytań ze strony posiadaczy poufnych danych, którzy chcieliby niszczyć
je we własnym zakresie, bez udziału w tym procesie jakichkolwiek osób trzecich.

 

Obecnie najbardziej popularną i rozsądną finansowo
metodą jest demagnetyzacja, która polega na umieszczeniu nośnika (dysku
twardego, dyskietki, taśmy, kasety wideo) w silnym polu magnetycznym
generowanym przez urządzenie zwane demagnetyzerem (ang. degausser).
W przypadku dysków twardych i niektórych taśm magnetycznych
demagnetyzacja uniemożliwia ich powtórne użycie ze względu na usunięcie ścieżki
servo nagranej przez producenta nośnika, a używanej do pozycjonowania
głowicy.

Na rynku dostępnych jest wiele rodzajów demagnetyzerów
– od prostych ręcznych urządzeń przez systemy o średniej wydajności
po najbardziej zaawansowane, zautomatyzowane „linie destrukcyjne”. Ich ceny
zaczynają się od kilku tysięcy złotych, ale godne polecenia modele będą
kosztowały ok. 15–17 tys. zł. Warto też pamiętać, że demagnetyzer
musi być poddawany regularnym przeglądom serwisowym, bo zbyt słaby impuls
magnetyczny nie zapewni pełnego zniszczenia danych. Co ważne, zneutralizowanych
dysków twardych nie można po prostu wyrzucać na śmietnik. Zgodnie z ustawą
z 29 lipca 2005 r. o zużytym sprzęcie elektrycznym
i elektronicznym takie śmieci trzeba oddawać do specjalnych punktów,
a za umieszczanie ich w pojemnikach na śmieci łącznie z innymi
odpadami grozi kara grzywny do 5 tys. zł.

Obok fizycznej metody istnieje jeszcze jedna,
w przypadku której talerze dysku rozpuszczane są w specjalnie
przygotowanym roztworze chemicznym. Jej skuteczność jest bezdyskusyjna, chociaż
sam proces bardzo czasochłonny, bowiem do tej operacji trzeba rozkręcić dysk
i wymontować z niego talerze, co raczej wyklucza jej przemysłowe
zastosowanie.

 

Jak zarobić na niszczeniu?

Potrzeba
nieodwracalnego niszczenia poufnych danych daje resellerom możliwość zarobku na
kilka sposobów. Najprostszym jest odsprzedaż oprogramowania bądź sprzętu
służącego do tego celu. Szczególnie warto zainteresować się demagnetyzerami,
ponieważ coraz więcej firm chce wejść w posiadanie takiego urządzenia, aby
móc niszczyć własne nośniki samodzielnie.

 

Na rynku funkcjonuje kilka firm świadczących usługi
komercyjnego kasowania danych – co ciekawe, najczęściej ich podstawową
działalnością jest odzyskiwanie utraconych plików. Koszt bezpowrotnego
usunięcia informacji jest stosunkowo niski i zależy od liczby nośników do
oczyszczenia oraz miejsca wykonania usługi (standardowo ok. 100 zł za
skasowanie danych w siedzibie usługodawcy). Reseller może zarabiać na
prowizji za skierowanie klienta do takiej firmy albo kupić odpowiedni sprzęt
dla siebie i samodzielnie świadczyć usługę. Warto też zadbać o to,
aby demagnetyzer był w miarę możliwości przenośny, bowiem wielu klientów
woli niszczyć dane we własnej siedzibie, pod nadzorem administratora IT.
Klienci oczekują, że po takiej operacji otrzymają protokół zniszczenia.

Zainteresowanie usługami niszczenia danych w Polsce na
razie nie jest zbyt duże, mimo że przeprowadzenie tego procesu zaleca m.in.
nowa norma ISO 27?040. Najczęściej zamówienia płyną z sektora
publicznego i placówek finansowych (banków oraz ubezpieczycieli).

– Do tej pory stare nośniki odbierały od takich klientów
zwykle firmy zajmujące się niszczeniem papieru, które nie miały odpowiedniego
doświadczenia w zakresie profesjonalnego usuwania danych
– mówi Tomasz
Filipów, dyrektor zarządzający w Diskusie. – Dlatego nadal bardzo ważne
jest budzenie świadomości w tym zakresie.

Resellerzy mogą też liczyć na dodatkowy zarobek z usług
konsultacyjnych, a przede wszystkim wsparcia przy tworzeniu poprawnych
procedur, zgodnie z którymi dyski i inne nośniki będą przekazywane do
zniszczenia. Powinny one wpisywać się w cały cykl życia informacji
w firmie, a także zawierać szczegółowe scenariusze postępowania
z poszczególnymi rodzajami nośników i danych. Ponieważ obecnie niemal
wszystkie poufne informacje od razu wytwarzane są w postaci cyfrowej, ich
skuteczne niszczenie już wkrótce może być bardzo lukratywnym biznesem.
Prawdopodobnie na popularyzację tego procesu wpłynie też coraz bardziej
restrykcyjne prawo.

Regulacje prawne

Nieodwracalne kasowanie danych z urządzeń i nośników elektronicznych
przeznaczonych do likwidacji, przekazania albo naprawy nakazuje ustawa o
ochronie danych osobowych z 29 sierpnia 1997 r. Sposób postępowania z danymi
określono w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakie powinny spełniać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych. Załącznik A.VI
tego dokumentu wyraźnie stwierdza, że:

„(…) urządzenia, dyski lub inne elektroniczne nośniki
informacji, zawierające dane osobowe, przeznaczone do…

…likwidacji – pozbawia się wcześniej zapisu tych danych,

a w przypadku gdy nie jest to możliwe, uszkadza się w sposób
uniemożliwiający ich odczytanie;

…przekazania podmiotowi nieuprawnionemu do przetwarzania danych
– pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich
odzyskanie;

…naprawy – pozbawia się wcześniej zapisu tych danych w
sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby
upoważnionej przez administratora danych”.