Bezpieczne i nieodwracalne usuwanie danych

Dyski twarde, nośniki typu flash etc. to kopalnia wiedzy na temat funkcjonowania przedsiębiorstwa. To często poufne dane finansowe i księgowe, raporty sprzedaży, bazy klientów i pracowników, informacje o rynku i produktach, a także dane osobowe. W przypadku administracji publicznej skala istotności i wrażliwości owych informacji rośnie jeszcze bardziej. O ile przedsiębiorcy bardzo często skupiają się na prawidłowym, zgodnym z prawem pozyskaniem danych (w tym danych osobowych), o tyle nie każdy zdaje sobie sprawę, że usuwanie danych również jest regulowane przepisami prawa.

Kwestie dotyczące niszczenia danych znajdziemy w wielu aktach rangi ustawowej i wykonawczej. Między innymi mówią o nich:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,

  • Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych,

  • Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r.,

  • Rozporządzenie Prezesa Rady Ministrów z dnia 7 października 2002 r.,

  • Rozporządzenie Prezesa Rady Ministrów z dnia 27 września 2006 r.,

  • Rozporządzenie Prezesa Rady Ministrów z dnia 7 września 2006 r.,

  • Zarządzenie nr 15 Ministra Finansów z dnia 10 lipca 2006 r.,

  • Rozporządzenie Ministra Finansów z dnia 21.03.2012 r.,

  • Rozporządzenie Ministra Obrony Narodowej z dnia 29 września 2006 r.,

  • Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 28.11.2007 r.,

  • Rozporządzenie Ministra Sprawiedliwości z dnia 23 czerwca 2010 r.,

  • Rozporządzenie Ministra Sprawiedliwości z dnia 16 maja 2012 r.,

  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 7 czerwca 2011 r.,

  • Rozporządzenie Ministra Spraw Wewnętrznych I Administracji z dnia 10 czerwca 2011 r.,

  • Rozporządzenie Ministra Spraw Wewnętrznych z dnia 31 grudnia 2012 r.,

  • Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach,

  • Ustawa z dnia 9 stycznia 1997 r. – Kodeks Celny,

  • Rozporządzenie Ministra Spraw Wewnętrznych I Administracji z dnia 25 sierpnia 2011 r.,

  • Ustawa z dnia 31 stycznia 1989 r. – Prawo Bankowe,

  • Wewnętrzne akty normatywne,

  • Normy ogólne z uwzględnieniem tych, które zobowiązują do zachowania tajemnicy służbowej oraz ochrony dóbr osobistych.

Więcej informacji: https://www.niszczenie.pl/przepisy-prawne.

Należy pamiętać o tym, że w przypadku Ustawy o Ochronie Danych Osobowych usuwanie danych jest taką samą czynnością jak np. ich gromadzenie, przechowywanie czy archiwizowanie (jest częścią szerszego pojęcia „przetwarzania danych”, do którego korelują obowiązki administratora danych osobowych).

Cechą wspólną wszystkich powyższych przepisów jest ich swoista ogólność, pozostawiająca przedsiębiorcom i instytucjom pewną swobodę decyzyjną w zakresie doboru metod i sposobów realizacji wymogów prawa, ale zastrzegająca, że musi być to metoda gwarantująca skuteczność usunięcia zapisanych na nich informacji.

W zakresie danych osobowych (a w większości dane przechowywane na nośnikach mają taki charakter) – doprecyzowania należy szukać w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W punkcie VI ww. rozporządzenia wskazano, że

Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie

Nie znajdziemy jednak dokładnej odpowiedzi, co się pod tym pojęciem konkretnie kryje.

Ponieważ większość aktualnie stosowanych metod, w tym nadpisywanie cyfrowe, wiórkowanie mechaniczne, degaussing itp., nie uniemożliwia odczytania danych, a tylko mniej lub bardziej utrudnia i/lub podwyższa koszty ich odczytania, to nie może spełnić powyższego wymogu. Ustawa o ochronie danych osobowych określa kary - nawet pozbawienia wolności - dla osób, które umożliwiły (nawet nieumyślnie) dostęp do danych osobowych, więc osoby, które nie niszczą skutecznie danych, narażają się na odpowiedzialność karną. Poniżej znajduje się krótki opis najpopularniejszych metod niszczenia danych, wraz z ich zaletami i wadami.

Programowe metody niszczenia danych

Metody programowe polegają na usuwaniu danych przy użyciu formatowania lub specjalistycznych programów, zwykle poprzez wielokrotne (nawet 35-krotne) nadpisywanie danych, co ma zapewnić niemożliwość ich odtworzenia. Cechą wspólną tych metod jest to, że dysk po procedurze niszczenia danych nadaje się do dalszego użytkowania.

Formatowanie dysku to najmniej skuteczny sposób niszczenia danych, ponieważ prowadzi wyłącznie do niewielkiej zmiany pewnego fragmentu struktury danych zapisanych na dysku, co sprawia, że większość informacji pozostawiona jest w stanie nienaruszonym. Oznacza to możliwość odtworzenia skasowanych w ten sposób danych przy użyciu dostępnych na rynku, czasem nawet darmowych, programów - nie wspominając nawet o możliwościach firm specjalizujących się w odzyskiwaniu danych.

Nieco bardziej skuteczne jest specjalistyczne oprogramowanie, które wielokrotnie (nawet 35-krotnie) nadpisuje sektory nośnika poprzez mniej lub bardziej losowo wygenerowane ciągi liczbowe (według odpowiednich algorytmów), które mają gwarantować niemożliwość odtworzenia niszczonych danych, np. US DOD 5220.22-M. Gutmann, German Vsitr.

Warto jednak pamiętać, że oprogramowanie to jest podatne na błędy, ataki wirusów komputerowych oraz potencjalne celowe „tylne furtki” obecne w oprogramowaniu. Eksperci są zgodni, że nawet jeśli zadziała ono właściwie, to wcale nie oznacza to, że danych nie można odzyskać.

„Sam Gutmann przyznaje, że trwałe usunięcie danych wyłącznie za pomocą nadpisywania jest niemożliwe - i to niezależnie od tego, ile razy się tę operację wykona”.

Źródło: Jarosław Chrostowski, „Wiedza i życie”, marzec 2006

Peter Gutmann - autor jednej z najbezpieczniejszych (jak się uważa) programowych metod usuwania danych.

Podobnego zdania jest mł. insp. Janusz Skosolas, szef Laboratorium Kryminalistycznego Policji w Gdańsku, który w styczniu 2013 r. stwierdził:

„(…) jeśli dysk nie został fizycznie zniszczony, rozbity na kawałki, to my wyciągniemy wszystko od początku jego istnienia”

Żródło: http://trojmiasto.gazeta.pl/trojmiasto/1,35636,13140671,Skora_z_ palca_nieboszczyka__czyli_jak_w_Gdansku_rozwiazuje.html

Dlaczego tak jest?

Jeden bajt danych jest zapisywany na powierzchni wielkości około 2-3 nanometrów (milionowych części milimetra!). Talerz dysku twardego wiruje z prędkością nawet 15 000 obrotów na minutę. Jaka jest szansa, że za każdym razem głowica nadpisująca dane idealnie trafi na tak wirującym dysku w obszar o wielkości 2-3 nanometrów? Jeżeli trafi, lub trafi tylko częściowo – odpowiedni sprzęt może pozwolić na odtworzenie pierwotnej wartości pola magnetycznego na tym fragmencie powierzchni dysku.

Bezpieczne i nieodwracalne usuwanie danych
Bezpieczne i nieodwracalne usuwanie danych

Metody sprzętowe

Metody sprzętowe niszczenia nośników danych polegają na fizycznej ingerencji w strukturę dysku w taki sposób, by utrudnić lub uniemożliwić odtworzenie zapisanych na nich danych, przynajmniej w warunkach domowych. Metody te są z reguły znacznie skuteczniejsze od metod programowych, jednak nie wszystkie dają stuprocentową pewność bezpowrotnego zniszczenia danych. Wszystkie bez wyjątku sprawiają, że nośnik przestaje być zdatny do użytkowania.

Najprostsze z nich, jak dziurawienie, gięcie lub deformacja, możliwe są do wykonania bez specjalistycznego sprzętu, a bardziej profesjonalne polegają na mechanicznym rozdrobnieniu nośników danych lub zdarciu z nich powłoki magnetycznej za pośrednictwem różnego rodzaju urządzeń mielących, ścinających lub prasujących, czyli np. niszczarek sprzętowych, zgniatarek czy rozdrabniarek nośników.

Metody te pozornie wydają się być całkowicie skuteczne. Nie jest to jednak do końca prawda.

„Średnia światowa skuteczność odzyskiwania danych w profesjonalnym laboratorium wynosi obecnie około 80%. Na ten wynik składają się również najcięższe przypadki, w których nośniki celowo zostały fizycznie zniszczone, spalone, roztrzaskane czy zalane. W większości tego typu przypadków dane można odzyskać”

Źródło: IT Professional – listopad 2011

Zgodnie z normą DIN 66399 najwyższy wykorzystywany przez firmy poziom bezpieczeństwa to H-5, stosowany do tajnych informacji o kluczowym znaczeniu z punktu widzenia istnienia osoby, przedsiębiorstwa lub instytucji, np. patenty, dokumentacja konstrukcyjna, dokumenty strategiczne, analizy konkurencji, dokumenty procesowe. Zgodnie z wymaganiami tej normy, aby zachować ten poziom bezpieczeństwa, dyski należy wielokrotnie pociąć i zdeformować, przy czym powierzchnia ścinka to maks. 320 mm2 (czyli być może znacznie więcej niż fragment, z którego odzyskano dane). Oznacza to, że 3,5-calowy talerz jest cięty na zaledwie 18-19 fragmentów, z których każdy wciąż może zawierać nawet... oszałamiające 60,8 GB danych. Trudno więc byłoby spodziewać się, że nie pozostaną na nich żadne spójne dane.

Wykorzystują to specjalistyczne laboratoria, tak jak choćby laboratorium Kroll Ontrack, które niedawno pochwaliło się komercyjnym odzyskaniem danych z „dysku rozczłonkowanego na wiele drobnych elementów”. Skuteczność takiego odzyskiwania co prawda jest jeszcze daleka od średniej skuteczności w innych przypadkach, wynoszącej prawie 80%, ale pierwszy krok został już wykonany.

Inną popularną metodą sprzętową jest tzw. demagnetyzacja, polegająca na wykorzystaniu silnego, impulsowego pola magnetycznego do dezorganizacji ustawienia domen magnetycznych w dyskach twardych, co ma zapobiec odzyskaniu zapisanych na nich danych. Jest to dobra metoda wstępnego niszczenia danych zapisanych na dysku. Bardzo istotne jest, aby wykorzystywany sprzęt był właściwie konserwowany, niezmanipulowany i działał z mocą wyższą niż wytrzymałość najodporniejszego z partii niszczonych dysków. Po zakończeniu demagnetyzacji należy jeszcze zutylizować pozostałości, ponieważ sama struktura dysku nie zostaje naruszona podczas demagnetyzacji, nośnika jedynie nie można uruchomić po zwykłym podłączeniu do komputera.

Jakie metody gwarantują skuteczność?

Aby mieć całkowitą pewność, że danych nie da się odzyskać, należy skorzystać z jednej z dwóch metod, które całkowicie niszczą nawet najdrobniejsze elementy struktury dysków: niszczenia termicznego lub chemicznego.

Metody termiczne polegają na doprowadzeniu nośnika do temperatury topnienia podstawy lub do temperatury powyżej punktu Curie, czyli takiej, powyżej której ferromagnetyk gwałtownie traci swoje właściwości magnetyczne. Jest to osiągalne np. w piecach hutniczych o temperaturze powyżej 1000 stopni Celsjusza. Jest to skuteczna, przy obecnym stanie wiedzy, lecz niemobilna i nieekologiczna metoda niszczenia danych.

Chemiczne metody niszczenia nośników polegają natomiast na potraktowaniu nośnika różnego rodzaju związkami chemicznymi, które działają na niego agresywnie, w celu zmienienia jego struktury, by utrudnić lub uniemożliwić odzyskanie z niego danych. Muszą być to jednak odpowiednie odczynniki użyte w sposób umiejętny. Nie wystarczy zalać dysk kwasem. Byłoby to niebezpieczne, nieekologicznie, a do tego najczęściej nieskuteczne, ponieważ talerze dysków twardych posiadają powłokę ochronną, która na krócej lub dłużej jest w stanie zabezpieczyć talerz przed działaniem wielu środków chemicznych. Potwierdzają to m.in. obserwowane od 2007 roku przypadki odzyskania danych z dysków przypadkowo oblanych chemikaliami.

W obecnej chwili jedyną chemiczną metodą posiadającą pozytywną opinię ekspertów (m.in. z Krajowego Stowarzyszenia Ochrony Informacji Niejawnych, Krajowego Stowarzyszenia Bezpieczeństwa Teleinformatycznego i Ochrony Informacji Niejawnych i Wojskowej Akademii Technicznej) jest technologia LiquiDATA, polegająca na rozpuszczeniu nośnika w ekologicznej cieczy, która nie posiada właściwości magnetycznych.

Proces niszczenia odbywa się w specjalnym samochodzie-laboratorium, nazwanym Mobilnym Centrum Utylizacji Danych, który dociera tam, gdzie zażyczy sobie klient. Dziennie w laboratorium może być zniszczonych nawet kilkaset nośników. Proces niszczenia można śledzić naocznie lub obserwować zdalnie np. na swoim laptopie, dzięki szyfrowanej transmisji obrazu z kamer zamontowanych w MCUD. Na życzenie można również otrzymać nagranie z wykonanej usługi. Dzięki temu można mieć pewność, że niszczone dane nie dostaną się w niepowołane ręce.

W pierwszym etapie niszczenia dysku technologią LiquiDATA dysk twardy jest rozkręcany, a z jego obudowy odzyskiwane są wszystkie elementy nadające się do ponownego wykorzystania. Następnie znajdujące się w nim talerze, na których znajdują się wszelkie dane, poddawane są wstępnej obróbce – wiórkowaniu. Takie rozdrobnienie przyspiesza działanie reakcji chemicznych. Następnie wiórki kierowane są do reaktorów chemicznych, w których każdy fragment nośnika rozpuszcza się w ekologiczną (pomagającą oczyszczać ścieki w oczyszczalniach) ciecz. Zupełność rozpuszczenia można zaobserwować gołym okiem natychmiast po przeprowadzeniu procesu. Powstała w ten sposób ciecz nie posiada właściwości magnetycznych, a zatem nie jest już nośnikiem danych. Oznacza to, że przy obecnym zaawansowaniu techniki nie ma jakiejkolwiek możliwości przywrócenia jego pierwotnej struktury, a tym samym odczytania zapisanych na nim danych. Na bezpieczeństwo wpływa również fakt, że żaden ze niszczonych dysków nie jest nigdy uruchamiany, co zapobiega skopiowaniu z niego danych przez nieuprawnione osoby. Przy obecnym stanie wiedzy gwarantuje to stuprocentową pewność nieodwracalnego zniszczenia nośnika i zawartych na nim danych.

Autorem jest dr Paweł Markowski, Prezes Zarządu BOSSG Data Security Sp. z o.o.

DLP expert magazyn
DLP expert 1/2014

Tekst pochodzi z magazynu DLP expert 1/2014 (8)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja