Bezpieczne usuwanie danych jako skuteczna praktyka ochrony

Utrata poufnych informacji i pozyskanie ich przez osoby niepowołane może być przyczyną olbrzymich start finansowych oraz konsekwencji prawnych. Świadomość użytkowników sprzętu komputerowego w tym zakresie jest w naszym kraju jeszcze niewielka. Zbyt dużo osób nie zdaje sobie sprawy, że dane usunięte z dysków twardych mogą zostać w łatwy sposób odczytane, nawet jeśli dyski te zostały wcześniej sformatowane. Znane są przecież przypadki, w których dane klientów bankowych przechowywane na dyskach twardych zostały sprzedane na aukcjach internetowych bądź znalezione po prostu na śmietniku.

W jaki sposób chronić dane?

Fizyczne zabezpieczenia to tylko jeden z elementów układanki. Dla zapewnienia całościowego bezpieczeństwa danych potrzeba także skutecznych i sprawdzonych narzędzi do ich całkowitego usuwania.

Świadomość ryzyka wycieku danych i konsekwencji związanych z takimi zdarzeniami jest w Polsce bardzo słaba, ale na szczęście z każdym rokiem widoczna jest zdecydowana poprawa. Częściowo narzucają to obowiązujące przepisy, zwłaszcza Ustawa o Ochronie Danych Osobowych. Wzrost zainteresowania rozwiązaniami zabezpieczającymi dane przed wyciekiem dotyczy praktycznie każdego sektora, choć najbardziej widoczny jest w środowisku korporacji i przedsiębiorstw. Wynika to ze świadomości, jaką wartość mają posiadane przez nich informacje i jak duże straty można ponieść w wyniku nieprawidłowego zabezpieczenia danych. Są to na przykład dane osobowe, informacje handlowe, kontrakty, technologia produkcyjna oraz wiedza know-how. W czasach wzmożonej walki konkurencyjnej ma to szczególne znaczenie. Utrata danych wiąże się przede wszystkim ze stratami finansowymi, ale również z odpowiedzialnością karną w przypadku utraty danych osobowych.

W zależności od branży, zagadnienie bezpieczeństwa danych ma różny wydźwięk:

- dla firm dystrybucyjno-handlowych istotnymi danymi są umowy kupieckie i warunki handlowe oraz dane klientów,

- dla ośrodków badawczo-rozwojowych ważne dane to wyniki badań, projekty, zaawansowana technologia, odkrycia i wynalazki,

- dla firm produkcyjnych ważne dane to know-how, technologia produkcji,

- dla banków danymi istotnymi są dane osobowe klientów, numery kont, numery kart kredytowych,

- dla instytucji państwowych, służby zdrowia, najważniejsze dane to dane osobowe.

Polska jest krajem, w którym rozwój informatyczno-technologiczny jest słabszy niż w wielu krajach Europy Zachodniej i prawdopodobnie z tego powodu nasza świadomość zagrożeń jest niższa. Trudno mówić np. o kulturze kasowania danych, jeśli większość użytkowników ma poczucie, że formatowanie dysku twardego czy też usuwanie plików poprzez przeniesienie ich do systemowego kosza powoduje rzeczywiste usunięcie danych. Tak nie jest! W powyższy sposób usuwane są jedynie ścieżki dostępu do plików, a pliki wciąż pozostają na naszym dysku! Korzystając z darmowych programów dostępnych w sieci można bardzo szybko do nich dotrzeć. O kulturze kasowania danych można mówić, gdy wykorzystywane są odpowiednie algorytmy kasujące, uniemożliwiające odzyskanie usuniętych informacji. Na szczęście, wraz ze wzrostem informatyzacji i komputeryzacji świadomość wagi posiadanych informacji wzrasta, a to bezpośrednio wpływa na ich zabezpieczenie przed utratą.

Czynnikami, które najczęściej motywują organizacje do poprawy zabezpieczenia swoich danych, to nagłośnione w mediach wycieki oraz przepisy. Nadal zdarzają się sytuacje, w których firma decyduje się na wdrożenie rozwiązań do bezpiecznego usuwania danych dopiero po wycieku danych wrażliwych, a zatem już „po fakcie”. Firmy niejednokrotnie tracą miliony na pokrycie kosztów związanych z konsekwencjami takiego wycieku.

Jednym z najbardziej znanych przypadków, kiedy niewłaściwe usunięcie danych skutkowało wymierną stratą finansową, było oddanie do utylizacji serwerowych dysków twardych firmie zewnętrznej przez Royal Bank of Scotland. Jeden z dysków został wystawiony w serwisie aukcyjnym i sprzedany za 25 funtów. Bank musiał przeznaczyć około 60 mln funtów na pokrycie wszystkich strat. Aby uświadomić bliskość tego zdarzenia z naszymi polskimi realiami, dodam, że audytem i wdrożeniem procedur bezpieczeństwa po tym zdarzeniu zajmowała się polska firma z Warszawy.

Na szczęście informacje przedostające się do mediów skłaniają do myślenia osoby odpowiedzialne za bezpieczeństwo informacji i stawiają sobie one pytanie:

„Co będzie, kiedy to my stracimy newralgiczne dane, i ile nas to będzie kosztowało?”

W efekcie firma wdraża w swoją strukturę odpowiednie rozwiązania.

...
Czytaj dalej artykuł w numerze 2/2012 DLP Expert, który jest dostępny bezpłatnie do pobrania tutaj.

Źródło: Redakcja