SECURE Focus: Skuteczne usuwanie danych z nośników magnetycznych – rozmowa z Dyrektorem Zarządzającym DISKUS Polska
29/03/2011
Autor: Jacek Wownysz
Skuteczne usuwanie danych z nośników magnetycznych
Z Tomaszem Filipów, Dyrektorem Zarządzającym w firmie Diskus, odpowiedzialnym za dział degauss, rozmawiamy o tym czy warto i jak skutecznie kasować dane ze zużytych nośników przed ich utylizacją.
Securefocus: Czym zajmuje się firma Diskus i dział degauss?
Tomasz Filipów: Nazwa Diskus pojawiła się na polskim rynku blisko 3 lata temu. Poprzez wejście inwestora strategicznego – firmy Diskus, ósmego co do wielkości dystrybutora w Czechach, z niewielkiego dystrybutora nośników danych staliśmy się częścią międzynarodowego koncernu. Wcześniej skupialiśmy się głównie na sprzedaży nośników danych, systemów składowania i przechowywania nośników oraz ich transportu. Następnie postanowiliśmy poszerzyć profil naszej działalności i stworzyliśmy miedzy innymi dział degauss, oferujący usługi demagnetyzacji, kasowania i utylizacji nośników, dostosowanych do indywidualnych potrzeb każdego klienta. W ciągłej sprzedaży dostępny jest również szeroki wachlarz demagnetyzerów oraz niszczarek nośników danych.
Securefocus: Rozmawiamy o skutecznej utylizacji danych i sprzętu. Jakie jest Pana zdaniem standardowe myślenie w Polsce pod względem potrzeby zachowania standardów bezpieczeństwa firm i organizacji w tym zakresie?
Tomasz Filipów: Można powiedzieć, że myślenie w Polsce jest dwutorowe. Są firmy, które zwracają szczególną uwagę na bezpieczeństwo danych, mają rozbudowane działy bezpieczeństwa, widzą i doceniają potrzebę skutecznego usuwania zbędnych danych. Druga, niestety liczniejsza grupa to te przedsiębiorstwa, które nie zwracają na problem należytej uwagi i dość często dane, wraz z urządzeniem, po prostu wyrzucają na śmietnik. Naturalnie oficjalnie utrzymują, że dane są niszczone, ale przy dokładnej rozmowie okazuje się, że robią to we własnym zakresie. Co zwykle oznacza, że robią to źle, np. tylko formatują dysk przed wyrzuceniem lub odsprzedażą, albo nie robią tego wcale.
Securefocus: Obraz naszego rynku jest zatem dość pesymistyczny. Jednak i tu są zapewne chlubne wyjątki. Jakie sektory są najbardziej świadome potrzeby utrzymania ścisłego bezpieczeństwa danych?
Tomasz Filipów: Prym wiedzie zdecydowanie sektor finansowy, który zwraca silną uwagę na skuteczność niszczenia danych. Czy to we własnym zakresie czy – częściej – w formie outsourcingu, dyski są demagnetyzowane a często jeszcze dodatkowo mielone wraz z potwierdzeniem wykonania tej czynności odpowiednim protokołem odbioru. Dobrze radzą sobie także duże, międzynarodowe korporacje. Znacznie gorzej wypada sektor publiczny a całkiem kiepsko małe firmy, które często w ogóle nie zawracają sobie głowy tym, co się dzieje z dyskami gdy stają się w firmie zbędne. Być może spowodowane jest to niską świadomością tego, co się na dyskach znajduje i jakie mogą być skutki dostania się danych w niepowołane ręce. Firmy te wychodzą z założenia, że ich dane nie są wiele warte bądź wyrzucane dyski zawierają mało istotne informacje. Problemem jest jednak to, że to co dla nas może wydawać się nieistotne, dla przestępców może być bardzo cenne. Poza tym fakt, że jeden dysk nie zawiera istotnych informacji nie oznacza, że jeśli wyrzucimy ich kilka z jednego serwera to nie da się z nich złożyć sensownych plików z cennymi informacjami.
Securefocus: Z tego wynika, że świadome zagrożeń wycieku danych firmy skutecznie niszczą dane przechowywane na dyskach przeznaczonych do utylizacji. Jedną z metod jest wspomniana demagnetyzacja nośników. Na czym dokładnie polega idea tego rozwiązania?
Tomasz Filipów: Demagnetyzacja polega na bezpowrotnym skasowaniu zapisanych informacji za pomocą urządzeń zwanych ¬demagnetyzerami lub degausserami. Nośniki są poddawane działaniu silnego impulsu magnetycznego, który niszczy wszystkie zapisy dokonane w warstwie magnetycznej. Po przeprowadzeniu demagnetyzacji dane zostają bezpowrotnie utracone. Po procesie demagnetyzacji nośniki, takie jak dyski twarde 2,5″/3,5″, kasety LTO, 3592, T10K, nie nadają się do ponownego wykorzystania ze względu na ścieżki servo, które zostają całkowicie wymazane.
Securefocus: Profesjonalne urządzenie do niszczenia dysku, np. demagnetyzer, są zapewne dość drogie. Z drugiej strony warto by dane, przed utylizacją nośnika, usunęli fachowcy. Może więc outsourcing?
Tomasz Filipów: Rynek producentów, klientów i oferowanych urządzeń nie jest duży, w zasadzie policzalny. Niewiele firm może sobie pozwolić na kompleksowe usługi niszczenia danych i sprzętu, ale też nie wszystkie firmy tego potrzebują. Oczywiście tam gdzie bezpieczeństwo danych jest priorytetem, jak we wspomnianym wcześniej sektorze finansowym, nie ma mowy o oszczędzaniu. Te firmy wiedzą, że cena sprzętu – dysków HDD czy taśm – to ułamek wartości znajdujących się na nim danych i mogą pozwolić sobie, jeśli nie na zakup sprzętu do ich niszczenia to co najmniej na jego wypożyczenie lub zlecenie usługi na zewnątrz. Ponadto, każda licząca się na rynku firma oferująca usługi profesjonalnej utylizacji danych nośników oferuje tak naprawdę nie tylko usługę, lecz sprawdzone procedury, certyfikacje ISO, pracownika posiadającego poświadczenie bezpieczeństwa w zakresie informacji niejawnych, a cały proces – od momentu przyjazdu do klienta, poprzez wykonanie usługi i wydanie odpowiednich zaświadczeń – jest opracowany w najmniejszym szczególe. To wszystko gwarantuje skuteczność działań.
Securefocus: A co sądzi Pan o metodzie softwarowej? Dane można przecież wielokrotnie nadpisać by stały się nieczytelne. Czy warto usuwać dane w ten sposób?
Tomasz Filipów: Istnieją dwie skuteczne metody kasowania danych: metoda „miękka”, czyli niszczenie z pomocą software, i „twarda”, tj. niszczenie za pomocą sprzętu. Kiedy której użyć? Zależy to od zapotrzebowania. Techniki programowej używamy zawsze wtedy, gdy chcemy dalej używać dyski i taśmy z danymi. Oczywiście pod warunkiem, że nośnik nie jest uszkodzony. Uszkodzonego fizycznie dysku nie da się bowiem skasować programowo. Poza tym, kasowanie danych poprzez wielokrotne nadpisanie zajmuje dość dużo czasu. Usuniecie danych z dysku 40GB nie będzie być może zbyt uciążliwe, ale już dysk terabajtowy to czas liczony w godzinach. A jeśli weźmiemy pod uwagę całą macierz danych, która ma kilkadziesiąt czy kilkaset slotów, to wykasowanie tak wielkiej ilości danych poprzez wielokrotne nadpisanie to są już dni a nie godziny. Pytanie czy klientowi się to tak naprawdę opłaci. Czas to pieniądz a tak długi przestój na usuwanie danych to wymierne straty finansowe. Może więc lepiej skasować dyski metodą demagnetyzowania, która w tym przypadku zajmie kilkanaście minut? Zdemagnetyzowanego dysku, jak wspominałem wcześniej, podobnie jak zniszczonego poprzez zmielenie w specjalnym urządzeniu, nie można użyć ponownie. Demagnetyzacja jest szybka i skuteczna, a dyski są niszczone fizycznie, poprzez mielenie, na specjalne życzenie klienta.
Securefocus: Polski rynek znany jest z „drugiego życia” wielu urządzeń. Czy w przypadku HDD jest to prawdą?
Tomasz Filipów: Jak najbardziej. Dlatego firmy muszą zwracać baczną uwagę na to, komu dane powierzają i co się z nimi później dzieje. Zdarzają się sytuacje, że dyski twarde, których ilość, ze względu na szybką informatyzację naszego kraju, rośnie w gigantycznym tempie, są wyrzucane jako złom metalowy i znajdowane w różnych niewiadomych miejscach, i to – co ciekawe – na całym świecie. Firmy recyklingowe, które odkupują zużyte dyski, płacą za ich wagę. Często nie chcą odkupywać dysków zniszczonych (np. zmielonych) ze względu na powtarzające się oszustwa. Zgodnie z zasadą „Polak potrafi” zdarza się dosypywanie do ścinków piasku celem podwyższenia wagi a przecież za zużyty sprzęt nie płaci się wielkich pieniędzy. Zmusza to firmy recyclingowe do ustalania pewnych obostrzeń a klientów do oddawania nienaruszonych urządzeń. Widać więc, że wcześniejsza demagnetyzacja czy skasowanie programowe jest tu jedynym możliwym rozwiązaniem. Jest to o tyle ważne, że jeśli urządzenia okażą się sprawne to zostają zwykle odsprzedane dalej, za niewielkie kwoty, a więc ktoś może mieć do nich dostęp i odzyskiwać dane.
Securefocus: Czy firmy powinny obawiać się powierzając swoje dane zewnętrznemu podmiotowi?
Tomasz Filipów: Nie, jeśli zlecają usługę usunięcia danych podmiotowi, który wykona to w sposób profesjonalny. Ważne jest to by wybierać firmę, która jest rzetelna, długo istnieje na rynku, może się pochwalić certyfikatami oraz posiada ubezpieczenie. Istotne jest także to by mogła się wykazać referencjami klientów. Należy uważać na firmy małe, działające bardzo krótko, które w każdym momencie mogą się pojawić się i zniknąć i od których ciężko jest uzyskać odszkodowanie w przypadku gdy cokolwiek pójdzie nie tak jak powinno.
Securefocus: Jakie przepisy prawne regulują utylizację danych i działalność firm takich jak Diskus?
Tomasz Filipów: Każda firma i instytucja publiczna jest prawnie zobligowana do bezpowrotnego kasowania danych z urządzeń i nośników elektronicznych, które przeznaczone są do likwidacji, przekazania albo naprawy. Reguluje to na przykład ustawa o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 r. Sposób postępowania z danymi szczegółowo określono w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
Securefocus: Co doradził by Pan małej firmie a co dużej korporacji?
Tomasz Filipów: W pierwszym i drugim przypadku najrozsądniejszy jest outsourcing, dobierając wedle jasnych kryteriów firmę, która ma usługę wykonać. To czy dysków jest sto czy tysiąc nie ma znaczenia, ważne są procedury i bezpieczeństwo. W sporadycznych przypadkach, przy małej ilości danych, można je niszczyć programowo. W bardzo dużej korporacji można pomyśleć o zakupie urządzenia do trwałego niszczenia danych, lecz wydaje się wygodniejsze by usługę wykonała zewnętrzna firma. Dochodzi przecież do tego konieczność utylizacji pozostałości i tym podobnych zdarzeń, gdzie lepsze, szybsze i wygodniejsze okaże się skorzystanie z usług zewnętrznej firmy. Jeden uzasadniony przypadek to posiadanie przez klienta dużych macierzy, gdzie dyski kosztują tysiące dolarów, a uszkodzone należy dostarczyć do producenta celem ich wymiany w ramach reklamacji. Oczywiście danych nie chcemy powierzać producentowi a więc w tym wypadku, po kilku takich zdarzeniach, koszt zakupu demagnetyzera może się zwrócić.
Rozmawiał Jacek Wownysz