Pułapka w cyfrowych kserokopiarkach
Spore poruszenie wywołują obecnie w USA doniesienia nadawcy telewizyjnego CBS News, według których wiele (profesjonalnych i cyfrowych) urządzeń kopiujących zapisuje na wewnętrznych dyskach twardych kopie materiałów źródłowych, które później da się ponownie odczytać.
Reporterzy CBS zakupili w celach testowych kilka używanych kopiarek i znaleźli na ich dyskach twardych raporty medyczne i policyjne, plany konstrukcyjne, polecenia zapłaty i kopie czeków. W części przypadków, aby odzyskać dane, konieczne było zastosowanie specjalnego oprogramowania do odzyskiwania plików.
Cała sprawa nie jest niczym nowym. Tego typu informacje pojawiają się już od wielu lat - przypomnijmy choćby sprawę odzyskanych rozliczeń podatkowych na dysku twardym sprzedanym za pośrednictwem platformy eBay. Według CBS, firma Sharp zorganizowała w 2008 roku ankietę, której wyniki pokazały, że 60 proc. użytkowników kopiarek nie ma pojęcia o zapisywaniu ich dokumentów na dyskach twardych.
W zasadzie, w celu odzyskania danych nie trzeba wcale wyciągać dysku z kopiarki. Wiele urządzeń dysponuje złączem sieciowym, dzięki któremu dane można obejrzeć lub pobrać za pośrednictwem protokołów telnet, FTP czy HTTP.
Z uwagi na zasady bezpieczeństwa producenci proponują w większości urządzeń możliwość natychmiastowego (Immediate Image Overwrite, IIO) lub późniejszego (On-Demand Image Overwrite, ODIO) usuwania kopii. Niestety, w określonych wypadkach funkcje takie są dostępne tylko za dodatkową opłatą. Ponadto ich niezawodność też jest sprawą względną. Na przykład Xerox pisze w dokumentacji urządzeń, że usuwanie nie zawsze działa w stu procentach, w szczególności przy nieoczekiwanym przerwaniu procesu kopiowania.
Z kolei Samsung w serii produktów MultiXpress stosuje się do wytycznych Common Criteria i trzykrotnie nadpisuje dane na dysku zgodnie ze standardem DoD 5200.28-M. W takim wypadku nawet specjalistyczne programy do odzyskiwania danych niewiele pomogą. Klienci biznesowi wynajmujący lub dzierżawiący na zasadzie leasingu urządzenia powinni domagać się, aby dane były z nich usuwane w sposób pewny i niezawodny.
Opisywany problem dotyczy nie tylko stosowania kopiarek w przedsiębiorstwach; również prywatni użytkownicy korzystający np. z punktów usługowych wykonujących kopie powinni być świadomi, że kopie ich dokumentów mogą w określonych wypadkach zostać zachowane na dysku twardym. Operator takiego punktu powinien móc określić, czy stosowane przez niego urządzenie jest skonfigurowane pod kątem natychmiastowego usuwania kopii. Dokładniej rzecz ujmując, powinien wcześniej zadbać o aktywację takiej funkcji, ponieważ już samo zapisywanie dokumentów z danymi osobowymi bez zgody właściciela stanowi naruszenie prawa o ochronie danych.
