Na gwóźdź i młotek, czyli kasowanie danych po polsku

Nieodwracalne kasowanie danych często bywa mocno zaniedbywanym elementem systemu bezpieczeństwa informacji w firmach i instytucjach. Część decydentów nie zdaje sobie sprawy, że dane zapisane na twardych dyskach mogą zostać odczytane po sprzedaży ich na rynku wtórnym, nawet jeśli zostały sformatowane.

- Historia zna wiele głośnych przypadków wycieku danych, które wydostały się nie poprzez kradzież czy celowe działanie lecz z powodu niefrasobliwości i braku wiedzy osób odpowiedzialnych za bezpieczeństwo - twierdzi Zbigniew Engiel z laboratorium informatyki śledczej Mediarecovery.

Polska rzeczywistość

Aż w 1/5 polskich firm i instytucji w ogóle nie kasuje danych w postaci cyfrowej. 16 proc. specjalistów IT nie wie czy takie procesy mają miejsce w ich macierzystych organizacjach. 63 proc. ankietowanych deklaruje, że kasuje dane cyfrowe, w tej grupie największy odsetek (po 16 proc.) wskazuje zewnętrzną firmę i program do kasowania danych.

- Korzystanie z usług firmy zewnętrznej jest dobrym sposobem rozwiązania problemu, pod warunkiem, że zleceniodawca zadba o właściwą procedurę i upewni się, że jego dane są bezpieczne, a firma wykonująca usługę nie będzie miała do nich dostępu - dodaje Zbigniew Engiel. Jedynie 10 proc. firm i instytucji korzysta z degaussera, co świadczy o dużym potencjale rozwojowym tego segmentu rynku.

Co to jest degausser?

Nazwa urządzenia wzięła się od nazwiska niemieckiego fizyka Karola Gausa. Gausem nazwano jednostki indukcji magnetycznej, w których mierzy się moc degausserów. Dane na nośnikach cyfrowych zapisywane są w postaci ładunków elektromagnetycznych. Działanie degaussera polega na skumulowaniu energii i silnym wyładowaniu wokół kasowanego nośnika. W efekcie twardy dysk traci swoje właściwości magnetyczne, z ferromagnetyka staje się paramagnetykiem, a co za tym idzie wszystkie zapisane na nim dane znikają. Działanie to jest w 100 proc. skuteczne i nikt, nawet w zaawansowanym laboratorium odzyskiwania danych nie będzie potrafił ich odtworzyć.

Wojsko i problem kasowania danych

Użycie degaussera jest zalecane przez amerykański departament obrony jako właściwa metoda kasowania danych z nośników na których zapisano informacje tajne i ściśle tajne. Nie tylko wojsko amerykańskie pochyla się nad tym problemem. Również polska Służba Kontrwywiadu Wojskowego przeprowadziła analizy skuteczności działania degaussera Mediaeraser. Wynikało to między innymi z faktu, iż nie było w Polsce dostępnych urządzeń, których skuteczność byłaby potwierdzona przez polskich specjalistów wojskowych, a co za tym idzie armia, wymiar sprawiedliwości i inne instytucje publiczne były niejako "przyblokowane" w możliwości korzystania z tego typu rozwiązań.

Po wielu miesiącach analiz SKW zakończyła swoje prace i przyznała naszemu urządzeniu swój certyfikat. Potwierdza on nieodwracalność i bezpieczeństwo całego procesu kasowania danych z jego udziałem - mówi Sebastian Małycha, prezes Zarządu Mediarecovery. Obecnie przygotowujemy się do certyfikacji NATO, co pozwoli nam rozpoczęcie sprzedaży w innych państwach Europy Zachodniej i USA - dodaje.

Polskie prawo i kasowanie danych

Przepisy polskiego prawa nie wskazują co prawda konkretnych sposobów kasowania danych jednak nakazują instytucjom państwowym i firmom skuteczne rozwiązania tego problemu. Mowa tutaj o ustawie o ochronie danych osobowych czy rozporządzeniu Ministra MSWiA dotyczącego przetwarzania danych osobowych i warunków technicznych z tym związanych. Od kierownictwa danej firmy zależy wybór rozwiązania umożliwiającego kasowanie danych, na kierownictwie również koncentruje się również odpowiedzialność za ewentualne wycieki danych.

- Skuteczne kasowanie informacji w formie cyfrowej to w dzisiejszych czasach jeden z podstawowych elementów całego systemu bezpieczeństwa informacji. W innych aspektach nie jesteśmy daleko w tyle za Europą Zachodnią czy Stanami Zjednoczonymi. Warto więc wykonać jeszcze wysiłek również w tę stronę po to by domknąć cały system - podsumowuje Zbigniew Engiel.