Niszczenie według nowych wskazówek

opublikowano: 13-11-2012, 00:00

Ochrona danych: Jest nowa norma, która informuje, jak niszczyć dokumentację. Szkoda, że pomija nowoczesne rozwiązania

Dokumentację trzeba niszczyć. Nie tylko dlatego, że taki obowiązek nakładają liczne regulacje dotyczące ochrony danych, a jego niespełnienie grozi karą. Niezniszczone dokumenty to także doskonała pożywka dla konkurencji. Dzisiaj likwidowanie dokumentów jest trudniejsze, bo trzeba zniszczyć nie tylko papier, ale także nośniki cyfrowe.

Pomimo istotnego zagrożenia wielu firmom wciąż daleko do skutecznego niszczenia dokumentacji i danych zawartych na nośnikach. Z badania laboratorium informatyki śledczej Mediarecovery z ub.r. wynika, że 21 proc. w ogóle nie utylizuje danych zawartych na nośnikach cyfrowych, a z tych, które to robią, aż 21 proc. posługuje się amatorskimi sposobami — czyli młotkiem albo wiertarką. A to mało skuteczny sposób.

— Firma Kroll Ontrack notuje rocznie ok. 50 tys. utraconych danych, które są odzyskiwane ze średnią skutecznością 91 proc. — mówi Marek Ciecierski, ekspert profesjonalnego Wywiadu Gospodarczego Skarbiec.

Postęp uwzględniony

Firmy, które niszczą dokumenty, muszą sobie same odpowiedzieć na pytanie, co należy zrobić, żeby dane zostały należycie usunięte? Czy wystarczy pocięcie dokumentów papierowych na paski za pomocą standardowej niszczarki? Czy dyskietkalub płyta CD zawierające poufne dane pocięta na 4 części stanowi wystarczające zabezpieczenie? Czy wywiercenie otworu w dysku twardym tożsame jest z bezpiecznym usunięciem danych? Regulacje informują tylko, że należy robić to na tyle skutecznie, żeby danych nie można było odzyskać.

Do tej pory pewną wskazówkę firmom zainteresowanym niszczeniem danych, ale przede wszystkim przedsiębiorstwom dostarczającym takich usług i urządzeń, dawała norma DIN 32757, ustanowiona przez Niemiecki Instytut Normalizacyjny. Określała ona poziomy bezpieczeństwa niszczarek dokumentów, wskazując dozwolone rozmiary generowanych przez nie ścinków. Ale to było kilkanaście lat temu.

— Dlatego nie uwzględnia ona zarówno innych nośników informacji poza papierem, jak również nie reguluje procesów niszczenia dokumentów. Dodatkowo postęp techniczny oraz wymagania rynku sprawiły, że dostępne są już na rynku urządzenia doskonalsze niż opisane w normie DIN 32757 — tłumaczy Marcin Sobaniec, menedżer kategorii produktowej Technikalia Biurowa w HSM Polska.

Choć norma ta odnosiła się do niszczenia dokumentów papierowych, stosowało się ją również przy mechanicznym rozdrabnianiu innych nośników danych.

— Nierozsądne stosowanie tej normy prowadziło do absurdów — np. ścinek papieru o powierzchni 30mm kw. zniszczony w klasie tajności 4 („tajne dane”) zgodnie z tą normą, może zawierać co najwyżej kilka liter, a podobnej wielkości są kości pamięci kart microSD zawierające wielegigabajtów danych — tłumaczy Paweł Markowski, prezes BOSSG Data Security.

Tak więc powstała potrzeba stworzenia nowej normy. Od października istnieje DIN 66399, która uwzględnia postęp technologiczny.

— Tym razem mamy podział na 6 kategorii: papier, błony firmowe, nośniki optyczne (płyty), nośniki magnetyczne (np. dyskietki, karty), dyski i przenośne pamięci. W każdej z kategorii wyróżniono 7 klas tajności. Im wyższa klasa, tym bardziej skuteczne muszą być metody niszczenia — tłumaczy Grzegorz Głodek z Baj Pros Eko.

Nowy odnośnik

Jakie znaczenie dla polskich firm może mieć wprowadzenie nowej niemieckiej normy?

— To znaczący postęp w skutecznym niszczeniu danych poufnych, niejawnych, wrażliwych czy stanowiących tajemnice przedsiębiorstwa, gromadzonych na wszelkich nośnikach danych — zauważa Marek Ciecierski. Zdaniem Marcina Sobańca, w obliczu braku polskich, ale również ogólnoeuropejskich regulacji, można już dzisiaj stwierdzić, że nowa norma będzie stosowana jako powszechnie obowiązująca.

— Dla polskich firm to odpowiedź na pytanie, w jaki sposób niszczyć dane zawarte zarówno na papierze, jak i nośnikach elektronicznych — mówi Marcin Sobaniec. Jego zdaniem, do standardów nowej normy będą musieli się dostosować producenci niszczarek.

Usługodawca powinien legitymować się certyfikatem potwierdzającym zgodność urządzeń do niszczenia danych zgodnie z normą DIN 66399, a wkrótce także certyfikatem potwierdzającym zgodność procesów niszczenia dokumentów i nośników zgodnie z nową normą. W związku z tym firmy świadczące usługi niszczenia dokumentów, zabiegając o otrzymanie tego certyfikatu, będą modernizować park maszyn, aby sprostać wymaganiom zawartym w nowej normie.

— Dla firmy korzystającej z usług niszczenia danych oznaczać to będzie większą pewność i bezpieczeństwo współpracy z usługodawcą. Spodziewam się, że w niedługimczasie przedsiębiorcy od swoich dostawców będą wymagać potwierdzenia, że urządzenia oraz procesy niszczenia ich danych są zgodne z normą DIN 66399 — twierdzi Marcin Sobaniec. Do tej pory usługodawcy sami tworzyli standardy oraz procedury w tym zakresie, żeby uwiarygodniać jakość świadczonych przez siebie usług.

Jednym torem

Ale nowej normie daleko do doskonałości. Paweł Markowski uważa, że nie obowiązujeona na żadnym innym rynku prócz Niemiec, choć oczywiście może stanowić punkt odniesienia dla specjalistów trudniących się niszczeniem danych. Jednak znacznie większym problemem jest fakt, że uwzględniono jedynie mechaniczne sposoby niszczenia dokumentów papierowych i elektronicznych. A przecież są też inne.

Co z nadpisywaniem programowym, które polega na nadpisaniu każdego obszaru dysku nowymi danymi według ustalonego wzorca. Albo z demagnetyzacją polegającą na poddaniu nośnika działaniu silnego impulsu magnetycznego w celu rozmagnesowania warstwy zapisu za pomocą urządzenia zwanego degausserem?

— W opracowywaniu nowej normy brały aktywny udział firmy produkujące niszczarki mechaniczne, dlatego określa ona zniszczenie jedynie za pomocą mechanicznego rozdrabniania. Nie uwzględnia natomiast żadnych innych metod, np. magnetycznych, pirotechnicznych czy chemicznych, nawet jeśli są bardziej skuteczne — twierdzi Paweł Markowski.

Pominięto fakt, że można odzyskiwać dane ze ścinków o bardzo małej powierzchni. Np. najwyższa klasa tajności normy DIN 66399, nr 7, wskazuje, że nośnik powinien zostać rozdrobniony na wiórki o wielkości nieprzekraczającej 5 mm kw. (mniej więcej szerokość sznurówki), a od dawna wiadomo, że można odzyskać dane ze ścinków o powierzchni większej, niż zajmuje pojedynczy blok danych. W 2004 r. było to ok. 0,2 mm kw., a dzisiaj ułamki mm kw.

— Obecnie na ścinku o powierzchni 5 mm kw. może się mieścić nawet 0,95 gigabajtów danych — mówi Paweł Markowski.

Pomimo pewnych wad nowa norma to na pewno dobry przewodnik dla producentów sprzętu niszczącego dane oraz szefów pionu bezpieczeństwa w firmach czy instytucjach odpowiedzialnych za nabycie takich urządzeń. Szkoda, że chodzi tylko o jeden ich rodzaj. Wszelkiego rodzaju inne rozwiązania, które idą z duchem czasu, pozostają przez to w cieniu.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Sylwia Wedziuk

Polecane

Inspiracje Pulsu Biznesu