Az adatmegsemmisítési módszerek közül nagyon sok hibás, ezért nem igazán semmisíti meg véglegesen az adatokat. Ahhoz, hogy adatainkat biztosan és véglegesen töröljük a tanúsított és minősített adattörlési megoldáshoz kell fordulni.
A világ és a vállalatok adattermelése exponenciálisan növekszik. Ahhoz, hogy valamilyen szinten felfogjuk, hogy mennyi adat képződik a világban, álljon itt ez a statisztika arról, hogy mi minden történik egy perc alatt az interneten.
Szabályzattal kezeljük az adatrengeteget
Például 575 ezer tweet-et küldünk, 66 ezer fotót osztanak meg Instagramon, 174 ezer appot töltenek le az emberek. Ez mind-mind azt jelenti, hogy rengeteg adat keletkezik, amit tárolni, rendszerezni, törölni kellene. Vállalati környezetben mindezt csak úgy lehet, ha az érzékeny adatok védelmére megfelelő szabályzatot, eljárási rendet dolgozunk ki.
A szabályzat elkészítésekor vegyük figyelembe, hogy a rendelkezésre álló adatmegsemmisítési módszerek közül nagyon kevés az, mely ténylegesen és véglegesen töröli az adatokat. Ez pedig nem más, mint a minősített és tanúsított adatmegsemmisítés, amikor az adathordozón lévő adatokat véletlenszerű 0 és 1-essel többször felülírjuk.
Sok a maradék adat
A Blancco és az Ontrack közösen végzett, Privacy for sale kutatásában a vizsgált használt merevlemezek 40 százaléka tartalmazott adatot a korábbi tulajdonosáról. És hogy milyen adatokat nem töröltek megfelelően a hanyag tulajdonosok? A merevlemezeken fellelt adatok között voltak irodai és alkalmazotti emailek, fényképek és egyéb vállalathoz vagy egyénhez kapcsolható fájlok.
Az adathordozók 15 százalékán olyan szenzitív adatok is találtak, melyek lehetővé tették volna az azonosság ellopását. (Az Amerikai Egyesült Államokban személyi igazolvány hiányában a taj szám és a születési adatok azonosítják az egyént.)
Nyilván, minden attól függ, kinek a kezébe kerül a merevlemezeken hagyott, hanyagul törölt adat. A vállalatok elkerülhető reputációs, pénzügyi kockázatot kreálnak nemtörődöm viselkedésükkel. Amivel nincsenek tisztában maguk az adattulajdonosok sem. A kutatásban megvásárolt használt adathordozók tulajdonosai ugyanis váltig ragaszkodtak ahhoz, hogy adataikat megfelelően semmisítették, így nekünk, de neki sem kell aggódniuk.
Ha a felhasználó megpróbálta törölni az adatokat, miért nem sikerült neki?
Azért, mert nem mindegy, milyen módszert választunk. Ha újraformatáljuk a merevlemezt (főként gyorsformázás esetében), töröljük őket vagy a kukába húzzuk, akkor az adat gyakorlatilag NEM SEMMISÜL MEG. Az adat továbbra a merevlemezem marad, csupán a rá mutató indexfájl bejegyzéseket semmisíti meg a rendszer. Így megfelelő szoftveres eszközökkel ezeket a bejegyzéseket újra lehet kreálni, így az adatokhoz is hozzá lehet újra férni.
Sokan bíznak az adatok fizikai megsemmisítésében is, holott a rossz beállítások miatt itt is nagy a tévedés lehetősége. A fizikai megsemmisítéskor egy vágógép szeletekre darabolja az adathordozót. Amikor ezt a műveletet gyorsabban szeretnék elvégezni, akkor a szeletek vastagságát nagyobbra állítják be. A nagyobb szeleteket maradhatnak ép információdarabok, melyeket megfelelő eszközzel le lehet olvasni.
Töröljük adatainkat tanúsítottan
Az adatokat véglegesen és visszaállíthatatlanul lehet törölni, ehhez egy megfelelő szoftverre van szükség. A Data Clear a Blancco megoldását használja arra, hogy a legprofibb iparági szabványok szerint, a törvényi előírásokat szem előtt tartva, többszörös felülírás segítségével véglegesen törölje az adatokat. Bármilyen audit is legyen, erről a folyamatról egy jegyzőkönyv készül, ami tanúsítja a törvénytisztelő magatartást. Az már csak hab a tortán, hogy az adatok törlése automatikusan is elvégezhető, a drága emberi munkaórákat megspórolva.
Négy éve, 2018. május 25-én lépett életbe a General Data Protection Regulation, vagyis leánynevén GDPR. Az évforduló apropóján megnézzük, hogyan kell az adatokat törölni GDPR kompatibilisan.
A GDPR életbe lépése előtt a magyar adatvédelmi törvények és rendelkezések európai szinten is szigorúak voltak. Az Európai Unió Általános Adatvédelmi Rendelete után mindenki számára nyilvánvalóvá vált, hogy az adattörlés folyamatos és állandó feladatokat ad a vállalatoknak.
Miért kell az adatokat törölni?
Röviden azért, mert a törvény ezt előírja.
A GDPR egyik alapeleme, hogy egy bizonyos időszakra korlátozza a személyes adatok tárolását. Az adatokat csak addig lehet tárolni, amíg az információra szüksége van a szervezetnek. Persze, ezt nem azt jelenti, hogy például a vásárlói adatokat az érintett hozzájárulása nélkül marketing célokra is felhasználja a vállalat. Az adatok gyűjtésének okát meg kell adni, jelölni. Amint ez az ok megszűnik, az adatokat törölni kell. A vállalatoknak törlési és rendszeres felülvizsgálati határidőket is meg kell állapítani, ezen eseményekről nyilvántartást kell vezetniük.
Mikor kell törölni az adatokat?
A GDPR és a 2011-es Infotörvény (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) pontosan leírja azokat az eseteket, amikor az adatokat a cégnek törölnie kell:
Ha az adatok kezelése jogellene
Ha az érintett (az adat tulajdonosa) kéri
Ha az adat hiányos vagy téves, és ez a helyzet csak adattörléssel orvosolható (feltéve, hogy a törlést a törvény nem zárja ki)
Az adatkezelés célja megszűnt vagy az adatok tárolásának ideje lejárt
Az adattörlést valamely bíróság vagy hatóság elrendelte
A rendelkezések szerint az adattörlést a magyar vállalatoknak a rendelkezésre álló legbiztonságosabb technológiával kell végrehajtani, minősítetten.
Hogyan töröljük az adatokat?
A vállalatok számára a minősített adattörlés a járható út, amikor egy szoftver használatával egy zárt láncba bekerült adathordozót többszörösen felülírják véletlenszerű 0-val és 1-sel. Ezzel garantáljuk, hogy a rajta lévő információt senki, semmilyen szoftverrel vagy egyéb megoldással nem tudja visszanyerni. A törlésnél használt algoritmusok katonai szintűek, így az adatok megsemmisítése garantált.
Például a Blancco által is használt DoD 5220.22-M szabvány olyan eljárást határoz meg, amely az adathordozók felülírását egyesek és nullák mintáival végzi el, három felülírási ciklusban, melyeket az eljárás végén egy visszaellenőrzés követ. Ennek során minden elérhető terület felülírásnak először (bináris) nullákkal, aztán egyesekkel, végül pedig véletlenszerű mintával. Ezt követően az utolsó felülírási ciklus visszaellenőrzése következik.
Az adathordozók kivezetése
Szintén fontos GDPR szempontból az adathordozók dokumentált kivezetése. Ezeket nem lehet például egyszerűen kiszerelni a használt eszközből, majd eladni. A rajtuk lévő adatokat jegyzőkönyvezetten, minősítetten törölni kell. Ehhez külső vállalattól – például a Data Clear-tól – is igénybe vehetünk adattörlési szolgáltatást.
A minősített adattörlés nagy előnye, hogy az adathordozók nem semmisülnek meg, azokat el lehet adni vagy oda lehet adományozni másoknak.
Vannak esetek, amikor az adatokat csak az adathordozó fizikai megsemmisítésével lehet minősítetten törölni: amikor például az adathordozó fizikailag sérült és az adatokat nem tudjuk elolvasni róluk. A fizikai megsemmisítéskor a keletkezett hulladék megterheli a környezetet, így csakis indokolt esetben vegyük igénybe.
A minősített adattörlés vagy a fizikai megsemmisítés is garantálja, hogy az adatok megsemmisülnek, így azok nem kerülhetnek illetéktelenek kezébe. Hiszen GDPR kompatibilisan töröltük őket.