Pozor na šrot aneb odkud také unikají data
S tím, jak jsme stále závislejší na výpočetní technice, stoupá i její zneužívání ke krádeži duševního vlastnictví. Nedávno se o tom přesvědčil server LinkedIn, 1,5 milionů držitelů platebních karet nebo stomilionová síť hráčů PlayStation. Citlivá data přitom mohou uniknout i způsoby, které bychom nečekali.
Únik dat z firmy totiž nemusí mít na svědomí pouze hackeři: jako rizikové faktory jsou vnímány i nepoučenost zaměstnance o bezpečnostních rizicích či neopatrná práce s přenosnými paměťovými médii. Málo se však mluví o tom, že noční můrou se mohou pro firmu stát i vyřazené počítače, resp. jejich harddisky a datové nosiče.
Vymazat nestačí
Nedávná studie Information Comissioner’s Office, britské obdoby Úřadu pro ochranu osobních údajů, ukazuje míru této hrozby: téměř polovina (48 %) disků, které byly určeny na odprodej či skartaci, stále obsahovala zbytky původních dat. Úplnému a bezpečnému odstranění se v 11 % případů bránily informace osobní povahy, ale ze 3 % i citlivé informace jako hesla do internetového bankovnictví; z každého třetího disku s tímto obsahem je přitom bylo ještě možno vytěžit!
Specialisté na obnovu dat jsou schopni získat data i z těžce mechanicky poškozeného disku. Obnovit informace na běžně smazaném nebo naformátovaném disku je přitom až nečekaně jednoduché. Vyřadit tedy starý počítač s pouze vymazaným harddiskem je podobně "bezpečné", jako byste techniku předali ještě zapnutou a přihlášenou na firemní server.
Jenže jak data odstranit natrvalo? Nejspolehlivější cestou je skutečně fyzická likvidace harddisku. Můžete na něj vzít kladivo, ohřát jej v mikrovlnce nebo přejet průmyslovým magnetem. U zvláště citlivých informací je ale nejrozumnější přenechat tuto práci specialistům na recyklaci hardwaru.
Data na prach
Možnost spolehlivé fyzické destrukce v peci nebo lisu však většina firem nemá. Může však využít speciální, na českém trhu zatím ojedinělé služby, kterou bude nabízet společnost CSI Leasing Czech, v podobě „mobilního ničitele dat“.
Vozidlo na podvozku nákladního automobilu je vybaveno dvojicí speciálních skartovacích přístrojů, které ve standardním režimu drtí disky do tloušťky 30 mm a pro vysoce citlivá data do 6 mm dle nejpřísnějších amerických předpisů. Vůz přijede přímo do areálu firmy a díky kamerovému systému, který pro klienta zaznamenává celý proces skartace, je jakýkoliv únik dat naprosto vyloučen. Jednotlivé kusy hardwaru jsou zpracovávány podle sériových čísel, na základě kterých jsou sledovány během celého procesu. Firma navíc dostane osvědčení o provedeném zničení hardwaru.
Server do popelnice nepatří
Mnoho společností riziko datových úniků stále ještě podceňuje, zejména co se týká vyřazení IT techniky. Nejen, že jim hrozí ztráta citlivých informací či know how, ale riskují i porušení zákona o ochraně osobních údajů. Zákon č. 101/2000 Sb. totiž explicitně vyžaduje, aby se organizace postarala o pečlivé smazání osobních údajů zaměstnanců nebo zákazníků na vyřazených nosičích.
Vzhledem k tomu, jak vysoké bezpečnostní riziko tyto úniky představují – např. z mezinárodního letiště, nemocnice či jaderné elektrárny, kde přístroje vypoví službu – zvažuje EU dokonce zavedení povinnosti firem oznamovat úniky dat úřadům.
Zatímco firmy už jsou pod hrozbou napadení či úniku dat ochotny investovat do bezpečnostního softwaru, odborné vyřazení hardwaru zatím zůstává často opomíjeno. Přitom je to jedna z cest, jak zajistit citlivá firemní data, aby nepřišla do nepovolaných rukou.
/csi/