Ezért is kell a minősített adattörlés

Munkám során rengeteg laptoppal, merevlemezzel, adathordozóval találkoztam, amelyekről távolról is lerítt, hogy rengeteg vállalati adat van rajtuk. Hogy ezek a gépek ilyen adatokkal hozzánk, a Data Destroy-hoz kerülnek, az a lehető legjobb dolog, ami velük történhetett.

Nekünk ez a feladatunk és hivatásunk: az ügyfelek reánk bízzák számítástechnikai eszközeiket, mi pedig titoktartásra kötelezett és elhivatott vállalkozásként mindent megteszünk, annak érdekében, hogy az adatokat a törvény előírásainak megfelelően, szakszerűen töröljük, megsemmisítsük. Vagyis, hogy minősített adattörléssel, adatmegsemmisítéssel biztosítsuk, hogy az adathordozókon található információk ténylegesen eltűnnek és nem kerülhetnek még akkor sem a konkurenciához, ha ők pénzt és energiát sem kímélnek azért, hogy hozzájuk férhessenek.

Nem tudunk minden elektronikai hulladéknak számító eszközt feldolgozni, hozzánk a hazánkban keletkező e-szemét töredéke kerül. De nem győzöm hangsúlyozni, adatokat egyszerűen törölni vagy titkosítva tárolni nem elegendő, ha valaki hozzájuk szeretne férni, megteheti.

A titkosítás sem elég!

Gyakran lehet olyan technológiákról, hibalehetőségekről olvasni, melyek lehetővé teszik, hogy az adatokhoz illetéktelenek hozzáférjenek. Azt hihetné például az informatikához valamennyit azért értő vállalatvezető, hogy a merevlemez adatainak teljes titkosításával ezt a feladatot megoldotta, nyugodtan aludhat éjjel, hiszen, ha el is lopják a számítógépet, az adatok biztonságban vannak. De sajnos rossz hírem van a titkosítás híveinek, ez sem feltétlen elég. Az F-Secure blogján nemrég olvastam egy olyan biztonsági hibáról, melynek kihasználásával a titkosításhoz használt kulcsok kinyerhetők a számítógépről. Szinte minden számítógépről.

Röviden és a technikai megoldást aprólékosan nem részletezve: ha egy támadó közel kerül a számítógéphez, netán ellopja, akkor a cold boot a titkosítási kulcsokhoz juthat. A cold boot akkor következik be, amikor egy számítógépet nem megfelelően zártak le, például menet közben kihúzták a fali csatlakozóból az áramkábelt. A számítógép egyik lapkájához egy külső mikrokontrollert drótoznak a támadók, újra indítják, majd egy USB-ről futtatott kis program segítségével kinyerik a memóriában tárolt titkosítási kulcsot. Persze, ahhoz, hogy a módszer működjön, szükség van átfogó IT tudásra, de ha valaki nagyon eltökélt, az internet segítségével hamar az adathordozó titkainak birtokában kerül.

A hibát tíz évvel ezelőtt fedezték fel, akkor próbálták foltozni a gyártók, de sajnos, csak annyit értek el, hogy picit nehezebbé tették az adatok feltárását. A Microsoft és a Apple is megerősítette ezen az operációs rendszer védelmet, de lehetetlenné nem tudták tenni. Ezért, a selejtezésre kerülő eszközökön tárolt adatok titkosított állapotban sem kerülhetnek illetéktelen kezekbe. Minősített adattörlés vagy megsemmisítés a garancia arra, hogy az adatok tényleg megsemmisültek. És pont.