Mit tesz egy japán prefektúra, miután elveszít 18 darab, leselejtezésre szánt merevlemezt? Hát tanul az esetből és teljesen átalakítja az életciklusuk végét elért eszközök kezelésére vonatkozó szabályzatot.
A merevlemezek elvesztését bejelentő, 2019. december 9-i hivatalos sajtótájékoztató. Forrás: kyodonews.net
Még tavaly decemberben történt, hogy a japán Kanagawa prefektúránál lába kelt 18 darab, leselejtezett és adatokkal teli merevlemeznek. A lemezek az adófizető polgárok személyes információit tartalmazta, autókra vonatkozó adófizetési információkkal volt tele, cégek adófizetési információit is tartalmazta.
A merevlemezeket az adathordozók megsemmisítésével megbízott vállalat egyik alkalmazottja adta el egy online aukciós felületen. Ezekből kilenc darabot egy olyan ember vásárolt meg, akit érdekelt, hogy a merevlemezek korábban milyen adatokat tartalmazhattak volna. Róluk ugyan letörölték az adatokat, de nem írták felül azokat (és minderről nem is készült jegyzőkönyv).
Visszaállította az adatokat
Így a kíváncsi állampolgár online letölthető szoftver segítségével helyre tudta állítani a merevlemez eredeti tartalmát. Miután látta, hogy komoly adatokról van szó, azonnal felvette a kapcsolatot a prefektúrával és azokat visszaszolgáltatta.
Majd ezután derültek ki a részletek: hogy a lemezeket online vásárolta, hogy azokat a megsemmisítéssel megbízott vállalat alkalmazottja tette fel az aukciós portálra és hogy összesen 18 darab ilyen adathordozót adott el. A japán emberek becsületességét mutatja, hogy a prefektúra felhívására a többi hiányzó kilenc merevlemezt is maradéktalanul visszaszolgáltatták a vásárlók két héten belül.
Új szabályzat született
A Kanagawa prefektúra emberei levonták a megfelelő következtéseket az esetből és saját maguk kezében vették az életciklusuk végét elért eszközök menedzselését, miközben jelentősen módosítottak a hasonló eszközök kezelésére vonatkozó szabályzaton is.
Az online japán nyelven elérhető új szabályzat szerint:
- Minden eszközt minősített módon fertőtleníteni kell (törölni) az adatoktól az újrahasznosítás vagy a megsemmisítés előtt. Mielőtt a következő állomásra küldenék az eszközöket, a hivatal belső munkatársának – és nem egy szerződéses külső partnernek – a helyszínen minden adatot törölnie kell az eszközről.
- A nem bizalmas rendszereket, merevlemezeket és IT eszközöket a szoftveres törlés után újrahasznosíthatják. A bérelt eszközöket a prefektúra munkatársai és a bérbeadó cég egyaránt törlik, hogy mindkét fél megelőzze a jogvitákat.
- A bizalmas rendszerekből származó adathordozókat nem lehet újrahasznosítani. Előbb egy elfogadott szoftverrel kell törölni az adott eszközt, majd egy erre szakosodott vállalat fizikailag is megsemmisíti az eszközt.
- A kötelező szoftveres alapú törlés nem vonatkozik a HDD alapú szerverekre, ha a törlést mechanikai hiba, hibás merevlemez vagy egyéb hiba akadályozza, ezeket degausser berendezés segítségével demágnesezik. A demágnesezés után ezeket az eszközöket kötelező darabolással (is) megsemmisíteni.
- A mobil eszközöket is törlik, az NIST SP 800-88 kriptotörlés követelményei szerint.
- Minden esetben a törlés, demágnesezés, megsemmisítés a prefektúra saját irodáiban történik. A törlést csak a prefektúra munkatársai végezhetik el.
- A törlés felügyelet mellett, két vagy több belső munkatárs jelenlétében történhet, akiknek ellenőrizniük és dokumentálniuk kell a törlési és megsemmisítési eljárásokat.
A szabályzat azt is előírja, hogy ingyenes vagy nem bevizsgált szoftvereket nem használhatnak. Csak olyan megoldások jöhetnek szóba, melyeket előzetesen teszteltek és tanúsítottak, külső vagy belső szakértők. Ugyanakkor a hatékony szoftver alapú törlésre előírják:
- a megoldásnak felül kell írni az adatokat legalább egyszer (vagy csak egyszer, a NIST SP 800-88 javaslatnak megfelelően)
- ellenőriznie kell és dokumentálnia minden felülírást
- tanúsítványt kell generálnia minden egyes törölt eszköz esetében
