Adathordozó megsemmisítés és újrahasznosítás a vállalati adatkezelési szabályzatban

A biztonságos adathordozó megsemmisítés és adatmegsemmisítés módszerei vállalatok számára

Az adathordozó megsemmisítés és adatmegsemmisítés tervezése és kivitelezése kulcsfontosságú a vállalati adatbiztonság és a jogi megfelelés szempontjából. A szabályzatok betartása csökkenti a kiszivárgás, az adatsértés és a jelentős bírságok kockázatát. A megfelelően dokumentált, minősített szoftveres törlés és a tanúsítvánnyal alátámasztott fizikai megsemmisítés kombinációja biztosítja, hogy a személyes és üzleti adatok véglegesen visszaállíthatatlanul törlésre kerüljenek. A cikk bemutatja a legfontosabb technikai, jogi és fenntarthatósági szempontokat.

Szakmai példák: mi történhet jó és rossz adatmegsemmisítési gyakorlat esetén?

Egy pénzügyi szolgáltató súlyos hibát követett el, amikor tapasztalatlan külső cégre bízta a leselejtezett szerverei adathordozó megsemmisítését. Több ezer merevlemez maradt ép állapotban, így szakértők speciális helyreállító eszközökkel hozhatták vissza az érzékeny adatokat – ez 15 millió ügyfél adatait tette kockára, és 35 millió dolláros bírságot eredményezett. Más szervezeteknél a belső, képzett csapat és akkreditált laboratórium közös munkája biztosította a minősített, tanúsítványokkal megerősített fizikai megsemmisítést és auditálhatóságot.

Egy másik esetben egy pénzintézet a megbízható Blancco szoftverrel végezte el a többszörös felülírásos logikai törlést, majd aprítógéppel darálta a hibás merevlemezeket, SSD-ket mechanikusan aprította. Minden lépést jegyzőkönyvben rögzítettek, így audit során hiteles bizonyítékkal szolgálták a törlési folyamatot, elkerülve az adatvédelmi incidenseket és erősítve ügyfeleik bizalmát.

Technikai részletek: fizikai vs. logikai adatmegsemmisítés

Fizikai megsemmisítés

A fizikai adatmegsemmisítés során az adathordozót véglegesen elpusztítják: merevlemezek darálása, lemeztányérok átfúrása, SSD-k mechanikus aprítása. Mágneses adathordozóknál a demagnetizáció (degauss) alkalmazása is elterjedt, amely erős mágneses térben rendezetlenné teszi a tároló részecskéit. Ez a módszer garantálja, hogy az adatok visszaállítása lehetetlen, azonban az eszköz újrahasznosítását kizárja.

Logikai (szoftveres) törlés

A logikai adatmegsemmisítés során minősített adattörlő programok (például Blancco, open-source erasure-tools) többszörös felülírást hajtanak végre véletlenszerű vagy szabványos bitmintákkal (DoD 5220.22-M, NIST SP 800-88). SSD-k esetén a kontrollertools vagy a vezérlőcsip szintű parancsok (Secure Erase) kombinálása biztosítja a NAND-flash speciális tulajdonságai miatt szükséges teljes törlést. A logikai módszer előnye az eszköz újrahasznosíthatósága; hátránya, hogy dokumentáció és független validálás nélkül nem garantált a visszaállíthatatlanság.

Legjobb gyakorlatok és döntéshozói szempontok

A vállalati adatmegsemmisítési szabályzatban rögzíteni kell a felelősségi köröket, a chain of custody-t és az ellenőrzési pontokat. Javasolt rendszeres belső és külső auditokkal felülvizsgálni a folyamatokat, valamint képzéseket szervezni az IT- és biztonsági csapatoknak.

• Chain of custody: minden adathordozó mozgását és kezelését naplózni kell a folyamatos nyomon követés érdekében.
• Törlési jegyzőkönyv: minden törlési művelethez részletes jegyzőkönyvet és tanúsítványt kell készíteni, amely auditálható és hitelesíthető.
• Szállítói megállapodások: akkreditált, ISO/IEC 27001 tanúsítvánnyal rendelkező szolgáltatókkal érdemes szerződni az adathordozó megsemmisítésre.
• Kockázatelemzés: az érzékeny adatokat tartalmazó eszközök esetében magasabb biztonsági szinteket kell alkalmazni.

Jogszabályi követelmények: GDPR és nemzetközi előírások

A GDPR 17. cikke (“elfeledtetéshez való jog”) és az adatminimalizálás elve kötelezi a vállalatokat az adatok törlésére, ha az adattárolás célja megszűnt. Magyarországon az Infotv. kiegészíti a GDPR követelményeit, előírva a jegyzőkönyv, tanúsítvány és belső audit dokumentálását. A pénzügyi ágazatban a GLBA, az egészségügyben a HIPAA, valamint a NIST 800-88 ajánlásai is részletes útmutatót adnak a biztonságos adatmegsemmisítésre.

Az ISO/IEC 27001 Annex A.11.2.7 kontrollja az eszközök biztonságos megsemmisítését írja elő; az ISO/IEC 27040 szabvány pedig részletes utasításokat tartalmaz mind logikai, mind fizikai eljárásokra vonatkozóan.

Fenntarthatósági szempontok és újrahasznosítás

2022-ben világszerte 62 millió tonna e-hulladék keletkezett, s a Nemzetközi E-hulladék Szövetség előrejelzése szerint ez 2030-ra 82 millió tonnára nő. Mindössze 22 % kerül újrahasznosításra, pedig az e-hulladék évente 90 milliárd dollárnyi értékes nyersanyagot tartalmaz.

• Élettartam-hosszabbítás: moduláris hardverek, rendszeres karbantartás és szoftverfrissítés.
• Újrahasznosítás: akkreditált e-hulladék-újrahasznosítók bevonása a fémek és veszélyes anyagok biztonságos visszanyeréséhez.
• Adományozás: működő, de lecserélt eszközök felújítása és adattörlés utáni átadása oktatási vagy non-profit szervezeteknek.
• Gyártói visszavétel: WEEE-irányelv szerinti gyártói csereprogramok kihasználása.

Összefoglalás

A szabványos adathordozó megsemmisítés és adatmegsemmisítés együttes alkalmazása csökkenti az adatvédelmi kockázatokat, biztosítja a jogi megfelelést (GDPR, NIST, ISO/IEC) és támogatja a fenntarthatósági célokat. A minősített szoftveres törlés, a tanúsítvánnyal igazolt fizikai megsemmisítés, a részletes törlési jegyzőkönyvek, valamint a belső és külső auditok integrálása a vállalati folyamatokba erősíti az üzleti bizalmat, miközben csökkenti a környezeti terhelést. Vegye fontolóra szolgáltatóink auditált e-hulladék-újrahasznosító partnereit és építse be a törlési jegyzőkönyvet a belső szabályzataiba még ma!