ápr 8, 2020 | Adatbiztonsági cikkek, hírek
A szükséghelyzet több téren is költségtakarékosságra kényszerítette a vállalatokat, így nem meglepő módon fellendült a használt számítástechnikai eszközök forgalma is. A használt laptop mellett érdemes használt okostelefonban gondolkodni – az 5G-s hálózat berobbanásával lehet majd az új készülékben gondolkodni.
Van, ami csökken, de van, ami nő
Ha egy ajtó bezárul, akkor kinyílik egy újabb. Vagyis, ha az új okostelefonok értékesítése csökken, akkor a használt mobilpiac kompenzálja a lassulást – mutatják a piackutatók számai. Az új telefonok piaca egy ideje már nem fejlődik olyan szépen, ahogy azt a készülékgyártók szerették volna, a Gartner adatai szerint 2019-ben két százalékkal csökkent az új okostelefonok piaca. Idén is csupán az 5G-s készülékek iránti érdeklődés rántja ki a mélyvízből az új okostelefonpiacot, mely 1,7 százalékkal bővül a becslések szerint.
Dinamikusan bővül
Ezzel szemben a használt készülékpiac dinamikusan bővül. Az IDC legfrissebb jelentése szerint kétszámjegyű növekedéssel 206,7 millió darabosra bővült a használt okostelefon piac – ez a szám magában foglalja a gyártók által felújított és újból eladott készülékeket is. A piac 17,6 százalékkal bővült a 2018-as adatokhoz képest, amikor 175,8 millió használt telefon talált gazdára. Az IDC előrejelzése szerint éves 13,6 százalékos bővüléssel 2023-ban 332,9 millió darab használt okostelefon talál majd gazdára.
Az okok változatosak, de az biztos, hogy a piac kivárt, az 5G-s készülékek iránti érdeklődés magasabb lesz idén. Az is hozzájárul az új készülékek iránti lanyhább érdeklődéshez, hogy nem igazán jelentek meg olyan technikai újdonságok a mobilokban, ami feltétlenül a váltást gyorsította volna. És nincs is értelme pénzügyileg, egy használt készülék funkcióban ugyanazt nyújtja, mint az új, mégis az újhoz képest alacsonyabb áron lehet hozzájutni.
Garanciás készüléket vegyünk
Érdemes vállalati célokra is használt mobilba fektetni, főleg, ha találunk olyan kereskedőt, aki garanciával értékesíti ezeket az eszközöket. A garancia mellett azért győződjünk meg, hogy a kereskedő szentelt figyelmet arra, hogy a készülék korábbi tulajdonosainak adatait megfelelően törölje. Már csak azért is érdemes erre odafigyelni, mert nem lenne jó egy használt készüléket úgy a vállalati hálózatba kapcsolni, hogy azon már eleve fut egy fertőzött kémprogram.
Győződjünk meg róla, hogy a használt készülék alkalmas a meglévő vállalati alkalmazások futtatására. Az új készülékhez hasonlóan, ezt is egy szakképzett IT-s vizsgálja át és állítsa be a céges biztonsági előírásoknak megfelelően. Ha időt szánunk a készülék megfelelő átvizsgálására, beállítására, hálás és kitartó munkatársa lesz kollégánknak.
ápr 5, 2020 | Adatbiztonsági cikkek, hírek
Az adatfertőtlenítés fontos része az adat életciklusának. A vállalati adatoktól életciklusok végén – amikor triviálissá, elavulttá vagy redundánssá váltak – biztonságosan meg kell szabadulni. Az adatfertőtlenítés területén élenjáró Blancco meghatározása szerint az adatfertőtlenítés az a folyamat, amikor tudatosan, állandóan és visszafordíthatatlanul eltávolítjuk vagy megsemmisítjük az adathordozón tárolt adatokat, teljesen megakadályozva, hogy az adatokat valaha visszaállíthassuk.
Tanúsított folyamat
Az adatfertőtlenítés egy tanúsított folyamat, melynek során az adathordozó tulajdonosa kap egy megváltozhatatlan tanúsítványt arra vonatkozóan, hogy az adott sorszámú adathordozót mikor, milyen módszerrel fertőtlenítették. Ez a tanúsítvány az adatok szakszerű eltávolítását ellenőrző hatóságoknak elegendő bizonyíték arra vonatkozóan, hogy az adatokat a vállalat a szabályzatok és az adatvédelmi előírások szerint kezelte és megfelelően semmisítette meg.
Hasonlóan definiálja az adatfertőtlenítést a Gartner Hype Cycle for Data Security (Adatbiztonsági Hype Görbe) 2019 tanulmányában: az adatfertőtlenítés az a fegyelmezett folyamat, melynek során az adathordozón tárolt adatokat tudatosan, állandóan és visszafordíthatatlanul eltávolítjuk vagy megsemmisítjük, ezzel az adatok visszaállíthatatlanná válnak. A Gartner véleménye szerint az adatvédelemmel, adatbiztonsággal, adatszivárgással kapcsolatos növekvő vállalati aggodalom, a szabályozói nyomás, a tárolt adatok mennyiségének gyors növekedése, az IoT eszközök mennyiségének növekedése az adatfertőtlenítés minden vállalat számára vezetői szintű felelősség.
Ez azt jelenti, hogy a megfelelően adatfertőtlenített eszközön nem található maradék adat, és még az előrehaladott laboratóriumi vagy titkosügynökségi eszközök segítségével sem lehet a rajta lévő adatokat visszaállítani. A Gartner szerint az adatfertőtlenítés három módszerrel érhető el: fizikai megsemmisítése az ezköznek, adattörlés és kriptográfiai törlés.
Mely módszerek nem elegendőek az adatfertőtlenítéshez?
Többször is írtunk már róla, hogy minden módszernek megvan a maga előnye és hátránya, de úgy véljük, csak az adatfertőtlenítés az a folyamat, mely garantálja az adatok teljes, visszaállíthatatlan törlését, mely egy tanúsított, ellenőrzött folyamatban történik. Vagyis biztosak lehetünk, hogy az adott adathordozón található adatokat valóban megsemmisítettük annyira, hogy azokat senki sem tudja visszaállítani.
Az alábbi adatmegsemmisítési módszerek nem számítanak adatfertőtlenítésnek, sok esetben azért, mert hiányzik az utolsó, a tanúsítási lépés a folyamatokból:
Sima adattörlés
Formázás
Gyári visszaállítás
Adat tisztítás
Adat megsemmisítés
Figyeljünk oda, hogy a vállalatunk kockázati besorolásának megfelelően válasszunk adattörlési vagy adatfertőtlenítési megoldások közül, amikor az életciklusa végén lévő adataink szakszerű menedzseléséről kell döntenünk.
márc 24, 2020 | Adatbiztonsági cikkek, hírek
Miután home office-ba küldik haza a dolgozókat, és a szülők nyakába varrta a diákok tanítását a járványügyi helyet és a kormány, rengeteg vállalat és szülő használt számítógépet vásárolt a kolléga otthoni munkájára vagy gyermekének otthoni tanuláshoz. Összeállításunkban öt okot sorolunk fel, amiért jobb választás a használt laptop.
1. Nem költünk túl sok pénzt
Az első és nyilvánvalóbb ok a pénz spórolás: a használt számítógépek nagyságrenddel olcsóbbak, mint új társaik, ár-érték arányban pedig sokkal jobb vásárt csinálunk, mint ha új gépet vásárolnánk. Amikor használt gépet vásárolunk, akkor a gyermeknek kell egy második gép vagy csupán szövegszerkesztésre, irodai munkára használnánk azt – erre a régebbi gépek is megfelelnek.
2. Garanciát kapunk hozzá
Ha megfelelő forrásból vásároljuk a használt gépet, garancia is jár hozzá. Ami azt jelenti, hogy a gépet előtte átnézte egy szakember, kibontotta, portalanította a belsejét, a hűtőpasztát újrahúzták (úgy hűt, mint újkorában). Az is előfordul, hogy az alap memóriát kicserélték nagyobbra. Az biztos, hogy az adathordozón lévő adatokat teljesen és minősítetten törölték, így biztosak lehetünk benne, hogy a korábbi tulajdonos dokumentumaival nem találkozunk.
A garancia azt jelenti, hogy ha működés közben valamilyen hiba jelentkezne, azt térítésmentesen orvosolják – így biztosak lehetünk, hogy lesz használatra bevethető gépünk.
3. Jogtiszta szoftvert vásárolhatunk hozzá olcsóbban
A hardver újrahasznosítás mellett a szoftverre is figyelnek a használt géppel foglalkozó vállalatok: ha igényeljük alacsonyabb árért egy operációs rendszert is kapunk a hardver mellé, melyet kérésre telepítenek – vagyis nem nekünk kell ezzel bíbelődni. Az operációs rendszer újrahasznosított vállalati licenceket jelent, vagyis ezek jogtiszta szoftverek, melyek mellé a szokásos biztonsági frissítések is járnak – így mindig a legújabb és biztonságos operációs rendszerrel rendelkezünk.
4. A technológia nem változik olyan gyorsan
Az utóbbi időben a technológiai változások – legalább is hardver területén – már nem olyan gyorsak, mint korábban. Ez azt jelenti, hogy egy három éve gyártott laptop még mindig ütőképes kombináció, nem lassú, nem elavult. Persze, ha high end gamer vagy videószerkesztő gépre vágyunk, akkor nem a használt kategóriából kell választanunk, de ha azáltalános tanulás és irodai munka a cél, akkor tökéletesen megfelel.
5. Megvédjük a környezetet
A használt számítógép vásárlása annak felújítása után azt jelenti, hogy ez a gép nem kerül a kukába, majd onnan egy szegényebb ázsiai ország mezejére. A számítógép még egy esélyt kap arra, hogy arra használják, amire gyártották – ezzel is megnöveljük élettartamát, megvédjük környezetünket a szükségtelen szennyezéstől.
márc 9, 2020 | Adatbiztonsági cikkek, hírek
Hányszor kell felülírni a merevlemez adatait ahhoz, hogy teljesen biztosak legyünk abban, minden adatmorzsa teljesen és visszavonhatatlanul eltűnt a lemezről. Attól függ, hogy milyen technológiáról beszélünk, milyen kutatási eredményeket olvasunk és melyek a javasolt procedúrák. Két részes összeállításunk második részében a történelmi szabványokat tekintjük át, a Blancco szakértőjének, Bernard Le Garegean segítségével.
No de lássuk, hogyan is fejlődtek az adatfertőtlenítési folyamatok az évek során.
Az 1990-es évek eleje – az Amerikai Védelmi Minisztérium a háromszoros felülírást támogatja
Az 1990-es években az Amerikai Védelmi Minisztérium kézikönyvet állított össze, melyben a megalkották a DoD 5220.22-M szabványt, mely szerint a mágneses lemezeket fertőtlenítését úgy kell végezni, hogy azokat felül kell írni egy karakterrel, a karakter kiegészítőjével, majd egy véletlen karakterrel – vagyis háromszor kell felülírni az adott adatot.
Az 1990-es évek közepe-vége: Guttman 35, Schneier 7
1996-ban Peter Guttman megjelenített egy tanulmányt, mely felkavarta a status quo-t azzal, hogy kijelentette: egyes laboratóriumok elméletben képesek adatokat visszanyerni a felülírt merevlemezekről, olyan kifinomult eszközök használatával, mint mágneses erőmikroszkóppal. Ennek eredményeképpen egy 35 -szörös felülírási ciklusból álló adatfertőtlenítési metódust javasolt.
De nem kell kétségbeesni! Az algoritmust a régebbi merevlemezek adatfertőtlenítésére fejlesztették ki, melyeket az 1980-as-1990-es években gyártottak és a MFM/RLL kódolási technológiákat használták. A rengetegnek tűnő felülírási ciklus három különböző algoritmus használatából adódott össze, ami részben megmagyarázza a magas számú felülírási ciklust.
Az újabb, PRML technikákat használó merevlemezek érkezésével az MFM/RLL technológiákat nyugdíjaztatták, és vele együtt a 35-szörös felülírásos módszer is a kukában landolt. Ebben az időben jelent meg Bruce Schneier biztonsági szakértő könyve is, melyben hétszeres felülírási adatfertőtlenítési technológiát javasolt: az egyik ciklusban 1-eseket használjunk, a másodikban nullásokat, míg a harmadiktól hetedikig terjedő ciklusban statikus vagy véletlenszerű karaktereket használjunk felülírásra.
A 2000-es évek – a hétszeres felülírás időszaka
Az adatok felértékelődésével és elterjedésével egyre több nemzeti hivatal látta elérkezettnek az időt, hogy törlési kézikönyveket adjanak ki, melyek több mint három felülírási ciklust javasoltak. Például a VSITR metódust a német információbiztonsági hivatal dolgozta ki, ez hét felülírási ciklussal dolgozott. Ennek példájára Európa-szerte a 4-7 felülírási ciklust tartalmazó ajánlások terjedtek el.
2006-tól napjainkig
Az amerikaiak egyszeri felülírást javasolnak, más kormányok 1-3 ciklust írnak elő
Az amerikai védelmi minisztérium DoD 5220.22-M-es felhasználói kézkönyvéből később törölték a javasolt felülírási metódusra való hivatkozásukat, és a kormányzati hivatalok hatáskörébe utalta ezt a kérdést. Eközben azonban az amerikai szabványügyi hivatal (National Institute of Standards and Technology, NIST) a 2006-os média fertőtlenítési kézikönyvében azt írta, hogy a 2001 után gyártott, 15 GB-nál nagyobb kapacitású merevlemez esetében az egyszeri felülírás megfelelő a tisztításhoz.
Egyszeri vagy többszöri felülírás
Ezt az álláspontjukat 2014-ben, újból megerősítették, ekkor újra gondolták a kézikönyv egyes részeit. Az ATA és SCSI merevlemezek esetében is elegendőnek találják az egyszeri felülírást, de azt is írják, hogy opcionálisan többszörös felülírási ciklusokat is lehet használni. Ez az egyszeri felülírás az öblítéshez is elegendő.
A briteknél két módszert határoztak meg: egy és három felülírási ciklust javasolnak. A három felülírásos módszer a CESG CPA-Higher Level szinte megegyezik az 1966-os DoD 5220.22-M szabvánnyal, azzal a különbséggel, hogy minden lépés után ellenőrzést ír elő.
Utolsóként, 2012-ben az újabb BSI GS szabványok is megjelentek, mely 1-2 felülírási ciklust ír elő, véletlenszerű adattal és firmware alapú törléssel. Azonban mindezek a szabványok a mágnesen merevlemezekre vonatkoznak, nem a flash alapú SSD-kre.
márc 4, 2020 | Adatbiztonsági cikkek, hírek
Hányszor kell felülírni a merevlemez adatait ahhoz, hogy teljesen biztosak legyünk abban, minden adatmorzsa teljesen és visszavonhatatlanul eltűnt a lemezről. Attól függ, hogy milyen technológiáról beszélünk, milyen kutatási eredményeket olvasunk és melyek a javasolt procedúrák. Két részes összeállításunkban a Blancco szakértője, Bernard Le Garegean ismerteti tapasztalatait.
Az adattörlés lassan olyan, mint a foci: kevesen csinálják, de mindenki ért hozzá. A viccet félretéve, a nagy kérdés, hányszor kell felülírni az adatokat annak érdekében, hogy a régi információk teljesen és visszaállíthatatlanul törlődjenek? Amikor adathordozóról beszélünk, akkor a merevlemezt értjük rajta, hiszen ez még mindig a legtöbb beépített adathordozója a számítógépnek. De előtte egy kis merevlemez történelem.
A merevlemez alapjai
A Wikipédia ideillő bejegyzése szerint a merevlemez (angolul hard disk drive, rövidítése HDD) egy számítástechnikai adattároló berendezés. Az adatokat kettes számrendszerben, mágnesezhető réteggel bevont, forgó lemezeken tárolja. Maga az elnevezés retronima, ugyanis ezt az adattároló berendezést csak a floppy disk(hajlékonylemez) megjelenése óta nevezik így. Magyar (és orosz) nyelvterületen winchesternek is nevezik, miután 1973-ban az első népszerű, kiskereskedelemben elterjedt IBM lemez ezt a nevet kapta a közismert fegyvermárka után.
Az első merevlemezek már 1956-ban megjelentek, de az 1980-as évekig kellett várni elterjedésükig. Annak ellenére, hogy manapság már megjelentek a HDD-nek életképes, gyorsabb alternatívái, a flash alapú adattároló Solid State Drive – SSD meghajtó – a mágneses alapú merevlemez továbbra is népszerű és igen széles körben használt adattároló eszköz.
Hányszor elég?
A mágneses alap azt jelenti, hogy az adatokat mágnesezhető réteggel bevont lemezen tárolja, ehhez nem szükséges elektromos áram. A merevlemez megbízható, népszerű adattároló eszköz, alacsony költség mellett rengeteg adatot képes tárolni, hosszú ideig, megbízható módon.
Életciklusa végén erről a merevlemezről szakszerűen, minősítetten kell eltávolítani az adatokat azért, hogy nyugodtak lehessünk, azok nem kerülnek senki kezébe. A legbiztonságosabb, környezetkímélőbb megoldás erre az, ha simán felülírjuk az adatokat. Azonban a nagy kérdés, hogy hányszor elegendő felülírni az adatokat, annak érdekében, hogy a régi adatokat ne lehessen visszanyerni? Vagyis hányszor írunk a merevlemezre 0-kat és 1-eseket vagy más szemét adatot, míg a régi adatok teljesen törlődnek?
A merevlemez adattörlési folyamat fejlődése
Az adathordozók minősített és végleges törlését több kormányzati ügynökség és szervezet vizsgálta meg az elmúlt 20 évben. A mai NIST 800-88 Media Sanitization Guidelines – Média Fertőtlenítési Irányelvek két fajta eljárást különböztet meg:
Tisztítás (clearing) – megakadályozza az adatok szoftveres visszaállítását
Öblítés (purging) – megakadályozza az adatok visszaállítását laboratóriumi eszközök segítségével
A tisztítás általában azt jelenti, hogy felülírjuk a merevlemezt, az öblítési procedúrák viszont a felülírási technikák mellett firmware alapú törlést is magába foglalnak. Ezek mellett még ott van a demágnesezés vagy az adathordozó fizikai megsemmisítése, mint adattörlési technológia. Hogy pontosan az adott szervezet melyik technológiát választja, azt az adat minősége, a szervezet tevékenységi területe, a rá vonatkozó szabályok esetleg törvények határozzák meg.
A tisztítás és az öblítés technológiák részei az adatfertőtlenítési eljárásoknak, melyek az adatok megfelelő és végleges törlése mellett ellenőrzik és tanúsítják, hogy az adatmegsemmisítési folyamat valóban megtörtént – és ezt bármikor bármely hatóság előtt az adott vállalat a tanúsítvány birtokában bizonyítani tudja.
febr 25, 2020 | Adatbiztonsági cikkek, hírek
Évente több mint 4000 Eiffel-toronynyi elektronikai hulladék keletkezik világszerte, ezért egyáltalán nem mindegy, mit teszünk akkor, ha egy új laptophoz, okostelefonhoz vagy táblagéphez jutunk. Pontosabban szólva nagyon nem mindegy, hogy mit teszünk a régi készülékeinkkel.
Vannak, akik a régi készülékeiket elteszik tartaléknak arra az esetre, ha bármi gond adódna az újjal. Mások szeretik az ünnepi hangulat jegyében továbbajándékozni a régi készülékeiket. De vannak olyanok, akik inkább eladják a régi eszközeiket. Bármelyik opciót is választjuk, néhány dolgot meg kell tennünk, mielőtt biztonságosan túladhatunk régi eszközeinken.
Ezt mindig tartsuk be
Az egyetlen szabály, amelyet mindig be kell tartanunk, az az adatok biztonsági mentése. Erre egyébként nemcsak a készülék cseréjekor kell figyelnünk, hanem egyébként is: célszerű rendszeresen biztonsági másolatot készíteni adatainkról, legyen szó akár munkáról vagy kedvenc családi fotóinkról.
Általános igazság, ha okostelefonról van szó, hogy adatainkról a felhőbe vagy a számítógépünkre készíthetünk biztonsági mentést. Ha számítógépes adatok biztonsági mentéséről van szó, akkor a felhő és külső meghajtók jöhetnek szóba. Mindegy, hogy melyiket választjuk a lehetőségek közül, csak az a lényeg, hogy elkerüljük az érzékeny adatok elvesztését.
Vigyázzunk, hogy adataink ne kerüljenek illetéktelen kezekbe!
Fontos, hogy ha kiadjuk kezünkből régi eszközünket, ne maradjanak rajta olyan érzékeny adatok, melyekről nem szeretnénk, ha illetéktelen kezekbe kerülnének. Attól függően, hogy milyen eszközről van szó, más-más lépések megtételére lesz szükség.
Számítógépek
Szerencsére a biztonságtudatosság jegyében számítógépük továbbadása előtt a legtöbben formázzák gépük merevlemezét. A baj ott kezdődik, hogy a legtöbb számítógép-felhasználó úgy gondolja, hogy ezzel véglegesen le is törölték adataikat a meghajtóról, ami sajnos nem igaz, ugyanis az adatok még formázás után is visszaállíthatók a meghajtón. Ha nem magánszemélyként, hanem cégként járunk el, akkor az eleve fennálló kockázathoz még hozzáadódnak a GDPR-kockázatok is: bizonyos szituációkban nincs jogunk ahhoz, hogy NE töröljünk véglegesen bizonyos személyes adatokat.
Okostelefonok
Az okostelefonoknak megvannak a saját segédprogramjaik annak érdekében, hogy a folyamat a lehető legegyszerűbb legyen. Ha túladunk régi iPhone-unkon, először jelentkezzünk ki minden olyan szolgáltatásból, mint az iTunes, az iCloud, az App Store stb. Ezt követően lépjünk be a Beállítások közé (Settings), aztán a Reset menübe, aztán válasszuk az összes tartalom és beállítás törlése (Erase All Content and Settings) opciót.
Ha Android-eszközünkön tervezünk túladni, a folyamat a gyártótól függően kissé eltérhet, de az eljárásnak nagyjából ugyanolyannak kell lennie. Először távolítsuk el a biztonsági intézkedéseket, például a képernyőzárolást, majd folytassuk azon fiókok eltávolításával, amellyel be vagyunk jelentkezve. Az extra biztonság kedvéért titkosíthatjuk a telefonunk adatait, majd ezt követően válasszuk a gyári alapállapot visszaállítását (Factory Data Reset). Ha SD-kártyát használunk, mindenképp vegyük ki a készülékből.
Újrahasznosítás
Ha régi eszközünk teljesen működőképes, de nem tervezzük, hogy továbbadjuk egy rokonnak vagy barátnak, fontoljuk meg az adományozást is, ugyanis boldoggá tehetjük vele egy nálunk kevésbé jó anyagi helyzetben levő embertársunkat. Ha mindenképp a kidobás mellett döntünk, akkor is legyünk környezettudatosak! Ha szeretnénk megszabadulni régi eszközünktől, az nem megoldás, ha egyszerűen eldobjuk. Kérjük a Data D szakembereinek segítségét, hiszen nálunk nemcsak szakszerűen és tanúsítottan töröljük az adathordozókat, hanem meglévő csatornáinkon értékesítjük a régi gépeket, miután alaposan felújítottuk őket.
Miért szükséges mindez? Mert a „levetett” elektronikai eszközökből származó hulladék mértéke meglepő méreteket öltött az utóbbi években. Az Egyesült Nemzetek Egyeteme által 2017-ben kiadott Global E-waste Monitor kiadványból kiderül, hogy évente több mint 40 millió tonna elektronikai hulladék keletkezik. Ez több mint 4000 Eiffel-toronynyi hulladék!
Az akkori becslések szerint a hulladék mennyiségének növekedése ahhoz vezet majd, hogy 2021-re már több mint 52 millió tonna lesz az elektronikai hulladék mennyisége világviszonylatban. A 2016-os adatok szerint a hulladéktermelésben Ázsia vitte a prímet, de a második helyen már Európa állt. Ha következetesen, felelősségteljesen járunk el, sokat tehetünk azért, hogy ez a helyzet pozitív irányban változzon meg.
febr 7, 2020 | Adatbiztonsági cikkek, hírek
Az EU legújabb környezetvédelmi intézkedései során kötelezővé tette a szerver és adattárolási termékek gyártóinak, hogy beépített biztonságos adattörlési megoldást építsenek be a termékbe, ezzel is segítve a különböző adatvédelmi előírások által megkövetelt biztonságos és tanúsított adattörlést.
BIOS-ba kell beépíteni
űMárcius 1-jén lép életbe az EU új környezetvédelmi direktívája, melynek egyik kitétele az, hogy a szerverek és adattárolási termékek gyártóinak kötelező módon egy biztonságos adattörlési megoldást kell biztosítani. Az Ecodesign direktíva 9-es számú tétele tartalmazza az adattörlési követelményeket. Az elképzelések szerint ezt a megoldást a gyártó beépítheti a BIOS-ba, vagyis az operációs rendszer alapjaiba, de CD-re, DVD-re vagy USB memórián is kínálhatja ezt megoldást.
Nincs elegendő megoldás
Ez persze a kis- és közepes méretű vállalatok mindennapjait első körben még nem befolyásolja, hiszen a március 1-je után forgalomba kerülő termékekre vonatkozik az EU új direktívája. Mindez viszont azt jelenti, hogy az EU is elismerte, nincs elegendő szoftveres megoldás a vállalatoknál, melyek segítségével biztonságosan, véglegesen és tanúsítottan törölhetnék az adatokat. A GDPR például előírja, hogy a személyes adatokat kérésre a vállalatnak törölnie kell, és mindezt tanúsítottan kell tennie.
Az EU direktívája azt is jelzi, hogy a meglévő adattörlési megoldások csak részlegesen végzik el munkájukat, vagyis a tanúsított, végleges adattörléshez speciális megoldás és szaktudás szükséges.
Az Ecodesign Direktíváról az Európai Bizottság weboldalán olvashat, angol nyelvű oldala ezen a linken érhető el.
febr 3, 2020 | Adatbiztonsági cikkek, hírek
Az Európai Parlament döntése értelmében az unió területén forgalmazott mobiltelefonoknak egységes töltőkábelje lesz, ezzel is csökkentve a kábelek ökológiai lábnyomát. A döntés vesztese az Apple, aki vélhetően a Lightning csatlakozó helyett a vezetékes töltési technológiát vezet ibe új készülékeibe.
Idén januárban az Európai Parlament már nem húzta tovább a tíz éve folyó ügyet és döntött: az unió területén forgalomba hozott mobiltelefonok csak a mikor USB-s telefontöltő kábellel rendelkezhetnek. A javaslattal egyértelmű az uniós honatyák igyekezete, szeretnének csökkenteni az elektronikai hulladék mértékét, a becslések szerint évente 51 ezer köbméternyi töltőkábelt adnak el az EU-ban. Az új telefont vásárlók is jól járhatnak az elképzelések szerint, hiszen töltőkábel nélküli olcsóbb készüléket is kínálhatnak ezentúl a gyártók.
Be nem tartott önként vállalás
A töltőkábel egységesítési erőfeszítések már 2009-ben elkezdődtek, de kevés eredménnyel. Tizenhárom vállalat, közöttük a mostani döntés vesztese is, az Apple akkor önként vállalták, hogy mobiltelefonjaikba a mikro USB szabvány szerinti töltőt építik be. Az almás vállalat nem tartotta be az önkéntes vállalást, szerinte a mikro USB túl sok kompromisszumot jelentett volna a gyártónak, így inkább a saját, Lightning nevű töltő szabványt dolgozták ki.
Az Apple szerint az európai honatyák döntése gátolja az innovációt. Érveik alátámasztására egy tanulmányt is mellékeltek. A Copenhagen Economics szakértőivel szerint a szabályozók elképzeléseinek megfelelően kikényszerített egységesítés által a fogyasztóknak okozott kár az 1,5 milliárd eurót is elérné, míg környezetvédelmi előnyeinek értéke 13 millió euró lenne. A cég továbbá arról is beszélt, hogy épp az EU állításaival szemben épp az egységesítés járna „példátlan mértékű” elektronikai hulladékkal.
A piac idővel tisztult
Ugyan, 2009-ben, amikor az egységes töltőkábel gondolata megszületett szinte minden gyártónak saját szabványú csatlakozója volt. A piaci tisztulásával és az önként vállalt szabványok betartásával mostanra három típusú csatlakozó van a mobiltelefonokban: USB-C, mikro USB és Lightning. A piaci pletykák szerint a renitens Apple továbbra sem építi be készülékeibe a kierőszakolt mikro USB csatlakozót, hanem inkább a vezeték nélküli töltési technológiát válassza.
A törvénytervezetet az Európai Bizottságnak is el kell fogadnia, de ez csak egy formalitásnak tűnik. A törvény megszületése után a tagállamoknak két évük marad saját törvénykezésükbe átültetni az új szabályokat, míg í gyártóknak további egy évük marad a jogszabálynak megfelelni.
jan 24, 2020 | Adatbiztonsági cikkek, hírek
Még az elején tisztázzuk: maradék adatok alatt azokat az információkat értjük, melyek bármilyen rendszerezés nélkül ott lappanganak régi számítógépjeinket, adathordozóinkon. Ezek az adatok lehetnek redundáns, elavult és triviális vagyis RET adatok, melyek több helyen egyszerre is fellelhetők.
Ezeknek az adatoknak nagyon pici vagy egyáltalán nincs üzleti értékük. A RET adatok mennyiségét proaktívan csökkenteni kell, vagyis vizsgáljuk őket felül rendszeresen, minősített megoldások vagy szolgáltatások segítségével töröljük.
Ugyancsak maradék adatnak számítanak a sötét, vagyis strukturáltalan adatok, melyek értékét nem tudjuk megállapítani. Nem tudjuk pontosan mit tartalmazna, nem tudjuk pontosan hol lehetnek – GDPR tekintetében időzített bombát jelentenek ezek az adatok. Bővebben az adatok típusairól ebben a korábbi bejegyzésben olvashat.
1. Attól, hogy nem látjuk, az adat még ott van
Már többször foglalkozunk blogunkban azzal, hogy az attól, hogy mi nem találjuk az adott adatot vagy nem látjuk a merevlemezen, nem azt jelenti, hogy az az adat nincs rajta. A törölt állományok nem szűnnek meg létezni, csupán a rájuk mutató bejegyzéseket semmisíti a rendszer. Épp úgy, mint amikor a könyvtárban attól, hogy ez adott könyv referencia számát elveszítjük, a könyv még ott marad a könyvek között, csak nem tudjuk pontosan hol található, ám egy takarítás során rábukkanhatnak.
Az adatokat véglegesen és biztonságosan adatfertőtlenítéssel távolíthatjuk el.
2. A formázás nem töröli véglegesen a maradék adatokat sem
Noha több formázási lehetőség és metódus létezik, ezek a módszerek sem törlik le mindig az adatokat a merevlemezről. A népszerű gyors formázás például a törléshez hasonlóan egy új metaadat térséget alakít ki a számítógép adathordozóján anélkül, hogy a régi személyes adatokat törölné – valahol kell időt nyernie, nemde?
3. A szabályzatok és eljárások épp annyira fontosak, mint az adatfertőtlenítési eljárás
A vállalat méretétől függetlenül az adatszivárgás kockázata egyformán magas. Egy ilyen biztonsági eseményre csak felkészülni lehet. Annak érdekében, hogy mindenki pontosan tudja mi a teendője egy adatvédelmi incidens esetén, érdemes szabályzatban pontosan rögzíteni, hogy kinek mi a felelőssége. Az adatvédelmi szabályzatban érdemes leírni:
- Milyen célból és milyen adatokat gyűjtünk
- Ehhez az adathoz ki fér hozzá, mint adattulajdonos és adatkezelő egyaránt
- Ki az adatkezelő, ki az adattulajdonos, pontosan kinek milyen feladata van
- Hogyan osztályozzuk az adatokat
- Az adatokat hogyan védjük életciklusok során
- Hogyan semmisítjük meg az adatokat életciklusok végén
- Adatvédelmi incidens esetén kinek mi a feladata, kit hogyan kell riasztani, melyek az elsődleges teendők
4. Ha a hardver elhasználódott, nem megy egyedül. Kérjük a szakértő vállalatok segítségét!
Nagyon sok vállalat külső céget bíz meg régi hardver eszközei kezelésével. Ez egy szuper szokás, mely a DATA D-hez hasonló környezetvédelmi vállalatok meglétét biztosítják. Azonban mielőtt kiválasztanánk az IT eszközök újrahasznosításával foglalkozó céget, vizsgáljuk meg, hogy az adott vállalat:
- Milyen folyamatokkal dolgozza fel az IT eszközöket?
- Képes garantálni, hogy minden adathordozó adatát szakszerűen és tanúsítottan töröli?
- Tanúsítványt bocsát ki az adathordozók fertőtlenítéséről?
- Hogyan ellenőrizhetjük, hogy ténylegesen elvégezte az adathordozók végleges törlését?
- Mennyi idő alatt végez a teljes hardverkezelési folyamattal?
Ezeket a kérdéseket érdemes már szerződéskötés előtt tisztázni, írásba foglalni a garanciákat.
5. Csak azért, mert az eszköz cégen belül marad, nem csökkennek a kockázatok
A konzervatív megközelítésű vállalatok választhatják azt is, hogy a régebbi eszközöket egy erre dedikált raktárban őrzik és a biztonság kedvéért nem adják ki külső vállalkozásoknak. Ha szükség van egy tartalék laptopra vagy számítógépre, akkor nem kel újat vásárolni, hiszen arra a rövid időre van egy a régi raktárban. Azonban a kérdés nem ilyen egyszerű, hiszen a gyakorlat azt mutatja, a régi számítógépek adataival senki sem törődik cégen belül. Az eszközök úgy cserélnek gazdát, hogy a korábbi tulajdonos adatai rajta maradnak.
Azonban egy adatvédelmi kérdéseket vet fel, hiszen például a HR-es kolléga rengeteg személyes adatokkal dolgozik, és ezeket a marketinges kollégának nem szabad látnia, hozzáférnie. A GDPR elvei szerint a személyes adatokkal csak azok dolgozhatnak, akiknek erre feltétlenül szükségük van vagy az adattulajdonosa erre beleegyezését adta – teljesen biztos, hogy a HR-es adatok marketing célú felhasználása nem szabályszerű.
6. A mi felelősségünk védeni az adatokat. Még a maradék adatokat is.
Tudjuk, a biztonsági hibáknak se szeri se száma, az operációs rendszereket és a különböző szoftvereket nem hiába frissíti a gyártó rendszeresen. Nem az operációs rendszer gyártójának, hanem a vállalkozás tulajdonosának a felelőssége a vállalat adatvagyonának megvédése. Ahol meg nem tudjuk teljesen megvédeni az adatokat, ott a kockázatok csökkentése a feladatunk. Mert az adat védelme végső soron a mi feladatunk.
jan 13, 2020 | Adatbiztonsági cikkek, hírek
Az IDC adatai szerint 17,6 százalékkal bővült 2019-ben a használt mobiltelefon piac, ami magába foglalja a gyártók által felújított és a használt készülékeket egyaránt. Ez azt jelenti, hogy 206,7 millió használt okostelefon talált gazdára 2019-ben.
Szépen bővül a piac
Az IDC legfrissebb jelentése szerint kétszámjegyű növekedéssel 206,7 millió darabosra bővült a használt okostelefon piac – ez a szám magában foglalja a gyártók által felújított és újból eladott készülékeket is. A piac 17,6 százalékkal bővült a 2018-as adatokhoz képest, amikor 175,8 millió használt telefon talált gazdára. Az IDC előrejelzése szerint éves 13,6 százalékos bővüléssel 2023-ban 332,9 millió darab használt okostelefon talál majd gazdára.
A látványos javulás a piackutató vállalat szerint annak tulajdonítható, hogy megnövekedett a kereslet a használt készülékek iránt, melyek jelentős árbeli különbséget jelentenek az új telefonokhoz képest, viszont képességekben kevésbé maradnak el az újaktól. A telefonkészülék gyártóknak sem sikerült olyan új telefont a piacra dobniuk, melyek új funkciói megmagyaráznák a készülékek magas árát. Vagyis ár/érték arányban a használt készülékekkel járunk jobban.
Az 5G is besegít
Az 5G-s hálózatok, majd az 5G képes mobiltelefonok elterjedése magával hozza azt a jelenséget, hogy meglévő készülékeiket a fogyasztók szívesebben cserélik be a gyorsabb internetezést és jobb felhasználói élményt kínáló 5G modellekre, ez pedig felpörgeti a használt készülékek piacát.
Míg az új okostelefonok piacán stagnálás és helyenként csökkenést prognosztizál Antony Scarsella, az IDC kutatási szakértője szerint a használt okostelefonok piacán továbbra is a kétszámjegyű növekedés a jellemző. Attól a ténytől, hogy a mobiltelefont gyártó cégek újítják fel a használt készülékeket és kínálnak rájuk kiterjedt garanciát helyenként, a költségek féken tartásában érdekelt vállalatok számára is vonzóvá vált ez a piac.
A környezetvédelem is fontos
Egyre több elkötelezett fogyasztó és vállalat környezetvédelmi szempontok miatt is fontosnak tartja a használt készülékek újrahasznosítását és az újrahasznosítás támogatását a készülékek megvásárlásával. Az Apple-hoz hasonlóan nagyon sok vállalat szervezetten gyűjti a használt mobilokat. Azokat a készülékeket, melyeket érdemesnek találják, felújítják, új akkumulátorral látják el, új csomagolásban kerül a piacra – és az újhoz képest jóval alacsonyabb áron értékesítik. A nagy mértékben károsodott készülékeket pedig szétbontják, darabjaira szedik és a legtöbb alkatrészt vagy alkotó anyagot újból felhasználják.
A használt mobiltelefon piac alakulása (millió darabszám)
| Régió | 2018 | Piaci részesedés | 2023 | Piaci részesedés |
| Észak-Amerika | 39 | 22,2 % | 87,2 | 26,2% |
| A világ többi része | 136,8 | 77,8% | 245,7 | 73,8% |
| Összesen | 175,8 | 100% | 332,9 | 100% |
Forrás: IDC
jan 8, 2020 | Adatbiztonsági cikkek, hírek
Előző két cikkünkben (első cikk, második cikk) részletesen foglalkoztunk hat adatfertőtlenítési mítosszal: terítékre került az egyszerű adattörlés, a formázás és a fizikai megsemmisítés körüli téveszmékről. Második cikkünkben a demágnesezés, a kriptográfiai törlés és a DATA D által is kedvelt adatfertőtlenítésről volt szó. Harmadik és egyben a témát lezáró cikkünkben a T2-es chipekkel ellátott Apple Mac gépek adattörléséről, az adattörlés felhasználási területéről, a szerverek adattörlési idejéről és az adatfertőtlenítés költségéről kapcsolatos mítoszokat porlasztjuk szét.
Mítosz 7 – a T2-es Mac gépek törlésbiztosak
Az Apple kiemelten ügyelt a biztonságra, a 2017 második felében bevezetett T2-es chippel ellátott iMacPro (és a későbbi modellek, mint a MacBook Pro, MacBook Air és Mac Mini) gépeknél lapkaszinten is figyel a biztonságra. A T2-es chipre több olyan kontrollert építettek be, mely emeli a gép biztonsági szintjét.
A secure boot funkció például korlátozza, hogy milyen operációs eszköz tölthető be a macOS eszközökre, vagyis csak egy legitim, megbízható operációs rendszer indulhat el a gép bekapcsolásakor. Azt sem engedélyezi, hogy esetleg USB memóriáról bootolják a gépet, vagyis gyakorlatilag megakadályozzák, hogy például hackerek más operációs rendszer indításával férjenek hozzá adatainkhoz. Ez a lapka a hagyományos adattörlési megoldásokkal sem működik együtt: a Blancco Drive Eraser megoldása is operációs rendszerként működik telepítéskor. Azonban a T2-es gépek törlésére a Blancco kidolgozta a LUN Eraser megoldását, mely ezt a kérdést nyugtatóan kezeli.
Mítosz 8 – az adatfertőtlenítés csak a fizikai meghajtókra alkalmazható
Mindenképp szakszerűen törölnünk kell a régi és már nem használt merevlemezeket és SSD meghajtókat, még mielőtt azok elhagyják vállalatunk falait – vagy megbízható cégre taksáljuk ezt az érzékeny feladatot. Azonban az aktív, élő IT környezetnél is szükség van a biztonságos adatfertőtlenítésre, így tudjuk az adatokat teljes életciklusuk alatt az előírásoknak megfelelően kezelni.
Ha mindezt a feladatot automatizáljuk, akkor biztosak lehetünk abban, hogy egyetlen végfelhasználói ponton sem marad helyi másolata az ügyfélinformációnak vagy a bizalmas adatnak. A rendszeres adattörlés megelőzi az adatfelhalmozást, olyan helyeken, melyek célpontjai lehetnek egy külső támadásnak – ezzel a magas kockázattal járó adatszivárgást előzhetjük meg. Minél több lejárt, redundáns, régi adattól szabadulunk meg rendszerezetten, annál kisebb a kockázata, hogy a sikeres támadás nem várt adatveszteséget okoz.
Mítosz 9 – a szerverek adatfertőtlenítése hosszas kimaradást eredményez
Sokkal gyorsabb a több tíz, száz vagy akár ezer szerver adatfertőtlenítése, mint hinnénk. Még akkor is, ha élő IT környezetben végezzük az adatfertőtlenítést vagy életciklusuk végén lévő hardverekről van szó. A biztonságos adatfertőtlenítési megoldások nemcsak minimalizálják a kiesési időt, hanem a szabályzat által működtetett automatizáció és a helyi megoldások csökkentik a törléshez szükséges élő emberi erőforrást is. Főleg azoknál a szervezeteknél, ahol nagyon sok a manuális munkafolyamat, a biztonságos és automatikus adatfertőtlenítés meggyorsítja az egész vállalatot. Bizonyítékra van szüksége? Akkor olvassa el a Blancco esettanulmányát, melyből megtudja, hogyan fertőtlenítettek egyszerre 4000 szervert.
Mítosz 10 – az adattörlés költséges
Ez a legkönnyebben szétszedhető mítosz, ugyanis az adattörlés nem költséges. Ha a DATA D-re bízza számítógépes flottájának, esetleges merevlemezeinek biztonságos adatfertőtlenítését a legtöbb esetben maga az eszköz értéke fedezi a menedzselt adattörlés költségeit. A vállalatok így két gondjuktól szabadulnak meg egyszerre: a régi adathordozókon lévő adatoktól biztonságosan és auditált módon semmisülnek meg, miközben egy újrahasznosítható eszközhöz jutnak.
Ezt a működőképes eszközt maguk az alkalmazottak vásárolhatják meg jelképes áron vagy jótékonysági akció keretében egy rászoruló szervezetnek adományozhatjuk. De ha nem is szeretnénk hardverjeinktől megszabadulni, akkor az adatfertőtlenítés árát az esetleges hatósági bírságokkal vagy az adatveszteség miatt bekövetkező reputáció csökkenésének költségeivel érdemes összehasonlítani – biztosan tudjuk, hogy az adatfertőtlenítés kevesebbe kerül.
dec 12, 2019 | Adatbiztonsági cikkek, hírek
Az Apple 2019-ben újította meg környezetvédelmi programját, ennek keretén belül többszáz Daisy robotot állított munkába. A robotoknak egy feladatuk van: szétszedni a már rossz, javíthatatlan telefonokat és újrahasznosítani összetevőiket.
A világ egyik legnagyobb technológiai vállalata, a kaliforniai székhelyű Apple 2019 tavaszán újította meg környezetvédelmi programját, mely az elektronikai készülékeinek újrahasznosítását tűzte ki céljául. Az Apple Trade In program hazánkban sajnos nem működik, pedig nagyon jó kezdeményezésről van szó.
Így adhatjuk le a régi készüléket
A megszokott módon, a használt elektronikai eszközöket – legyenek azok mobiltelefonok, számítógépek, laptopok, tabletek vagy okosórák – egy számítástechnikai boltban le lehet adni, vagy ingyenesen postán el lehet küldeni a gyártónak. A régi készülékért pénzt is kapunk, ezt vagy beszámolják az új vásárlásakor, vagy pedig egy ajándékkártyára töltik fel. Hogy egy-egy készülék mennyit ér, azt a program hivatalos weboldalán ismerhetjük meg. A régi készüléket akkor is beküldhetjük, ha nem fizetnek érte. Az oldalon arra is tanácsot adnak, hogy adatainkat hogyan mentsük le a használt készülékekről.
Óránként 200 iPhone
Ami a használt készülékekkel ezentúl történik, az az igazán érdekes. A lehetőségekhez mérten, a kisebb hibákkal rendelkező készülékeket kijavítják és alacsonyabb áron értékesítik őket. Ezeket nem használt, hanem újracsomagolt néven maga a gyártó értékesíti boltjaiban. (Ha használt mobiltelefon vásárlásán gondolkozol, akkor ezeket a tippeket kövesd.) A menthetetlen eszközöket azonban szétszedik, apró alkatrészeire bontják és minden lehetséges nyersanyagot újrahasznosítanak.
A gyártó slágertermékére, az iPhone-okra pedig külön telefon szétszedő automatát állítottak hadrendbe. A Daisy névre hallgató robot óránként 200 iPhone-t képes szétszedni. A világon óránként több mint 30 ezer új iPhone talál gazdára, így van utánpótlás. A robot összese 15 különböző modellel tud elbánni, működését az alábbi YouTube videón lehet látni.
Ha a robotnak sikerült 100 ezer telefont szétszednie, akkor azokból a következő nyersanyagokat nyerte vissza: 1500 kg alumínium, 1,1 kg arany, 6,3 kg ezüst, 32 kg ritka fémek, 83 kg tungsten, 1000 kg réz, 29 kg ón, 790 kg kobalt, 1400 kg acél. Ezeket az anyagokat az új készülékek gyártásakor használja fel az Apple. A legutóbb ismert adatok szerint 2018-ban az almás gyártó 7,8 millió Apple eszközt dolgozott fel, ezzel 48000 köbméternyi szeméttől kímélve meg a Földet. Ha a Daisy non-stop működik, akkor majdnem 21 nap alatt képes feldolgozni ezt a 100 ezernyi mennyiséget.
Nemcsak az Apple, hanem a Dell is igyekszik újrahasznosított anyagokból gyártani az új termékeit, ahogy erről a DATAD blogján már írtunk.
dec 7, 2019 | Adatbiztonsági cikkek, hírek
Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.
Előző cikkünkben három adattörlési módszer körüli mítoszt jártunk körbe: szó volt a sima adattörlés, a formázás és a fizikai megsemmisítés körüli téveszmékről. Ebben a bejegyzésben másik három adatmegsemmisítési módszer előnyeit és hátrányait tárgyaljuk: a demágnesezésről, a kriptográfiai törlésről és a DATA D által kedvelt adatfertőtlenítésről lesz szó.
Mítosz 4 – a demágnesezés minden adattárolási technológiánál működik
A demagnetizálásnak vagy demágnesezésnek megvan a maga jól bejáratott helye. Nagyon hatásos a sérült, életciklusuk végén lévő elektronikas eszközök esetében, ahol az adatokat mágneses alapon tárolják. Partnerünk, a Blancco-nak az Ontrack Eraser Degausser terméke a demágnesezés elvén működik. A demágnesezés gyenge pontja, hogy CSAK a mágnesesen tárolt adatok esetén hatékony. A népszerű SSD tárolók esetében teljesen hatástalan ez a technológia, hiszen az SSD félvezetőkön tárolja az információkat. Ugyanígy az optikai tároló eszközök esetében sem használható ez a módszer.
A mágneses elven adatokat tároló merevlemezek és mágnesszalagok esetében is van mire figyelni. A demágnesező erőnek eléggé erősnek kell lennie ahhoz, hogy fertőtlenítse a törlésre szánt eszközöket. Nem mindig talál össze a kettő, főleg, amikor az idősebb demágnesező találkozik az újabb merevlemezekkel.
Mítosz 5 – a kriptográfiai törlés megvédi az adatokat
A kriptográfiai törlés vagy kriptotörlés is egy kedvelt adatfertőtlenítési módszer. A kriptográfiai törlés lényege röviden, hogy beépített vagy külső szoftver segítségével titkosítjuk az adatokat, majd az adatok megfejtéséhez használt titkosító kulcsot kitöröljük. A titkosító algoritmusnak minimum 128 bites erősségűnek kell lennie. Az adat gyakorlatilag az eszközön marad, de a titkosítás miatt, illetve a titkosító kulcs törlése következtében az adatokhoz lehetetlen hozzáférni.
De, mint minden adatfertőtlenítési módszernek, ennek is megvan a hátulütője. A kriptotörlés ideális megoldás, amikor az adathordozó eszközök átutazóban vannak. Azonban a felhasználók befolyásolhatják a kriptográfiai törlés sikerét (vagyis sikertelenségét) emberi tévedéssel és rossz kulcsok használatával. Az is gond, hogy az adat mindvégig az eszközön marad, csak olvashatatlan.
Mítosz 6 – adatfertőtlenítés
Ebben az esetben csak a stilisztika kedvéért beszélünk mítoszról, mert a tanúsított adatfertőtlenítés az egyik legmegbízhatóbb és legalaposabb adattörlési módszer. A módszer alapja, hogy egy adott szabvány szerint egy szoftverrel 0-val és 1-essel többszörösen felülírjuk az adathordozón lévő adatokat. A felülírással az eredeti adat elvesz és semmilyen módszerrel nem állítható vissza. Ha egy merevlemezt teljes biztonsággal fertőtleníteni szeretnénk szoftveresen, akkor a következő lépéseket tartsuk be:
- Válasszuk ki az iparágunknak és vállalati igényeinknek megfelelő adatfertőtlenítési szabványt.
- Használjunk egy adatfertőtlenítő szoftvert adataink biztonságos törlésére, kövessük a szoftver utasításait.
- Az adatok törlése után a szoftver ellenőrzi, hogy az adatok felülírási módszertana sikeres volt-e vagy sem, és hogy valóban eltávolította az összes adatot a céleszközről
- A szoftver elkészít egy módosíthatatlan tanúsítványt, mely bizonyítja, hogy az adatok törlése sikeres volt a lemez minden szektorában, mellékelve az eszköz adatait és a használt szabvány információit.
Az adatfertőtlenítés az adatok szakszerű és tanúsított megsemmisítésének legmagasabb formája, a tanúsító folyamat biztosítja és garantálja azt, hogy az adatot sikeresen felülírták. Az adatfertőtlenítés környezetbarát, a fertőtlenített eszközöket újból fel lehet használni. Ennek a módszernek is van azonban hátránya: időigényesebb, mint a többi módszer. Ugyanakkor az adatfertőtlenítés arra kényszeríti a szervezeteket, hogy folyamatokat és szabályzatokat dolgozzanak ki az adattárolók menedzselésére.
dec 3, 2019 | Adatbiztonsági cikkek, hírek
Mi állítja meg a vállalatokat abban, hogy teljesen és tanúsítható módon megszabaduljanak a már nem használt adatokról? Gyakran az idejétmúlt és nem teljes adatvédelmi szabályzatok. Sokszor azért nem tesznek eleget ennek a kötelezettségüknek, mert teljesen félreértik, mit is jelent az adatfertőtlenítés (a fájlok lomtárba helyezése távolról sem tartozik ide). Esetenként viszont széleskörben elfogadott módszereket használnak – csak a rossz eszközökön. Bármi legyen is az oka, ezek a félreértések oda vezetnek, hogy vállalaton megnövekszik az adatszivárgással és általánosságban az adatokkal kapcsolatos biztonsági incidens kockázata.
Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.
Mítosz 1 – egy sima törlés minden problémát megold
Tényleg megtévesztő a törlés kifejezés, hiszen még a szakavatott IT technológiával foglalkozók is gyakran azt hiszik egy sima törléssel gond nélkül megszabadultunk az adatoktól. Miután a számítógép asztalán lévő virtuális szemetesben helyeztük a fájlokat, onnan még mindig egy kattintással visszaállíthatók. Sőt, akkor sem töröljük a fájlokat véglegesen, mikor kiürítjük virtuális szemetesünket. Megtévesztő a dolog ó, mert a Windows azt kérdi a kuka kiürítésekor, hogy „Biztos benne, hogy végleg törli ezt a fájlt? Azonban az operációs rendszer nem törli az az adatokat, csak a rájuk mutató bejegyzéseket, az érintett területet felhasználhatónak jelöli, és kész. Az adat ott marad és megfelelő szoftveres eszközök segítségével visszaállítható.
Mítosz 2 – a formázás mindent adatot eltűntet
Egy saját, Blancco felmérés szerint a válaszadók 51 százaléka azt gondolja, hogy az adathordozó gyorsformázása vagy teljes formázása elegendő ahhoz, hogy végleg töröljük az adatokat. A formázás valóban elég sok adatot eltüntet a lemezről. De adatfertőtlenítési módszerhez ez azonban nem elegendő, főleg nem a tanúsítást igénylő vállalati folyamatok esetében. Az adat helyreállítható online is elérhető eszközök segítségével.
Ami tovább zavarja a probléma megértését, hogy több OEM gyártó törlésként nevezi meg a formázást. Azonban ezeknek a módszereknek megvan a maguk korlátja, hiszen nem lehet kiválasztani egy adattörlési szabványt, nem lehet ellenőrizni, hogy a törlés sikeres volt és a törlésről tanúsítvány sem készülhet – mindez az adatfertőtlenítési irányelvek között kötelezően szerepel.
Mítosz 3 – a fizikai megsemmisítés minden adatot tönkretesz
Ez egy valóban trükkös megoldás, az ördög a részletekben rejlik. Az adathordozó fizikai megsemmisítése valóban hatásos és a DATA D által használt, tanúsított, az előírásoknak tökéletesen megfelelő adatfertőtlenítő megoldás. Sok esetben a nemzetbiztonsági szervek előírt adatmegsemmisítő módszere, kiforrott és bejáratott megoldások léteznek ezen a területen. Az adat fizikai megsemmisítési folyamatának minden lépését naplózzuk, részletes tanúsítványt bocsájtunk ki.
A meglévő berendezések teljesen alkalmasak a mágneses merevlemezek fizikai megsemmisítésére, de a kisebb, az adatokat sűrűbben tároló SSD-k esetében nagyon apró vágási méretet kell beállítani ahhoz, hogy valóban hatásos legyen a megsemmisítés. Az amerikai nemzetbiztonsági hivatal ajánlata szerint az SSD-k javasolt vágási mérete 2 milliméter. Ha a vágási szelet ennél nagyobb, akkor megnő annak a kockázata, hogy ép darabok jutnak át a szeletelőn, amelyekről az adat gond nélkül visszaállítható.
Ahogy korábban már erről írtunk, nagyon sok vállalat szükségtelenül és foggal-körömmel ragaszkodik az adathordozók fizikai megsemmisítéséhez. Holott az adatok szoftveres és tanúsított fertőtlenítése is elvégzi a feladatot, és ráadásul még környezetbarát módon. A fizikai megsemmisítés esetében olyan elektronikai hulladék keletkezik, melynek szakszerű megsemmisítéséről tovább gondoskodni kell.
Az adathordozók értéke fedezi a szakszerű adatfertőtlenítés költségét, így nagyon sok esetben az adott adatoktól és adathordozóktól megszabadulni kívánó szervezetnek egy fillérbe se kerül az adatfertőtlenítés. És ráadásul a környezetet sem terheljük vele, mert a felújított adathordozó vagy számítógép új életet kezdhet máshol.
nov 23, 2019 | Adatbiztonsági cikkek, hírek
Már korábban írtunk arról, hogy az adatok titkosítása nem helyettesíti az adatok szakszerű fertőtlenítését, a titkosítás csak megnehezíti, de nem teszi lehetetlenné az adatok teljes törlését. Nemrég egy olyan biztonsági hibára derült fény, melynek kihasználásával vissza lehet nyerni a TPM-ben tárolt titkosítási kulcsokat. A hiba milliárdnyi informatikai eszközt érint.
A legütősebb érv, amit az adatok szakszerű fertőtlenítése ellen gyakran felhoznak üzleti partnereink, az az, hogy az adatokat eleve titkosítva tárolja az adott adathordozón, így rajta kívül senki más sem tud hozzájutni az adatokhoz. Az esetek többségében valóban igaz, hogy a titkosítottan tárolt adatokból idegenek semmilyen hasznosítható információt sem tudnak kinyerni. A gyakrabban előforduló sérülékenységek miatt azonban az a biztos, ha az adatokat szakszerűen, jegyzőkönyvezve, tanúsítottan véglegesen töröljük.
Hiba csúszhat bele
A titkosítást emberek készítik, emiatt nagyon könnyen hiba csúszhat belé. Egy biztonsággal foglalkozó kutatócsoport nemrég fedezte fel a Trusted Platform Module harveres és szoftveres titkosítás hibáját. A TPM egy speciális biztonsági megoldás, hardver vagy szoftver alapú, melyet úgy találtak ki, hogy akkor is megvédje az érzékeny adatokat (tanúsítványokat, titkosítási kulcsokat), amikor egyébként az operációs rendszer a bűnözők befolyása alatt van. A TPM technológiát milliárdnyi számítógépben, laptopban, szerverben, okostelefonban, IoT eszközben megtalálható. Egy időzítés alapú támadás segítségével a TPM lapkában lévő adatok mindenki számára elérhetővé válnak. A hiba az STMicroelectronics gyártotta TPM lapkákat és a firmware alapú, Intel TPM titkosítást érinti.
Korábbi cikkünkben két ismert titkosítási sérülékenységről számolhattunk be. A Windows operációs rendszerekbe alapból beépített Bitlocker titkosítási eljárásról kiderült, hogy firmware-beli hiba miatt könnyen feltörhető kulcspárokat generált a rendszer. A problémát tovább fokozza, hogy nem könnyű ezt a hibás firmware-t frissíteni – már ha eszébe jut ez a rendszergazdának. A 2017-ben feltárt hibához vannak frissítések, ezen a linken lehet megnézni, hogy a különböző hardverekhez honnan, hogyan kell azt telepíteni.
Ide is csúszott egy hiba
A méltán népszerű Western Digital titkosítási eljárásába is hiba csúszott, ezen a linken olvashatják el az összes hibát. Egyet kiemelünk: a titkosításban a sózás technológia arra szolgál, hogy a gyenge jelszavakat lenyomatait megváltoztassák, úgy, hogy a hackerek ne ismerjék fel, ne tudják visszafejteni, Ehhez azonban változó vagy módosítható sóra van szükség, amit az eredeti gyenge jelszóhoz kevernek. A WD merevlemezei a sózáshoz három betűből álló, nem módosítható karaktert használnak: WDC.
nov 14, 2019 | Adatbiztonsági cikkek, hírek
Nem győzzük hangsúlyozni, hogy az a legszerencsésebb, ha a GDPR miatt egyébként is kötelező adatkezelési szabályzat foglalkozik azokkal a teendőkkel, melyekre az adat életciklusának végén kell sort kerítenünk. Az év eleje kiváló alkalmat biztosít arra, hogy ezeket az adatkezelési szabályzatokat felülvizsgáljuk, átnézzük – ahogyan azt előző írásunkban már említettük.
Legtöbb vállalatnál az IT biztonsági szabályzat a hálózati és a peremterület biztonsággal agresszíven foglalkozik, és keményen védi a vállalati folyamatok által létrehozott, tárolt, használt és megosztott adatokat. Ezek a szabályzatok azonban azzal nem foglalkoznak azzal, hogy az adatoknak az élete véges, és ebben a szakaszban is kezelni kell őket, archiváljunk vagy töröljünk. A fizikai megsemmisítésre váró adathordozókon maradt adatok könnyedén kerülhetnek illetéktelen kezekbe, biztos, hogy ezt a kockázatot szeretnénk vállalni?
Elavult technológiák hada
A szabályzatot már azért is érdemes felülvizsgálni, hogy lássuk, milyen adatmegsemmisítési gyakorlatot ír elő. A technológiák változásával a régi, jó, kipróbált és költséghatékonynak tűnő módszerekről kiderülhet, hogy elavultak, van helyettük sokkal jobb. Ilyen technológia például az adathordozó szakszerűtlen vagy szükségtelen fizikai megsemmisítése. Az adathordozó fizikai megsemmisítése még mindig egy szóba jöhető lehetőség, mikor a hardver és a rajta lévő adat is elérte életciklusának végét. A hardverek fejlődése miatt a szabályzat előírásai nem képesek minden lehetőséget lefedni.
Lemágnesezés – csak a mágnesen adathordozókon működik, mind a merevlemezeken, de mindig a megfelelő erősségű mágneses mezőt kell használni, ami az újabb merevlemezek esetében változhat. Az SSD-k esetében nem működik ez a megoldás.
Darálás – a fizikai megsemmisítés egészen hatásás adatmegsemmisítési eljárás, szinte az összes adathordozóval működik. Az adattárolásban azonban egyre kisebb és kisebb helyet foglalnak el az adatok, így, ha nem megfelelő apróságúra daráljuk le a merevlemezt, akkor adatrészletek a megmaradt nagy darabokból még minidig visszaállíthatók.
Mindkét módszernek a hátulütője, hogy szemetet generál, illetve elvesztődik az a lehetőség, hogy újrahasznosítsuk az eszközt minősített adattörlés után. Az adatfertőtlenítés nem generál többlet szemetet, az adott adathordozót újból lehet használni vagy el lehet adományozni, és még az adatokat is az előírások szerint kezeli.
A hatástalan adattörlési metódusok is az idejétmúlt gyakorlatok közé tartoznak. Az idejétmúlt adatkezelési szabályzatunk előírhatja például, hogy a z összes adathordozó manuális törlése és formázása a legjobb gyakorlat adatmegsemmisítés szempontjából. Ez messze nem igaz: a formázás és törlés után az adatok ingyenesen elérhető eszközökkel könnyedén visszaálílthatók. Nemcsak, hogy nem biztonságos, független tanúsítványt sem készül az adattörlésről, mellyel a hatóságok előtt igazolni lehet az adatok szakszerű törlését.
Felejtsük el a régi szabványokat
Nagyon sok adatkezelési szabályzat régi szabványokon alapuló adattörlési módszereket tesz kötelezővé a vállalaton belül. Iyen például a DoD szabvány, mely immár 25 éves és valamikor az amerikai védelmi minisztérium legszigorúbb előírásait tartalmazta a teljes és biztonságos adattörlésre. Az idő azonban eljárt felette, legutóbb 2006-ban frissítették, és így nem meglepő, hogy az SSD tárolókkal nem foglalkozik. Ehhez képest a 2014-ben frissített NIST SP 800-88 R1 (PDF) egy sokkal modernebb szabályrendszer, mely technológia semlegesen közelíti meg az adattörlés kérdését.
nov 3, 2019 | Adatbiztonsági cikkek, hírek
Reméljük, hogy mérettől függetlenül minden vállalatnak van már adatkezelési szabályzata, ha másért nem, az igen szigorú GDPR-nak való megfelelés miatt. Ez az adatkezelési szabályzat tartalmazza azokat a tennivalókat is, melyeket az adat életciklusának végén szokás életbe léptetni (ha esetleg mégsem, akkor most érdemes pótolni ezt a hiányosságot.)
Elavultak lehetnek adatmegsemmisítési gyakorlataink
Szánjunk egy kis időt adatmegsemmisítési gyakorlataink felülvizsgálatára, hiszen hamar kiderülhet, hogy már nem az aktuális folyamatokra, technológiákra bízzuk adataink megfelelő kezelését. Cikkünkben összeszedtünk pár érvet, hogy miért érdemes átvizsgálnunk adatkezelési szabályzatunkat, második cikkünkben pedig arról is írunk, mit érdemes átvizsgálni.
Technológiai változások
Adatgyűjtési szokásaink, adatfelhasználásunk folyamatosan változik: ha nem a vállalati folyamatok lesznek mások, akkor cserélődnek az adatgyűjtéshez használt hardver és szoftver. A változás szükségszerű, hiszen, ha régi módszereket használunk új eszközökhöz, akkor elhúzódó, időigényes, sérülékeny működés alakul ki.
Szabályozói akarat
Az Európai Unió adatvédelmi szabályzata (GDPR) 2018 májusától kezdte el büntetni azokat a vállalatokat, akik nem megfelelően védték az európai magánszemélyek személyes adatait. A GDPR számos európai adatokkal dolgozó vállalat életét átalakította, de ugyanakkor előkészítette az utat a rendelkezések világszerte történő elfogadásához. Noha az Amerikai Egyesült Államokban még nem fogadták el szövetségi szinten a GDPR-t, Kalifornia államban életbe lépett egy GDPR-ihlette adatvédelmi rendelkezés. a CCPA. Mindez azt mutatja, hogy a hatóságok világszerte azon vannak, hogy az adatok kezelését jogi korlátok közé szorítsák.
Az adat értéke változik
Az adatnak is van szavatossági ideje, egy idő után az elavult, régi, redundáns adat semmit sem ér, csak foglalja a helyet az adathordozón. Érdemes átgondolni, hogy a valaha komoly üzleti értékkel bíró adataink nem képviselnek értéket másoknak? Ha adatgyűjtési szabályzatunk megengedi (és ezt az adatok gazdáival is szabályszerűen tudattuk), akkor ezeket az adatokat másoknak eladhatjuk, miután számunkra már nem képvisel semmilyen értéket. Ha nem ezzel a céllal gyűjtöttük őket, érdemes az elavult, régi, lejárt szavatosságú adatokat úgy kezelni, ahogy megérdemlik: dokumentáltan, szakemberek segítségével töröljük őket. Azért is érdemes a régi adatoktól megszabadulni, mert a hackerek számára ezek is értéket képviselnek. Az IBM és Ponemon Intézet közös kutatása szerint az adatszivárgásokban elveszített adatok átlagos értéke 150 dollár (45 ezer forint) volt rekordonként.
Az adatgyűjtés sebessége és volumene növekszik
Az adatmenedzsment fontossága azután növekedett meg, hogy az adat egyre gyorsabban és egyre nagyobb mennyiségben növekszik. A vállalat szolgáltatásának bővülésével keletkezhet egyre több adat, ahogy az IoT eszközök szenzorjai is csak úgy ontják magukból az információkat, de egyre több a viselhető eszköz is, melyek az emberek egészségügyi jellemzőit rögzíti. Minél több adatunk van, melyet menedzselni és védeni kell, annál nagyobb a kockázata egy biztonsági incidensnek és annál nagyobb kár keletkezik egy esetleges adatszivárgás esetén. És arról nem is beszélve, hogy annál több információt kell valahol tárolnunk, ami azt jelenti, hogy újabb és újabb drága adattároló rendszereket kell beszereznünk. Az adatkezelési szabályzatunk szabhat gátat ennek, mely előírhatja, hogy pontosan meddig milyen adatokat, hogyan tároljunk, illetve életciklusuk végén hogyan semmisítsük meg azokat.
A hackerek egyre kíváncsibbak
A Risk Based Security adatai szerint 2019 első kilenc hónapjában 5183 adatszivárgásos incidenst regisztráltak, ami 7,9 milliárd adatrekordot jelent. Az előző év hasonló időszakához viszonyítva az adatincidensek száma 33,8 százalékkal bővült, míg a napvilágra került adatok mennyisége 112 százalékkal nőtt. A legelterjedtebb adatszerzési metódus a hackelés volt, a legtöbb adat webes forrásokból szivárgott ki. Iparág szerint az orvosi intézmények, kereskedők és közintézmények a legérintetettebbek.
Pongyola fogalmazás
Az jó, ha létezik vállalati adatszabályzat, de nem sokat érünk vele, ha széles körűen fogalmazunk, nem zárunk le minden kiskaput és nem jelöltjük ki pontosan a felelősöket. Főleg az adatmegsemmisítés témaköre az, melyet ezek a szabályzatok nem megfelelően tárgyalnak – holott a teljes adat életciklust le kellene fedni. Végső soron ki az adat tulajdonosa? Ki a hardver tulajdonosa és hol tároljuk az adathordozók teljes, szakszerű és tanúsított adattörlési jegyzőkönyveit? Ki a felelős, ha egy adatszivárgás következtében a régi adat nyilvánosságra kerül? A kérdésekre a válasz derüljön ki a szabályzatból.
okt 23, 2019 | Adatbiztonsági cikkek, hírek
Közel másfél évvel a GDPR hatályba lépése óta a vállalatok még mindig az adatvédelem elején tartanak. A gigabírságok elmaradtak, a hatóságok elnézők – a védett adatokból pedig egyre több és több születik.
A General Data Protection Regulation nevű EU-s rendelet hatályba lépésének időpontja 2018 május 25.. Sokan féltek ettől a határidőtől, sokan rettegtek tőle, de a legtöbb vállalkozás minden tőle telhetőt megtett azért, hogy a szabályozásnak megfelelő módon működjön.
A vállalat és adatvagyon kapcsolata bonyolult
Az elmúlt másfél évben a zaj elült, a vállalatok meg csendben alkalmazkodnak az új játékszabályokhoz. A cégek és a GDPR most már boldog párként, kéz a kézbe sétálnak a boldog jövő felé? Még nem. A vállalatok és adatvagyonuk közötti kapcsolat túlzottan is bonyolult ahhoz, hogy tartós következtetéseket levonhassunk. Egy hajózási hasonlattal élve, csak most hagytuk el a kikötőt, és egy hosszú utazás előtt állunk. Egy olyan hajón vagyunk, mely sohasem áll le, kikötőből kikötőbe tart, és folyamatosan, a hatóságokkal együtt tanulunk a legjobb gyakorlatokról és megoldásokról.
Fredrik Forslund, a biztonságos és dokumentált adattörléssel foglalkozó Blancco alelnöke szerint a GDPR abban segítette a vállalatokat, hogy átgondolt adatszabályzatot fogadtak el. Korábban az adattokkal kapcsolatos információk a cégen belül léteztek, de struktúra nélkül, szerte szórtan a vállalati rendszerben. A szabályzat hatására a cégekben megjelent az adatvédelmi biztos, (szerepéről korábban már írtunk) de ugyanakkor a munkaköri leírásokban megjelentek az adatokkal kapcsolatos tudnivalók és tennivalók. Rengeteg képzés indult ezen a területen, számtalan jó gyakorlatot osztanak meg egymással a hatóságok és a vállalatok egyaránt. A vállalatok adattudatossá váltak.
Elemzéssel kezdenek
A Blancco szakembere szerint egy vállalati GDPR projekt mindig a gap elemzéssel kezdődik, vagyis megvizsgálják, hogy a vállalat meglévő működése mennyire felel meg a friss szabályzatnak. Az elemzés során az adat vállalaton belüli életciklusát is megvizsgálják, ellenőrzik, hogy az adatot hogyan menedzselik, hol található, merre tárolják, hogyan készítenek biztonsági mentést és kinek van hozzáférése az adatokhoz.
Az ehhez hasonló elemzések mindig feltárják a visszásságokat: olyan helyen bukkannak adatokra, ahol nem kellene lennie (például kiszuperált gépeken vagy polcon tartott USB memórián), több helyen tárolják az érzékeny adatokat, holott csak egy helyen lenne szabad. Miután a problémákat azonosították, a vállalatoknak bizonyítékra van szükségük, hogy az adatokat megfelelően törölték, az adathordozókat megfelelően fertőtlenítették – ebben tud segíteni a Data Destroy szolgáltatása is.
okt 18, 2019 | Adatbiztonsági cikkek, hírek
Előző cikkünkben arról írtunk, hogy a Gartner Hype Cycle görbéjén az adatfertőtlenítés technológia szintet lépett a megvilágosodás emelkedőjébe. Cikkünkben azt tárgyaljuk, hogy a döntéshozók milyen okokból fordulnak az adatfertőtlenítéshez és milyen javaslatokat fogalmaz meg a Gartner.
A kormányzati szervezetek és a vállalkozások szeretnének megfelelni a szabályozó elvárásainak az adatok menedzselése terén is. Eszközöket keresnek adatbiztonsági szintjük növeléséhez, az szabályzatok betartásához és szeretnének a redundáns, régi vagy szükségtelen adataiktól dokumentált módon megszabadulni. Ehhez pedig olyan megoldásokra van szükségük, mely helyreállíthatatlanul töröli, fertőtleníti az adatokat, és minderről jegyzőkönyvet is készít.
Megelőzhető az incidens
Az adatfertőtlenítés a döntéshozók számára is fontos kérdés, hiszen segítségével megelőzhető az adatbiztonsági incidens, miközben a szabályozói elvárásnak megfelelően működik a cég és környezetünk védelméért is tehetünk valamit. Megfelelő helyen és megfelelő mennyiségű adatot kell tárolnunk, ezzel a kellemetlen adatszivárgási incidensek egy része megelőzhető. Gondoljunk arra, hogy egy hacker tevékenysége nyomán nemcsak az üzleti kincset jelentő adatok jutnak napvilágra. Az is kiderülhet, hogy olyan adatokat is tároltunk, melyeket a törvény előírásai szerint már meg kellett volna semmisítenünk. A támadás jelentette pénzügyi veszteség mellett néha sokkal nagyobb problémát okoz a hasonló incidensek okozta reputációs veszteség, ebből nehezen lehet felépülni.
A szabályozó érthető módon egyre nagyobb érdeklődést tanúsít az adatok témaköre iránt. A GDPR komolyan szabályozza a személyes adatokkal kapcsolatos tennivalóinkat, ennek mintájára egyre több ország írja elő az adatok védelmét. Az 5G technológia robbanásának küszöbén vagyunk, a hazai mobilszolgáltatók már készen állnak, már csak a frekvencia engedélyek megvásárlása szükséges. A technológia még további adatmennyiség növekedést generál, az IoT eszközök soha nem látott mennyiségben terjednek, ahogy nő az általuk előállított adatok mennyisége is. Ami azt jelenti, hogy a nem kívánt adatszivárgások száma növekedhet – ez pedig további szabályozói feladatokat generál.
A környezetvédelemre is lehet figyelni
Noha az ügyvezetői döntésben nem döntő tényező, a környezetvédelmi kérdésekre is oda kell figyelni. A szervezetek motiváltak, hogy csökkentsék ökológiai lábnyomunkat, vagyis kevesebb elektronikus szemetet termeljenek – ami megnyitja az utat az eszközök újrahasznosítása előtt. Néha a helyi szabályozások követelik meg az eszközök újrahasznosítását, de gyakoribb, hogy a vállalatok társadalmi felelősségvállalás programjaik keretén belül, önként vállalják a környezeti terhelés csökkentését.
Ilyen környezetben a Gartner érett technológiának tartja az adatfertőtlenítési technológiát, mely 2-5 éven belül már a produktivitás platójára kerül – ez a kategória a teljesen érett technológiák csoportja. A piackutató cég azt javasolja, hogy a teljeskörű adatfertőtlenítést az összes, adattárolóval rendelkező eszköz esetében használjuk, vagyis a vállalati szerverek, asztali PC-k mellett, mobil eszközökre, IoT eszközökre is figyeljünk adattörléskor.
Együttműködésre van szükség
Egyes szervezeteknél hiányozhat az adatfertőtlenítési kompetencia, mert a különböző eszközök ételciklusait elszigetelt eseményként kezelik, nincs koordinált együttműködés a vállalat különböző részlegei között. A Gartner tanácsa szerint az adatfertőtlenítésben érdekelt össze szereplő (biztonság, compliance, jogi osztály, IT) együttműködésére van szükség ahhoz, hogy megfelelő adatfertőtlenítési szabványokat dolgozzanak ki,melyek konkrét tennivalókat írnak elő az adat végső megsemmisítésére.
A piackutató vállalat további javaslatai szerint a gondos előkészítés és kiválasztás nemcsak a belső folyamatokra alkalmazandó. A Gartner azt tanácsolja, hogy a vállalatok bizonyosodjanak meg, hogy a külső adatfertőtlenítő partner tanúsítványt állít ki az adatok megsemmisítéséről, melyen szerepel az adathordozó sorozatszáma, a használt felülírási módszerek. Azok a vállalatok, akik külső adatmegsemmisítő partnereket bíznak meg, a szerződésben kössék ki azt a lehetőséget, hogy bármikor auditálhatják a külső partner adatfertőtlenítési folyamatait és szabványait. Így meggyőződhetnek arról, hogy a szolgáltató a biztonsági és iparági előírásoknak megfelelően, a megbízó szabványainak és előírásainak megfelelően jár el adatmegsemmisítéskor.
okt 14, 2019 | Adatbiztonsági cikkek, hírek
A Gartner szerint az adatfertőtlenítés technológiája egy szinttel érettebb kategóriába lépett, és most a hype cycle görbén a megvilágosodás emelkedőjén tartják számon.
Az idei év első felében rengeteg adatvédelmi incidensnek voltunk a tanúi, a Risk Based Security adatai szerint 54 százalékkal több biztonsági eseménnyel szembesültünk. A GDPR 2018 májusa óta foglalkoztatja a vállalatokat, rengeteg cég nézette át adatvédelmi és adatkezelési gyakorlatát. A GDPR hatására több gigabírság is megszületett – ezek hatására a vállalatok komolyabban és gyakrabban foglalkoznak a saját adatkezelési szokásaikkal.
Nemcsak az adatvédelmi incidensek miatt, hanem a technológia fejlődése is oda vezette a Gartnert, hogy az adatfertőtlenítés technológiát egy érettebb kategóriába sorolja. A piackutató és tanácsadó cég évente felülvizsgálja a különböző technológiákat, így az adatfertőtlenítést is, és idén frissítette a technológiára vonatkozó előrejelzéseit. A Hype Cycle for Data Security 2019, Hype Cycle for Privacy 2019 és Hype Cycle for Endpoint Security 2019 című tanulmányokban (melyek előfizetéssel elolvashatók) az adatfertőtlenítés a megvilágosodás emelkedője fázisba lépett, ami azt jelenti, hogy a megoldás a nice to have kategóriából a szükséges technológiák sorába lépett. A Gartner elemzése szerint a technológia 2-5 év alatt a következő kategóriába, vagyis a plateu of productivity-be lép.
Így értelmezhető ez a görbe
A Gartner hype cycle görbe fejlődésük és üzleti elfogadásuk szerint követi az egyes technológiákat. Az első fázis az innovation trigger, amikor egy olyan szakaszról beszélünk itt, amikor egyszerűen egy kutatási eredmény bemutatásáról van szó, mely üzleti potenciált rejt magában. A görbe második fázisa a peak of inflated expectations, amikor még a csapból is ez a technológia folyik, mindenki túlzott elvárással tekint a technológia iránt és akarva akaratlanul nagykövete lesz. Ebben a fázisban teljesen égbekiáltó, a valóságtól elrugaszkodott ötletet is megszületnek, és ilyenkor nehéz eldönteni, hogy valós gazdasági eredménnyel kecsegtet az adott technológia vagy sem.
Ezt követi a kiábrándulás időszaka, vagyis a trough of disillusionment, amikor kiderül, a fogyasztók még nem készek az adott technológia befogadására, a pilot projektek nem hozzák a tervezett számokat, vagy rájönnek, nem életképes az ötlet. Ebben a fázisban sok technológia elvérzik, amelyik nem, a következő fázisba léphet a Gartner görbén, amely a slope of enlightenment vagyis a megvilágosodás emelkedője – ebben a fázisban van az adatfertőtlenítési technológia. Ebben a fázisban a vállalatok megértik és tudják, pontosan mire is használható az adott technológia. A korai felhasználók mindennapjainak már részese ez a technológia, az innovatív vállalatok is kezdik implementálni őket. A technológia elterjedését a dobozos megoldások megjelenése is segíti.
A stratégiai döntéshozók eszköze
A vállalatok nagyobb része akkor kezdhet el gazdasági megtérülésben gondolkodni, amikor a technológia az ötödik fázisba, a plateu of productvity-be érkezett. Ekkor az adott technológia megszokott, a mindennapok részesévé válik, és már senki sem kérdőjelezi meg gazdasági hasznát.
A Gartner jelentésében azt írják, hogy az adatfertőtlenítés a stratégiai döntéshozók eszköze, mellyel az adatvédelmi problémákat, az adatbiztonsági kérdéseket tudják megnyugtatóan rendezni, megfelelnek a szabályozói elvárásnak, és képesek menedzselni az egyre növekvő adatmennyiséget, melyet az IoT eszközök is csak egyre gyarapítanak. A GDPR is előírja az adattörlési kötelezettséget a vállalatoknak, a megsemmisítéssel akkor kell foglalkozniuk, amikor már nincs szükség rá, vagy az adat tulajdonosa azt kifejezetten kérte. A rossz helyen tárolt adat hackerek célpontjává válhat, mely egy szükségtelen és költséges kockázat.
