jún 12, 2020 | Adatbiztonsági cikkek, hírek
Az új IBM által fejlesztett titkosítási technológia, a Fully Homomorphic Encryption (FHE) egyelőre az Apple eszközeivel kompatibilis, de az Android és Linux verziók már úton vannak.
Vadonatúj technológia
Az IBM június elején mutatta be a Fully Homomorphic Encryption (FHE) nevű adat titkosítási technológiát, melynek használatával a használatban lévő adatoknak biztosít titkosítást. A GitHub-on ingyenesen elérhető eszköz segítségével egyelőre az Apple eszközökön (iOS és macOS) használható az új technológia.
Az FHE segítségével könnyebben osztunk meg harmadik féllel bizalmas adatokat, így például felhőszolgáltatók sokkal könnyebben dolgozzák fel a pénzintézetek adatait, hiszen azok mindvégig titkosítottak, még használat közben is. Ez nagy megkönnyebbülést jelenthet olyan, erőteljesen szabályozott iparágak esetében, ahol a személyes adatok védelme miatt külső szolgáltatóknak nehezen adhatták át ezeket az adatokat elemzés, feldolgozás céljából. Itt például az egészségügyre, a pénzügyi szolgáltatókról van szó, akik rengeteg személyes adatot kezelnek.
Mi is ez az FHE?
A szenzitív adatok megosztásának és tárolásának vannak gyenge pontjai: az adatok többnyire akkor titkosítottak, amikor utaznak vagy amikor pihennek egy adattárolón, de ki kell őket titkosítani, amikor használatban vannak. Ez a hackereknek és külső embereknek jelent ismételt lehetőséget arra, hogy hozzáférjenek a nem titkosított adatokhoz. Az FHE ezeket a lyukakat is betömi. Az engedéllyel rendelkezők számára a technológia lehetővé teszi az adatok feldolgozását úgy, hogy az adatok mindvégig titkosítva maradnak, ezzel is csökkentve azt az időt, amikor az adat legsérülékenyebb állapotában létezik.
Más technológiákkal övezve az FHE továbbá arra is lehetőséget biztosít, hogy szelektíven tiltsuk az adatok kititkosítását. Így az emberek egy adott adatból csak azokhoz a részekhez férhetnek hozzá, amelyre engedélyt kaptak vagy szükségük van munkájuk elvégzéséhez.
Egy kis történelem
Az FHE ötlete már az 1970-es évek vége felé felmerült, de az igazi áttörés a 2009. május 31-én rendezett ACM Symposium on Theory of Computing rendezvényen érték el a tudósok, amikor Craig Gentry kriptográfus elsőként bemutatta a technológiát Fully Homomorphic Encryption Using Ideal Lattices című dolgozatában.
A dolgozat ténylegesen komoly áttörést hozott ezen a területen, de akkor még a mindennapi használathoz túl lassú volt a mögöttes számítások komplexitása és a számítástechnikai feldolgozó erő igénye miatt. Az IBM Research mér dolgozik a technológia csiszolásán, ami most érett meg annyira, hogy bizonyos alkalmazásoknál nyugodtan használni lehet – ez pedig a jövőbeli számítástechnikai feldolgozó kapacitás növekedésével és a mögöttes algoritmusok fejlődésével csak tovább csökken.
Kódolt adaton is megy a munka
A tudósok nemrég egy kutatást tettek közzé és brazil bankkal közösen, melyben bemutatták, hogy az FHE használatával ugyanolyan pontossággal képesek előre jelezni, mint a nem kódolt adatokon. Az eredmény, hogy például a bankok egy bizalmatlan közegnek is kiadhatják az előrejelzések szimulálását. A kutatók egyelőre MacOS-reés iOS-re adták ki a kódoláshoz szükséges eszközöket, azzal a megjegyzéssel, hogy még távol állnak a tökéletestől, hamarosan az Androidos és Linuxos változat is elérhető lesz.
máj 24, 2020 | Adatbiztonsági cikkek, hírek
Tudjuk, első világbeli probléma mind, amire bejegyzésünkben rávilágítunk, de tanulságos: a Tesla nem törölte az autóiban használt, de kicserélt számítógépekről a személyes adatokat, amelyeket bárki megvásárolhatott az eBay-en.
A Tesla elektromos autó, de ugyanakkor egy négykeréken járó számítógép is: külön egység gondoskodik az utasok szórakozásáról, egy másik az önvezető funkciókat vezeti. A régebbi Tesla modellekben ezek az egységek 4-5 év használat után a sok eltárolt adat miatt használhatatlanná váltak. A tulajdonosok nyomására a gyártó úgy döntött, ezeket az egységeket ingyen kicseréli az érintett autókban. Ennek hatására egy sor, személyes adatot tartalmazó számítógépes egység került szemétdombra, onnan pedig élelmes vállalkozók az eBay-re pakolták.
eBay-en vásárolt modulok
Egy ehhez hasonló eBay-es aukción vásárolt ezekből a kiszuperált darabokból a GreenTheOnly becenevű fehérkalapos hacker, melyeket elvileg az előírások szerint a Tesla alkalmazottai el kellett volna pusztítsanak – annyit tettek csupán, hogy egy-két kalapácsütéssel próbálkoztak, de ezek masszívabb daraboknak bizonyultak.
Az aukciós portálon megvásárolt modulokon egy rakás személyes adat volt, az adatfertőtlenítéssel senki sem törődött: a biztonsági szakembernek sikerült hozzájutnia az előző tulajdonos otthoni és munkahelyi címéhez, az összes elmentett wifi jelszóhoz, telefonos naptárbejegyzésekhez, híváslistákhoz, névjegyzékhez. Ugyanakkor több szórakoztató alkalmazás, mint Netflix és Spotify sütiket is talált a modulon – ezek segítségével visszafejthető az adott alkalmazás jelszava – a Spotify-nál még ezt sem kell, hiszen ott a jelszót szöveges állományban tárolják.
A cikk írói megkerestek négy személyt, akinek személyes adatait a biztonsági szakember megtalálta a kidobott modulokon, közülük egy jelezte csupán, hogy jogi lépéseket fontolgat a Tesla ellen, és csodálkozott, hogy az autógyártó ilyen könnyedén kezeli a személyes adatokat, ahogy azon is, hogy az adatokat titkosítás nélkül tárolták ezeken a modulokon.
Katonai gépen is voltak adatok
Az eBay úgy tűnik, kiapadhatatlan kincsesbánya az adatok után kutató számára. Korábban a G DATA kutatói találtak egy rakétahordozóra vonatkozó adatokat a aukciós portálon vásárolt katonai lapotopon.
A cikk forrása: InsideEVS
máj 13, 2020 | Adatbiztonsági cikkek, hírek
Az adatmegsemmisítést többféle módon is meghatározták a technikai kiadványok és iparági szereplők. A gond az, hogy az adatmegsemmisítést az adatfertőtlenítés szinonimájaként használják, és nehéz első hallásra megkülönböztetni, hogy hol ér véget az egyik és hol kezdődik a másik. És ha még olyan kifejezéseket is bedobnak, hogy fizikai megsemmisítés és adattörlés, teljes a káosz – ennek a visszaállítható adatunk ihatja meg a levét.
A TechTarget meghatározása szerint az adatmegsemmisítés az a folyamat, melyen a szalagon, merevlemezen vagy más formájú elektronikus adathordozón tárolt adatok úgy megsemmisítjük, hogy azok teljesen olvashatatlanok, nem lehet hozzájuk férni és engedély nélkül felhasználni. Azonban annak érdekében, hogy megbizonyosodjunk az adat tényleg elérhetetlen és megsemmisült, és hogy a szabványoknak és előírásoknak megfeleljünk, ennél sokkal többre van szükség. És itt jön képbe az adatfertőtlenítés, melyről korábbi bejegyzésünkben már beszéltünk.
Ami nem adatmegsemmisítés
Az biztos, hogy az adatmegsemmisítés az nem adatfertőtlenítés. Az adatfertőtlenítéstől eltérően, az adatmegsemmisítésből hiányzik több lépés: például az ellenőrzés, hogy az adatokat ténylegesen törölték az adott adathordozóról. Jöjjön két gyakorlati példa a két folyamat közötti különbség szemléltetésére:
Amikor egyéni fájlokat törölnek, adatmegsemmisítéssel nem magát az információt, csupán a rá mutató hivatkozást törlik. Ez olyan, mintha valaki a róla fellelhető internetes információt nem törölné, csupán a kereső találatait. Az adat még ott marad a gépen (és az internet bugyraiban), de nem lehet könnyen visszahozni, ehhez megfelelő szakértelen szükséges.
Amikor például el szeretnénk adni használt számítógépünket, gyakran teljesen formázzuk a merevlemezt, de sajnos ez a módszer után is maradhat még adat a merevlemezen. Nem egyszerű ezek visszanyerése sem, különleges eszközökkel, de a maradék adatok visszanyerhetők.
Az adatmegsemmisítés nem fizikai megsemmisítés
Az is fontos megjegyezni, hogy az adatok megsemmisítése nem egyenértékű az adathordozók fizikai megsemmisítésével. A fizikai megsemmisítés során valóban apró darabokra daráljuk az adathordozót, de az adat attól még rajta marad. Az SSD-k esetében például az adatokat annyira sűrűn írják az adathordozóra, hogy még az apróra vágott eszközdarabkáról is kiolvasható adat.
A demágnesezés sem vezet mindig eredményre, hiszen minden merevlemez esetében megfelelő erősségű demágnesezőt kell használni annak érdekében, hogy a kifejtett mágneses erő olvashatatlanná tegye az adatokat. A demágnesezés SSD meghajtók esetén nem is működik. Mindezt az jelenti, hogy egyedül az adathordozó fizikai megsemmisítése még nem garancia arra, hogy az adatok tényleg olvashatatlanok, erről meg is kell győződni valahogy – például ellenőrzéssel, ami az adatfertőtlenítéskor járható út.
Amennyiben adathordozó tölésre vagy megsemmisítésre van szüksége vegye fel velünk a kapcsolatot!
máj 10, 2020 | Adatbiztonsági cikkek, hírek
A Sony telefonok a legjobb készülékek, míg az Apple-t igen drága javítani – derült ki a Smartphone Repair Study 2019-es tanulmányból, melyet a német ClicRepair vállalat készített a Statista-val közösen.
A Sony márkájú telefonok kerültek ki abszolút győztesen abból a kutatásból, melyet a használt telefonok javításával foglalkozó ClickRepair vállalat készített a Statista-val közösen. A felmérésben azt vették figyelembe minden egyes márkánál, hogy mennyire könnyen romlanak el az adott márkához tartozó készülékek és hogy mennyire drága a készülékeket megjavítani. Az almás készülékek esetében épp a nagyon magas javítási költség az, ami lehúzza a szakemberek pontozását.
A második helyezett márka az 1,6-os pontszámot összegyűjtő Sony után a Huawei 1,8 ponttal, harmadik a Samsung 1,9-cel, negyedik a HTC 2,1-gyel és az Apple az utolsó 2,5 ponttal. A legritkábban a Sony készülékeket viszik az emberek szervízbe, míg a legyakrabban az Apple-t hordják javításra.
Ezek a legjobb és legrosszabb típusok
A kép egy kicsit árnyaltabb lesz, mikor egyes készüléktípusokat és nem összesítve a márkákat vizsgálták. Az iPhone XR modellt viszik a legritkábban szervízben vagyis egy nagyon strapabíró modellt sikerült az almás gyártónak összeállítania. A leggyakrabban szervízben megforduló modell az itthon hivatalosan nem is megvásárolható Google telefon, a Pixel 2. Ami a javítási költségeket illeti, a P8Lite és a Sony Xperia XZ2 Compact fájnak legkevésbé a zsebünknek. Az Apple X javítási költségei azonban épp ellenkezőleg, eléggé megviseli a pénztárcánkat.
A kutatásból kiderül, hogy az esetek közel 70 százalékában a képernyővel van probléma, többnyire törött. A telefon kerete az esetek felében sérül, valószínű pont ugyanakkor, amikor eltörik a képernyő is. A készülékek egyharmadának rossz az akkumulátora, 16,1 százalékban valamelyik port vagy csatlakozó hibás és csupán a készülékek 7,9 százalékának van gondja a beépített kamerával.
Valamiért a Samsung és az iPhone készülékek gazdái a legóvatlanabbak, ezek a típusú telefonok képernyője törik el rendszeresen. A legtöbb technikai probléma a Galaxy S3 Mini készüléknél mutatható ki, második az iPhone 4S, harmadik a Galaxy S5. A kutatás szerint a technikai problémák többsége a rossz akkumulátorra vezethető vissza.
Az almás gazdák ragaszkodóbbak
A kutatás szerint az almás gazdák ragaszkodnak a legjobban készülékeikhez, a kutatásban vizsgáltak fele szeretné, ha a készülékét megjavítanák, de csak az esetek 19,5 százalékában sikerül is. A HTC márkához ragaszkodnak legkevésbé, az esetek negyedében kérik, hogy javítsák meg a telefont – 15 százalékuknál sikerül is.
Érdekesen alakultak azok az okok is, amiért a javítást választják egyes ügyfelek: 49,1 százalékuk szerint a javítás olcsóbb, mint új telefont vásárolni, míg 45,5 százalékuk mondja azt, hogy a javítás felvállalásával védi a környezetet, míg 35,7 százalékuk tartalék telefonnak fogja használni a javított készüléket. Nem gondoltuk volna, de minden tizedik Apple és Huawei használó érzelmi okokból választja a javítást, nem kívánnak megválni szeretett készüléküktől.
A teljes angol nyelvű tanulmány innen tölthető le.
ápr 10, 2020 | Adatbiztonsági cikkek, hírek
A G DATA munkatársai egy eBay-en vásárolt katonai laptopon találtak bizalmas adatokat egy rakétahordozó járműről. Az egész eszköz 30 ezer forintba került. Ez az eset is rávilágít arra, hogy az adatok szakszerű törlését nem lehet megúszni.
Az informatikai biztonsággal foglalkozó szakemberek pontosan tudják, hogy selejtezéskor minden adathordozóról teljes felülírással kellene törölni az adatokat, de ez az egyik legtöbbször megszegett szabály. Ennek egyszerű az oka: a leselejtezendő gépekkel már senkinek sincs kedve foglalkozni, a büdzsébe pedig általában nincs betervezve az adattörlés költsége. Így születhetnek olyan sztorik, mint a mostani, amelynek során a német vírusvédelmi cég két szakértője az eBay-en 30 ezer forintért megvásárolt egy használt Roda Rocky II típusú katonai notebookot, hogy aztán azon egy sor bizalmas adatot találjon.
Katonai gép online piactérről
A történet röviden annyi, hogy a G DATA két munkatársa egy régi notebook-ot vásároltak az eBay-en. A 600 MHz-es Pentium III-mas processzoros, 128 MB-nyi RAM-mal ellátott számítógép a 2000-es évek elején még csúcstechnológiának számított, és biztosan nem volt olcsó, ma is egy retró számítógépnek megállná a helyét. Ami a származási helyéről árulkodik az egy külső címke, melyen ez áll: Roda Rocky II+ Data Viewing Unit LeFlaSys. Egy katonai gépről van szó, amit a német hadseregnél használtak.
Bekapcsoláskor a gép elindult, a Windows 2000-es operációs rendszer nem kér jelszót, simán bejutnak a gépbe. Egy speciális programot érdeklődéssel néznek: a MODIS nevű szoftvert egy müncheni székhelyű vállalat fejlesztette. Amikor megnyitják, jelszót kér. Segít, hogy a kitöltött felhasználónév „GUEST”, így az első próbálkozás a GUEST (magyarul vendég) jelszó, és már nyílik is a program.
Rövid kutakodás után a szakértők máris egy érdekes dokumentumra bukkannak, egy föld-levegő rakétarendszer, az Ozelot felhasználói kézikönyvére. A leírás teljes karbantartási instrukciókat tartalmaz, de rajzokat és működtetési utasításokat is találnak. A rendszer elektronikájának ismertetőjére is találnak utalást, de arról kiderül, hogy egy szerveren tárolhatták, nincs a gépen. A leírás szerint ez a fegyverplatform a Mistral irányított rakétákkal is felszerelhető. Ezt a dokumentumot sohasem szánták a nagyközönség szemei elé, erről árulkodik az is, hogy minden lap jobb felső sarkában az áll: Bizalmas – csak hatósági használatra. A német okiratok titkosítási rendszerén belül ez csupán az első fokozat, ezt azt jelenti, hogy ha ilyen adatok napvilágot látnak, akkor azok csak kisebb problémát okoznak.
Minősített adattörlés
A Nemzeti Adatvédelmi és Információszabadság Hatóság tavaly közzétett egy iránymutatást az adattörlésekkel kapcsolatban.
Ebben a hatóság felhívta a figyelmet többek között arra, hogy a leselejtezendő adathordozókról megbízható módszerrel kell az adatokat eltávolítani. Ez pedig a gyakorlatban sztenderd adattörlési algoritmusok alkalmazását jelenti egy olyan szoftver segítségével, amelyet lehetőleg külső szervezet is minősített. Emellett fontos, hogy az adattörléseket dokumentálni is szükséges, így a törlési jegyzőkönyvekből ki kell derülnie, hogy az adott eszköz törlését kicsoda, mikor, milyen módszerrel és eredménnyel végezte el.
Az adattörlési megoldásokat gyártó Blancco cég magyarországi képviseletét ellátó V-Detect Antivírus Kft. ügyvezetője, Petrányi-Széll András szerint azonban megbízható adattörlési eljárásokat csupán a magyarországi vállalatok 5-10 százaléka használ, a nagy többség vagy egyáltalán nem foglalkozik jelenleg a kérdéssel, vagy megbízhatatlan szoftvereket alkalmaz, és nem teljesíti a jegyzőkönyvezési kötelezettséget sem.
Nem egyszeri eset
Egy évvel korábban, 2019-ben is előfordult egy hasonló fiaskó, amikor egy felső-bajorországi erdészet vásárolt négy laptopot egy állami aukción, rajtuk egy másik tüzérségi rakétarendszer kezelésével kapcsolatos, szintén minősített anyagokkal.
Mostanában egyébként nem csak a németek hagytak el érzékeny adatokat: néhány nappal korábban a holland kormány volt kénytelen bejelenteni, hogy elveszített két külső meghajtót összesen 6,9 millió szervdonor személyes adataival. Itt az 1998 februárja és 2010 júniusa közötti összes vonatkozó űrlap elektronikus másolatairól van szó, az ottani egészségügyi minisztérium tájékoztatása szerint magukat a meghajtókat 2016 óta nem is használták. Az eszközöket elvileg egy széfben őrizték, eltűnésükre pedig akkor derült fény, amikor éppen az adatok törlésének céljából elővették volna azokat.
Az elveszített profilok között nevek, születési adatok, lakcímek, okmányszámok, aláírás-másolatok és a szervátültetésekről szóló rendelkezések voltak. A holland hatóságok a szokásos módon közölték, hogy az adatok illetéktelen felhasználására egyelőre nem találtaksemmiféle bizonyítékot, és az adatvesztésnek a nyilvántartás aktuális működésére nézve sincs semmilyen következménye. Hollandia nagyjából 17,5 millió lakosának körülbelül a fele regisztrált szervdonor.
ápr 8, 2020 | Adatbiztonsági cikkek, hírek
A szükséghelyzet több téren is költségtakarékosságra kényszerítette a vállalatokat, így nem meglepő módon fellendült a használt számítástechnikai eszközök forgalma is. A használt laptop mellett érdemes használt okostelefonban gondolkodni – az 5G-s hálózat berobbanásával lehet majd az új készülékben gondolkodni.
Van, ami csökken, de van, ami nő
Ha egy ajtó bezárul, akkor kinyílik egy újabb. Vagyis, ha az új okostelefonok értékesítése csökken, akkor a használt mobilpiac kompenzálja a lassulást – mutatják a piackutatók számai. Az új telefonok piaca egy ideje már nem fejlődik olyan szépen, ahogy azt a készülékgyártók szerették volna, a Gartner adatai szerint 2019-ben két százalékkal csökkent az új okostelefonok piaca. Idén is csupán az 5G-s készülékek iránti érdeklődés rántja ki a mélyvízből az új okostelefonpiacot, mely 1,7 százalékkal bővül a becslések szerint.
Dinamikusan bővül
Ezzel szemben a használt készülékpiac dinamikusan bővül. Az IDC legfrissebb jelentése szerint kétszámjegyű növekedéssel 206,7 millió darabosra bővült a használt okostelefon piac – ez a szám magában foglalja a gyártók által felújított és újból eladott készülékeket is. A piac 17,6 százalékkal bővült a 2018-as adatokhoz képest, amikor 175,8 millió használt telefon talált gazdára. Az IDC előrejelzése szerint éves 13,6 százalékos bővüléssel 2023-ban 332,9 millió darab használt okostelefon talál majd gazdára.
Az okok változatosak, de az biztos, hogy a piac kivárt, az 5G-s készülékek iránti érdeklődés magasabb lesz idén. Az is hozzájárul az új készülékek iránti lanyhább érdeklődéshez, hogy nem igazán jelentek meg olyan technikai újdonságok a mobilokban, ami feltétlenül a váltást gyorsította volna. És nincs is értelme pénzügyileg, egy használt készülék funkcióban ugyanazt nyújtja, mint az új, mégis az újhoz képest alacsonyabb áron lehet hozzájutni.
Garanciás készüléket vegyünk
Érdemes vállalati célokra is használt mobilba fektetni, főleg, ha találunk olyan kereskedőt, aki garanciával értékesíti ezeket az eszközöket. A garancia mellett azért győződjünk meg, hogy a kereskedő szentelt figyelmet arra, hogy a készülék korábbi tulajdonosainak adatait megfelelően törölje. Már csak azért is érdemes erre odafigyelni, mert nem lenne jó egy használt készüléket úgy a vállalati hálózatba kapcsolni, hogy azon már eleve fut egy fertőzött kémprogram.
Győződjünk meg róla, hogy a használt készülék alkalmas a meglévő vállalati alkalmazások futtatására. Az új készülékhez hasonlóan, ezt is egy szakképzett IT-s vizsgálja át és állítsa be a céges biztonsági előírásoknak megfelelően. Ha időt szánunk a készülék megfelelő átvizsgálására, beállítására, hálás és kitartó munkatársa lesz kollégánknak.
ápr 5, 2020 | Adatbiztonsági cikkek, hírek
Az adatfertőtlenítés fontos része az adat életciklusának. A vállalati adatoktól életciklusok végén – amikor triviálissá, elavulttá vagy redundánssá váltak – biztonságosan meg kell szabadulni. Az adatfertőtlenítés területén élenjáró Blancco meghatározása szerint az adatfertőtlenítés az a folyamat, amikor tudatosan, állandóan és visszafordíthatatlanul eltávolítjuk vagy megsemmisítjük az adathordozón tárolt adatokat, teljesen megakadályozva, hogy az adatokat valaha visszaállíthassuk.
Tanúsított folyamat
Az adatfertőtlenítés egy tanúsított folyamat, melynek során az adathordozó tulajdonosa kap egy megváltozhatatlan tanúsítványt arra vonatkozóan, hogy az adott sorszámú adathordozót mikor, milyen módszerrel fertőtlenítették. Ez a tanúsítvány az adatok szakszerű eltávolítását ellenőrző hatóságoknak elegendő bizonyíték arra vonatkozóan, hogy az adatokat a vállalat a szabályzatok és az adatvédelmi előírások szerint kezelte és megfelelően semmisítette meg.
Hasonlóan definiálja az adatfertőtlenítést a Gartner Hype Cycle for Data Security (Adatbiztonsági Hype Görbe) 2019 tanulmányában: az adatfertőtlenítés az a fegyelmezett folyamat, melynek során az adathordozón tárolt adatokat tudatosan, állandóan és visszafordíthatatlanul eltávolítjuk vagy megsemmisítjük, ezzel az adatok visszaállíthatatlanná válnak. A Gartner véleménye szerint az adatvédelemmel, adatbiztonsággal, adatszivárgással kapcsolatos növekvő vállalati aggodalom, a szabályozói nyomás, a tárolt adatok mennyiségének gyors növekedése, az IoT eszközök mennyiségének növekedése az adatfertőtlenítés minden vállalat számára vezetői szintű felelősség.
Ez azt jelenti, hogy a megfelelően adatfertőtlenített eszközön nem található maradék adat, és még az előrehaladott laboratóriumi vagy titkosügynökségi eszközök segítségével sem lehet a rajta lévő adatokat visszaállítani. A Gartner szerint az adatfertőtlenítés három módszerrel érhető el: fizikai megsemmisítése az ezköznek, adattörlés és kriptográfiai törlés.
Mely módszerek nem elegendőek az adatfertőtlenítéshez?
Többször is írtunk már róla, hogy minden módszernek megvan a maga előnye és hátránya, de úgy véljük, csak az adatfertőtlenítés az a folyamat, mely garantálja az adatok teljes, visszaállíthatatlan törlését, mely egy tanúsított, ellenőrzött folyamatban történik. Vagyis biztosak lehetünk, hogy az adott adathordozón található adatokat valóban megsemmisítettük annyira, hogy azokat senki sem tudja visszaállítani.
Az alábbi adatmegsemmisítési módszerek nem számítanak adatfertőtlenítésnek, sok esetben azért, mert hiányzik az utolsó, a tanúsítási lépés a folyamatokból:
Sima adattörlés
Formázás
Gyári visszaállítás
Adat tisztítás
Adat megsemmisítés
Figyeljünk oda, hogy a vállalatunk kockázati besorolásának megfelelően válasszunk adattörlési vagy adatfertőtlenítési megoldások közül, amikor az életciklusa végén lévő adataink szakszerű menedzseléséről kell döntenünk.
márc 24, 2020 | Adatbiztonsági cikkek, hírek
Miután home office-ba küldik haza a dolgozókat, és a szülők nyakába varrta a diákok tanítását a járványügyi helyet és a kormány, rengeteg vállalat és szülő használt számítógépet vásárolt a kolléga otthoni munkájára vagy gyermekének otthoni tanuláshoz. Összeállításunkban öt okot sorolunk fel, amiért jobb választás a használt laptop.
1. Nem költünk túl sok pénzt
Az első és nyilvánvalóbb ok a pénz spórolás: a használt számítógépek nagyságrenddel olcsóbbak, mint új társaik, ár-érték arányban pedig sokkal jobb vásárt csinálunk, mint ha új gépet vásárolnánk. Amikor használt gépet vásárolunk, akkor a gyermeknek kell egy második gép vagy csupán szövegszerkesztésre, irodai munkára használnánk azt – erre a régebbi gépek is megfelelnek.
2. Garanciát kapunk hozzá
Ha megfelelő forrásból vásároljuk a használt gépet, garancia is jár hozzá. Ami azt jelenti, hogy a gépet előtte átnézte egy szakember, kibontotta, portalanította a belsejét, a hűtőpasztát újrahúzták (úgy hűt, mint újkorában). Az is előfordul, hogy az alap memóriát kicserélték nagyobbra. Az biztos, hogy az adathordozón lévő adatokat teljesen és minősítetten törölték, így biztosak lehetünk benne, hogy a korábbi tulajdonos dokumentumaival nem találkozunk.
A garancia azt jelenti, hogy ha működés közben valamilyen hiba jelentkezne, azt térítésmentesen orvosolják – így biztosak lehetünk, hogy lesz használatra bevethető gépünk.
3. Jogtiszta szoftvert vásárolhatunk hozzá olcsóbban
A hardver újrahasznosítás mellett a szoftverre is figyelnek a használt géppel foglalkozó vállalatok: ha igényeljük alacsonyabb árért egy operációs rendszert is kapunk a hardver mellé, melyet kérésre telepítenek – vagyis nem nekünk kell ezzel bíbelődni. Az operációs rendszer újrahasznosított vállalati licenceket jelent, vagyis ezek jogtiszta szoftverek, melyek mellé a szokásos biztonsági frissítések is járnak – így mindig a legújabb és biztonságos operációs rendszerrel rendelkezünk.
4. A technológia nem változik olyan gyorsan
Az utóbbi időben a technológiai változások – legalább is hardver területén – már nem olyan gyorsak, mint korábban. Ez azt jelenti, hogy egy három éve gyártott laptop még mindig ütőképes kombináció, nem lassú, nem elavult. Persze, ha high end gamer vagy videószerkesztő gépre vágyunk, akkor nem a használt kategóriából kell választanunk, de ha azáltalános tanulás és irodai munka a cél, akkor tökéletesen megfelel.
5. Megvédjük a környezetet
A használt számítógép vásárlása annak felújítása után azt jelenti, hogy ez a gép nem kerül a kukába, majd onnan egy szegényebb ázsiai ország mezejére. A számítógép még egy esélyt kap arra, hogy arra használják, amire gyártották – ezzel is megnöveljük élettartamát, megvédjük környezetünket a szükségtelen szennyezéstől.
márc 9, 2020 | Adatbiztonsági cikkek, hírek
Hányszor kell felülírni a merevlemez adatait ahhoz, hogy teljesen biztosak legyünk abban, minden adatmorzsa teljesen és visszavonhatatlanul eltűnt a lemezről. Attól függ, hogy milyen technológiáról beszélünk, milyen kutatási eredményeket olvasunk és melyek a javasolt procedúrák. Két részes összeállításunk második részében a történelmi szabványokat tekintjük át, a Blancco szakértőjének, Bernard Le Garegean segítségével.
No de lássuk, hogyan is fejlődtek az adatfertőtlenítési folyamatok az évek során.
Az 1990-es évek eleje – az Amerikai Védelmi Minisztérium a háromszoros felülírást támogatja
Az 1990-es években az Amerikai Védelmi Minisztérium kézikönyvet állított össze, melyben a megalkották a DoD 5220.22-M szabványt, mely szerint a mágneses lemezeket fertőtlenítését úgy kell végezni, hogy azokat felül kell írni egy karakterrel, a karakter kiegészítőjével, majd egy véletlen karakterrel – vagyis háromszor kell felülírni az adott adatot.
Az 1990-es évek közepe-vége: Guttman 35, Schneier 7
1996-ban Peter Guttman megjelenített egy tanulmányt, mely felkavarta a status quo-t azzal, hogy kijelentette: egyes laboratóriumok elméletben képesek adatokat visszanyerni a felülírt merevlemezekről, olyan kifinomult eszközök használatával, mint mágneses erőmikroszkóppal. Ennek eredményeképpen egy 35 -szörös felülírási ciklusból álló adatfertőtlenítési metódust javasolt.
De nem kell kétségbeesni! Az algoritmust a régebbi merevlemezek adatfertőtlenítésére fejlesztették ki, melyeket az 1980-as-1990-es években gyártottak és a MFM/RLL kódolási technológiákat használták. A rengetegnek tűnő felülírási ciklus három különböző algoritmus használatából adódott össze, ami részben megmagyarázza a magas számú felülírási ciklust.
Az újabb, PRML technikákat használó merevlemezek érkezésével az MFM/RLL technológiákat nyugdíjaztatták, és vele együtt a 35-szörös felülírásos módszer is a kukában landolt. Ebben az időben jelent meg Bruce Schneier biztonsági szakértő könyve is, melyben hétszeres felülírási adatfertőtlenítési technológiát javasolt: az egyik ciklusban 1-eseket használjunk, a másodikban nullásokat, míg a harmadiktól hetedikig terjedő ciklusban statikus vagy véletlenszerű karaktereket használjunk felülírásra.
A 2000-es évek – a hétszeres felülírás időszaka
Az adatok felértékelődésével és elterjedésével egyre több nemzeti hivatal látta elérkezettnek az időt, hogy törlési kézikönyveket adjanak ki, melyek több mint három felülírási ciklust javasoltak. Például a VSITR metódust a német információbiztonsági hivatal dolgozta ki, ez hét felülírási ciklussal dolgozott. Ennek példájára Európa-szerte a 4-7 felülírási ciklust tartalmazó ajánlások terjedtek el.
2006-tól napjainkig
Az amerikaiak egyszeri felülírást javasolnak, más kormányok 1-3 ciklust írnak elő
Az amerikai védelmi minisztérium DoD 5220.22-M-es felhasználói kézkönyvéből később törölték a javasolt felülírási metódusra való hivatkozásukat, és a kormányzati hivatalok hatáskörébe utalta ezt a kérdést. Eközben azonban az amerikai szabványügyi hivatal (National Institute of Standards and Technology, NIST) a 2006-os média fertőtlenítési kézikönyvében azt írta, hogy a 2001 után gyártott, 15 GB-nál nagyobb kapacitású merevlemez esetében az egyszeri felülírás megfelelő a tisztításhoz.
Egyszeri vagy többszöri felülírás
Ezt az álláspontjukat 2014-ben, újból megerősítették, ekkor újra gondolták a kézikönyv egyes részeit. Az ATA és SCSI merevlemezek esetében is elegendőnek találják az egyszeri felülírást, de azt is írják, hogy opcionálisan többszörös felülírási ciklusokat is lehet használni. Ez az egyszeri felülírás az öblítéshez is elegendő.
A briteknél két módszert határoztak meg: egy és három felülírási ciklust javasolnak. A három felülírásos módszer a CESG CPA-Higher Level szinte megegyezik az 1966-os DoD 5220.22-M szabvánnyal, azzal a különbséggel, hogy minden lépés után ellenőrzést ír elő.
Utolsóként, 2012-ben az újabb BSI GS szabványok is megjelentek, mely 1-2 felülírási ciklust ír elő, véletlenszerű adattal és firmware alapú törléssel. Azonban mindezek a szabványok a mágnesen merevlemezekre vonatkoznak, nem a flash alapú SSD-kre.
márc 4, 2020 | Adatbiztonsági cikkek, hírek
Hányszor kell felülírni a merevlemez adatait ahhoz, hogy teljesen biztosak legyünk abban, minden adatmorzsa teljesen és visszavonhatatlanul eltűnt a lemezről. Attól függ, hogy milyen technológiáról beszélünk, milyen kutatási eredményeket olvasunk és melyek a javasolt procedúrák. Két részes összeállításunkban a Blancco szakértője, Bernard Le Garegean ismerteti tapasztalatait.
Az adattörlés lassan olyan, mint a foci: kevesen csinálják, de mindenki ért hozzá. A viccet félretéve, a nagy kérdés, hányszor kell felülírni az adatokat annak érdekében, hogy a régi információk teljesen és visszaállíthatatlanul törlődjenek? Amikor adathordozóról beszélünk, akkor a merevlemezt értjük rajta, hiszen ez még mindig a legtöbb beépített adathordozója a számítógépnek. De előtte egy kis merevlemez történelem.
A merevlemez alapjai
A Wikipédia ideillő bejegyzése szerint a merevlemez (angolul hard disk drive, rövidítése HDD) egy számítástechnikai adattároló berendezés. Az adatokat kettes számrendszerben, mágnesezhető réteggel bevont, forgó lemezeken tárolja. Maga az elnevezés retronima, ugyanis ezt az adattároló berendezést csak a floppy disk(hajlékonylemez) megjelenése óta nevezik így. Magyar (és orosz) nyelvterületen winchesternek is nevezik, miután 1973-ban az első népszerű, kiskereskedelemben elterjedt IBM lemez ezt a nevet kapta a közismert fegyvermárka után.
Az első merevlemezek már 1956-ban megjelentek, de az 1980-as évekig kellett várni elterjedésükig. Annak ellenére, hogy manapság már megjelentek a HDD-nek életképes, gyorsabb alternatívái, a flash alapú adattároló Solid State Drive – SSD meghajtó – a mágneses alapú merevlemez továbbra is népszerű és igen széles körben használt adattároló eszköz.
Hányszor elég?
A mágneses alap azt jelenti, hogy az adatokat mágnesezhető réteggel bevont lemezen tárolja, ehhez nem szükséges elektromos áram. A merevlemez megbízható, népszerű adattároló eszköz, alacsony költség mellett rengeteg adatot képes tárolni, hosszú ideig, megbízható módon.
Életciklusa végén erről a merevlemezről szakszerűen, minősítetten kell eltávolítani az adatokat azért, hogy nyugodtak lehessünk, azok nem kerülnek senki kezébe. A legbiztonságosabb, környezetkímélőbb megoldás erre az, ha simán felülírjuk az adatokat. Azonban a nagy kérdés, hogy hányszor elegendő felülírni az adatokat, annak érdekében, hogy a régi adatokat ne lehessen visszanyerni? Vagyis hányszor írunk a merevlemezre 0-kat és 1-eseket vagy más szemét adatot, míg a régi adatok teljesen törlődnek?
A merevlemez adattörlési folyamat fejlődése
Az adathordozók minősített és végleges törlését több kormányzati ügynökség és szervezet vizsgálta meg az elmúlt 20 évben. A mai NIST 800-88 Media Sanitization Guidelines – Média Fertőtlenítési Irányelvek két fajta eljárást különböztet meg:
Tisztítás (clearing) – megakadályozza az adatok szoftveres visszaállítását
Öblítés (purging) – megakadályozza az adatok visszaállítását laboratóriumi eszközök segítségével
A tisztítás általában azt jelenti, hogy felülírjuk a merevlemezt, az öblítési procedúrák viszont a felülírási technikák mellett firmware alapú törlést is magába foglalnak. Ezek mellett még ott van a demágnesezés vagy az adathordozó fizikai megsemmisítése, mint adattörlési technológia. Hogy pontosan az adott szervezet melyik technológiát választja, azt az adat minősége, a szervezet tevékenységi területe, a rá vonatkozó szabályok esetleg törvények határozzák meg.
A tisztítás és az öblítés technológiák részei az adatfertőtlenítési eljárásoknak, melyek az adatok megfelelő és végleges törlése mellett ellenőrzik és tanúsítják, hogy az adatmegsemmisítési folyamat valóban megtörtént – és ezt bármikor bármely hatóság előtt az adott vállalat a tanúsítvány birtokában bizonyítani tudja.
febr 25, 2020 | Adatbiztonsági cikkek, hírek
Évente több mint 4000 Eiffel-toronynyi elektronikai hulladék keletkezik világszerte, ezért egyáltalán nem mindegy, mit teszünk akkor, ha egy új laptophoz, okostelefonhoz vagy táblagéphez jutunk. Pontosabban szólva nagyon nem mindegy, hogy mit teszünk a régi készülékeinkkel.
Vannak, akik a régi készülékeiket elteszik tartaléknak arra az esetre, ha bármi gond adódna az újjal. Mások szeretik az ünnepi hangulat jegyében továbbajándékozni a régi készülékeiket. De vannak olyanok, akik inkább eladják a régi eszközeiket. Bármelyik opciót is választjuk, néhány dolgot meg kell tennünk, mielőtt biztonságosan túladhatunk régi eszközeinken.
Ezt mindig tartsuk be
Az egyetlen szabály, amelyet mindig be kell tartanunk, az az adatok biztonsági mentése. Erre egyébként nemcsak a készülék cseréjekor kell figyelnünk, hanem egyébként is: célszerű rendszeresen biztonsági másolatot készíteni adatainkról, legyen szó akár munkáról vagy kedvenc családi fotóinkról.
Általános igazság, ha okostelefonról van szó, hogy adatainkról a felhőbe vagy a számítógépünkre készíthetünk biztonsági mentést. Ha számítógépes adatok biztonsági mentéséről van szó, akkor a felhő és külső meghajtók jöhetnek szóba. Mindegy, hogy melyiket választjuk a lehetőségek közül, csak az a lényeg, hogy elkerüljük az érzékeny adatok elvesztését.
Vigyázzunk, hogy adataink ne kerüljenek illetéktelen kezekbe!
Fontos, hogy ha kiadjuk kezünkből régi eszközünket, ne maradjanak rajta olyan érzékeny adatok, melyekről nem szeretnénk, ha illetéktelen kezekbe kerülnének. Attól függően, hogy milyen eszközről van szó, más-más lépések megtételére lesz szükség.
Számítógépek
Szerencsére a biztonságtudatosság jegyében számítógépük továbbadása előtt a legtöbben formázzák gépük merevlemezét. A baj ott kezdődik, hogy a legtöbb számítógép-felhasználó úgy gondolja, hogy ezzel véglegesen le is törölték adataikat a meghajtóról, ami sajnos nem igaz, ugyanis az adatok még formázás után is visszaállíthatók a meghajtón. Ha nem magánszemélyként, hanem cégként járunk el, akkor az eleve fennálló kockázathoz még hozzáadódnak a GDPR-kockázatok is: bizonyos szituációkban nincs jogunk ahhoz, hogy NE töröljünk véglegesen bizonyos személyes adatokat.
Okostelefonok
Az okostelefonoknak megvannak a saját segédprogramjaik annak érdekében, hogy a folyamat a lehető legegyszerűbb legyen. Ha túladunk régi iPhone-unkon, először jelentkezzünk ki minden olyan szolgáltatásból, mint az iTunes, az iCloud, az App Store stb. Ezt követően lépjünk be a Beállítások közé (Settings), aztán a Reset menübe, aztán válasszuk az összes tartalom és beállítás törlése (Erase All Content and Settings) opciót.
Ha Android-eszközünkön tervezünk túladni, a folyamat a gyártótól függően kissé eltérhet, de az eljárásnak nagyjából ugyanolyannak kell lennie. Először távolítsuk el a biztonsági intézkedéseket, például a képernyőzárolást, majd folytassuk azon fiókok eltávolításával, amellyel be vagyunk jelentkezve. Az extra biztonság kedvéért titkosíthatjuk a telefonunk adatait, majd ezt követően válasszuk a gyári alapállapot visszaállítását (Factory Data Reset). Ha SD-kártyát használunk, mindenképp vegyük ki a készülékből.
Újrahasznosítás
Ha régi eszközünk teljesen működőképes, de nem tervezzük, hogy továbbadjuk egy rokonnak vagy barátnak, fontoljuk meg az adományozást is, ugyanis boldoggá tehetjük vele egy nálunk kevésbé jó anyagi helyzetben levő embertársunkat. Ha mindenképp a kidobás mellett döntünk, akkor is legyünk környezettudatosak! Ha szeretnénk megszabadulni régi eszközünktől, az nem megoldás, ha egyszerűen eldobjuk. Kérjük a Data D szakembereinek segítségét, hiszen nálunk nemcsak szakszerűen és tanúsítottan töröljük az adathordozókat, hanem meglévő csatornáinkon értékesítjük a régi gépeket, miután alaposan felújítottuk őket.
Miért szükséges mindez? Mert a „levetett” elektronikai eszközökből származó hulladék mértéke meglepő méreteket öltött az utóbbi években. Az Egyesült Nemzetek Egyeteme által 2017-ben kiadott Global E-waste Monitor kiadványból kiderül, hogy évente több mint 40 millió tonna elektronikai hulladék keletkezik. Ez több mint 4000 Eiffel-toronynyi hulladék!
Az akkori becslések szerint a hulladék mennyiségének növekedése ahhoz vezet majd, hogy 2021-re már több mint 52 millió tonna lesz az elektronikai hulladék mennyisége világviszonylatban. A 2016-os adatok szerint a hulladéktermelésben Ázsia vitte a prímet, de a második helyen már Európa állt. Ha következetesen, felelősségteljesen járunk el, sokat tehetünk azért, hogy ez a helyzet pozitív irányban változzon meg.
febr 7, 2020 | Adatbiztonsági cikkek, hírek
Az EU legújabb környezetvédelmi intézkedései során kötelezővé tette a szerver és adattárolási termékek gyártóinak, hogy beépített biztonságos adattörlési megoldást építsenek be a termékbe, ezzel is segítve a különböző adatvédelmi előírások által megkövetelt biztonságos és tanúsított adattörlést.
BIOS-ba kell beépíteni
űMárcius 1-jén lép életbe az EU új környezetvédelmi direktívája, melynek egyik kitétele az, hogy a szerverek és adattárolási termékek gyártóinak kötelező módon egy biztonságos adattörlési megoldást kell biztosítani. Az Ecodesign direktíva 9-es számú tétele tartalmazza az adattörlési követelményeket. Az elképzelések szerint ezt a megoldást a gyártó beépítheti a BIOS-ba, vagyis az operációs rendszer alapjaiba, de CD-re, DVD-re vagy USB memórián is kínálhatja ezt megoldást.
Nincs elegendő megoldás
Ez persze a kis- és közepes méretű vállalatok mindennapjait első körben még nem befolyásolja, hiszen a március 1-je után forgalomba kerülő termékekre vonatkozik az EU új direktívája. Mindez viszont azt jelenti, hogy az EU is elismerte, nincs elegendő szoftveres megoldás a vállalatoknál, melyek segítségével biztonságosan, véglegesen és tanúsítottan törölhetnék az adatokat. A GDPR például előírja, hogy a személyes adatokat kérésre a vállalatnak törölnie kell, és mindezt tanúsítottan kell tennie.
Az EU direktívája azt is jelzi, hogy a meglévő adattörlési megoldások csak részlegesen végzik el munkájukat, vagyis a tanúsított, végleges adattörléshez speciális megoldás és szaktudás szükséges.
Az Ecodesign Direktíváról az Európai Bizottság weboldalán olvashat, angol nyelvű oldala ezen a linken érhető el.
febr 3, 2020 | Adatbiztonsági cikkek, hírek
Az Európai Parlament döntése értelmében az unió területén forgalmazott mobiltelefonoknak egységes töltőkábelje lesz, ezzel is csökkentve a kábelek ökológiai lábnyomát. A döntés vesztese az Apple, aki vélhetően a Lightning csatlakozó helyett a vezetékes töltési technológiát vezet ibe új készülékeibe.
Idén januárban az Európai Parlament már nem húzta tovább a tíz éve folyó ügyet és döntött: az unió területén forgalomba hozott mobiltelefonok csak a mikor USB-s telefontöltő kábellel rendelkezhetnek. A javaslattal egyértelmű az uniós honatyák igyekezete, szeretnének csökkenteni az elektronikai hulladék mértékét, a becslések szerint évente 51 ezer köbméternyi töltőkábelt adnak el az EU-ban. Az új telefont vásárlók is jól járhatnak az elképzelések szerint, hiszen töltőkábel nélküli olcsóbb készüléket is kínálhatnak ezentúl a gyártók.
Be nem tartott önként vállalás
A töltőkábel egységesítési erőfeszítések már 2009-ben elkezdődtek, de kevés eredménnyel. Tizenhárom vállalat, közöttük a mostani döntés vesztese is, az Apple akkor önként vállalták, hogy mobiltelefonjaikba a mikro USB szabvány szerinti töltőt építik be. Az almás vállalat nem tartotta be az önkéntes vállalást, szerinte a mikro USB túl sok kompromisszumot jelentett volna a gyártónak, így inkább a saját, Lightning nevű töltő szabványt dolgozták ki.
Az Apple szerint az európai honatyák döntése gátolja az innovációt. Érveik alátámasztására egy tanulmányt is mellékeltek. A Copenhagen Economics szakértőivel szerint a szabályozók elképzeléseinek megfelelően kikényszerített egységesítés által a fogyasztóknak okozott kár az 1,5 milliárd eurót is elérné, míg környezetvédelmi előnyeinek értéke 13 millió euró lenne. A cég továbbá arról is beszélt, hogy épp az EU állításaival szemben épp az egységesítés járna „példátlan mértékű” elektronikai hulladékkal.
A piac idővel tisztult
Ugyan, 2009-ben, amikor az egységes töltőkábel gondolata megszületett szinte minden gyártónak saját szabványú csatlakozója volt. A piaci tisztulásával és az önként vállalt szabványok betartásával mostanra három típusú csatlakozó van a mobiltelefonokban: USB-C, mikro USB és Lightning. A piaci pletykák szerint a renitens Apple továbbra sem építi be készülékeibe a kierőszakolt mikro USB csatlakozót, hanem inkább a vezeték nélküli töltési technológiát válassza.
A törvénytervezetet az Európai Bizottságnak is el kell fogadnia, de ez csak egy formalitásnak tűnik. A törvény megszületése után a tagállamoknak két évük marad saját törvénykezésükbe átültetni az új szabályokat, míg í gyártóknak további egy évük marad a jogszabálynak megfelelni.
jan 24, 2020 | Adatbiztonsági cikkek, hírek
Még az elején tisztázzuk: maradék adatok alatt azokat az információkat értjük, melyek bármilyen rendszerezés nélkül ott lappanganak régi számítógépjeinket, adathordozóinkon. Ezek az adatok lehetnek redundáns, elavult és triviális vagyis RET adatok, melyek több helyen egyszerre is fellelhetők.
Ezeknek az adatoknak nagyon pici vagy egyáltalán nincs üzleti értékük. A RET adatok mennyiségét proaktívan csökkenteni kell, vagyis vizsgáljuk őket felül rendszeresen, minősített megoldások vagy szolgáltatások segítségével töröljük.
Ugyancsak maradék adatnak számítanak a sötét, vagyis strukturáltalan adatok, melyek értékét nem tudjuk megállapítani. Nem tudjuk pontosan mit tartalmazna, nem tudjuk pontosan hol lehetnek – GDPR tekintetében időzített bombát jelentenek ezek az adatok. Bővebben az adatok típusairól ebben a korábbi bejegyzésben olvashat.
1. Attól, hogy nem látjuk, az adat még ott van
Már többször foglalkozunk blogunkban azzal, hogy az attól, hogy mi nem találjuk az adott adatot vagy nem látjuk a merevlemezen, nem azt jelenti, hogy az az adat nincs rajta. A törölt állományok nem szűnnek meg létezni, csupán a rájuk mutató bejegyzéseket semmisíti a rendszer. Épp úgy, mint amikor a könyvtárban attól, hogy ez adott könyv referencia számát elveszítjük, a könyv még ott marad a könyvek között, csak nem tudjuk pontosan hol található, ám egy takarítás során rábukkanhatnak.
Az adatokat véglegesen és biztonságosan adatfertőtlenítéssel távolíthatjuk el.
2. A formázás nem töröli véglegesen a maradék adatokat sem
Noha több formázási lehetőség és metódus létezik, ezek a módszerek sem törlik le mindig az adatokat a merevlemezről. A népszerű gyors formázás például a törléshez hasonlóan egy új metaadat térséget alakít ki a számítógép adathordozóján anélkül, hogy a régi személyes adatokat törölné – valahol kell időt nyernie, nemde?
3. A szabályzatok és eljárások épp annyira fontosak, mint az adatfertőtlenítési eljárás
A vállalat méretétől függetlenül az adatszivárgás kockázata egyformán magas. Egy ilyen biztonsági eseményre csak felkészülni lehet. Annak érdekében, hogy mindenki pontosan tudja mi a teendője egy adatvédelmi incidens esetén, érdemes szabályzatban pontosan rögzíteni, hogy kinek mi a felelőssége. Az adatvédelmi szabályzatban érdemes leírni:
- Milyen célból és milyen adatokat gyűjtünk
- Ehhez az adathoz ki fér hozzá, mint adattulajdonos és adatkezelő egyaránt
- Ki az adatkezelő, ki az adattulajdonos, pontosan kinek milyen feladata van
- Hogyan osztályozzuk az adatokat
- Az adatokat hogyan védjük életciklusok során
- Hogyan semmisítjük meg az adatokat életciklusok végén
- Adatvédelmi incidens esetén kinek mi a feladata, kit hogyan kell riasztani, melyek az elsődleges teendők
4. Ha a hardver elhasználódott, nem megy egyedül. Kérjük a szakértő vállalatok segítségét!
Nagyon sok vállalat külső céget bíz meg régi hardver eszközei kezelésével. Ez egy szuper szokás, mely a DATA D-hez hasonló környezetvédelmi vállalatok meglétét biztosítják. Azonban mielőtt kiválasztanánk az IT eszközök újrahasznosításával foglalkozó céget, vizsgáljuk meg, hogy az adott vállalat:
- Milyen folyamatokkal dolgozza fel az IT eszközöket?
- Képes garantálni, hogy minden adathordozó adatát szakszerűen és tanúsítottan töröli?
- Tanúsítványt bocsát ki az adathordozók fertőtlenítéséről?
- Hogyan ellenőrizhetjük, hogy ténylegesen elvégezte az adathordozók végleges törlését?
- Mennyi idő alatt végez a teljes hardverkezelési folyamattal?
Ezeket a kérdéseket érdemes már szerződéskötés előtt tisztázni, írásba foglalni a garanciákat.
5. Csak azért, mert az eszköz cégen belül marad, nem csökkennek a kockázatok
A konzervatív megközelítésű vállalatok választhatják azt is, hogy a régebbi eszközöket egy erre dedikált raktárban őrzik és a biztonság kedvéért nem adják ki külső vállalkozásoknak. Ha szükség van egy tartalék laptopra vagy számítógépre, akkor nem kel újat vásárolni, hiszen arra a rövid időre van egy a régi raktárban. Azonban a kérdés nem ilyen egyszerű, hiszen a gyakorlat azt mutatja, a régi számítógépek adataival senki sem törődik cégen belül. Az eszközök úgy cserélnek gazdát, hogy a korábbi tulajdonos adatai rajta maradnak.
Azonban egy adatvédelmi kérdéseket vet fel, hiszen például a HR-es kolléga rengeteg személyes adatokkal dolgozik, és ezeket a marketinges kollégának nem szabad látnia, hozzáférnie. A GDPR elvei szerint a személyes adatokkal csak azok dolgozhatnak, akiknek erre feltétlenül szükségük van vagy az adattulajdonosa erre beleegyezését adta – teljesen biztos, hogy a HR-es adatok marketing célú felhasználása nem szabályszerű.
6. A mi felelősségünk védeni az adatokat. Még a maradék adatokat is.
Tudjuk, a biztonsági hibáknak se szeri se száma, az operációs rendszereket és a különböző szoftvereket nem hiába frissíti a gyártó rendszeresen. Nem az operációs rendszer gyártójának, hanem a vállalkozás tulajdonosának a felelőssége a vállalat adatvagyonának megvédése. Ahol meg nem tudjuk teljesen megvédeni az adatokat, ott a kockázatok csökkentése a feladatunk. Mert az adat védelme végső soron a mi feladatunk.
jan 13, 2020 | Adatbiztonsági cikkek, hírek
Az IDC adatai szerint 17,6 százalékkal bővült 2019-ben a használt mobiltelefon piac, ami magába foglalja a gyártók által felújított és a használt készülékeket egyaránt. Ez azt jelenti, hogy 206,7 millió használt okostelefon talált gazdára 2019-ben.
Szépen bővül a piac
Az IDC legfrissebb jelentése szerint kétszámjegyű növekedéssel 206,7 millió darabosra bővült a használt okostelefon piac – ez a szám magában foglalja a gyártók által felújított és újból eladott készülékeket is. A piac 17,6 százalékkal bővült a 2018-as adatokhoz képest, amikor 175,8 millió használt telefon talált gazdára. Az IDC előrejelzése szerint éves 13,6 százalékos bővüléssel 2023-ban 332,9 millió darab használt okostelefon talál majd gazdára.
A látványos javulás a piackutató vállalat szerint annak tulajdonítható, hogy megnövekedett a kereslet a használt készülékek iránt, melyek jelentős árbeli különbséget jelentenek az új telefonokhoz képest, viszont képességekben kevésbé maradnak el az újaktól. A telefonkészülék gyártóknak sem sikerült olyan új telefont a piacra dobniuk, melyek új funkciói megmagyaráznák a készülékek magas árát. Vagyis ár/érték arányban a használt készülékekkel járunk jobban.
Az 5G is besegít
Az 5G-s hálózatok, majd az 5G képes mobiltelefonok elterjedése magával hozza azt a jelenséget, hogy meglévő készülékeiket a fogyasztók szívesebben cserélik be a gyorsabb internetezést és jobb felhasználói élményt kínáló 5G modellekre, ez pedig felpörgeti a használt készülékek piacát.
Míg az új okostelefonok piacán stagnálás és helyenként csökkenést prognosztizál Antony Scarsella, az IDC kutatási szakértője szerint a használt okostelefonok piacán továbbra is a kétszámjegyű növekedés a jellemző. Attól a ténytől, hogy a mobiltelefont gyártó cégek újítják fel a használt készülékeket és kínálnak rájuk kiterjedt garanciát helyenként, a költségek féken tartásában érdekelt vállalatok számára is vonzóvá vált ez a piac.
A környezetvédelem is fontos
Egyre több elkötelezett fogyasztó és vállalat környezetvédelmi szempontok miatt is fontosnak tartja a használt készülékek újrahasznosítását és az újrahasznosítás támogatását a készülékek megvásárlásával. Az Apple-hoz hasonlóan nagyon sok vállalat szervezetten gyűjti a használt mobilokat. Azokat a készülékeket, melyeket érdemesnek találják, felújítják, új akkumulátorral látják el, új csomagolásban kerül a piacra – és az újhoz képest jóval alacsonyabb áron értékesítik. A nagy mértékben károsodott készülékeket pedig szétbontják, darabjaira szedik és a legtöbb alkatrészt vagy alkotó anyagot újból felhasználják.
A használt mobiltelefon piac alakulása (millió darabszám)
| Régió | 2018 | Piaci részesedés | 2023 | Piaci részesedés |
| Észak-Amerika | 39 | 22,2 % | 87,2 | 26,2% |
| A világ többi része | 136,8 | 77,8% | 245,7 | 73,8% |
| Összesen | 175,8 | 100% | 332,9 | 100% |
Forrás: IDC
jan 8, 2020 | Adatbiztonsági cikkek, hírek
Előző két cikkünkben (első cikk, második cikk) részletesen foglalkoztunk hat adatfertőtlenítési mítosszal: terítékre került az egyszerű adattörlés, a formázás és a fizikai megsemmisítés körüli téveszmékről. Második cikkünkben a demágnesezés, a kriptográfiai törlés és a DATA D által is kedvelt adatfertőtlenítésről volt szó. Harmadik és egyben a témát lezáró cikkünkben a T2-es chipekkel ellátott Apple Mac gépek adattörléséről, az adattörlés felhasználási területéről, a szerverek adattörlési idejéről és az adatfertőtlenítés költségéről kapcsolatos mítoszokat porlasztjuk szét.
Mítosz 7 – a T2-es Mac gépek törlésbiztosak
Az Apple kiemelten ügyelt a biztonságra, a 2017 második felében bevezetett T2-es chippel ellátott iMacPro (és a későbbi modellek, mint a MacBook Pro, MacBook Air és Mac Mini) gépeknél lapkaszinten is figyel a biztonságra. A T2-es chipre több olyan kontrollert építettek be, mely emeli a gép biztonsági szintjét.
A secure boot funkció például korlátozza, hogy milyen operációs eszköz tölthető be a macOS eszközökre, vagyis csak egy legitim, megbízható operációs rendszer indulhat el a gép bekapcsolásakor. Azt sem engedélyezi, hogy esetleg USB memóriáról bootolják a gépet, vagyis gyakorlatilag megakadályozzák, hogy például hackerek más operációs rendszer indításával férjenek hozzá adatainkhoz. Ez a lapka a hagyományos adattörlési megoldásokkal sem működik együtt: a Blancco Drive Eraser megoldása is operációs rendszerként működik telepítéskor. Azonban a T2-es gépek törlésére a Blancco kidolgozta a LUN Eraser megoldását, mely ezt a kérdést nyugtatóan kezeli.
Mítosz 8 – az adatfertőtlenítés csak a fizikai meghajtókra alkalmazható
Mindenképp szakszerűen törölnünk kell a régi és már nem használt merevlemezeket és SSD meghajtókat, még mielőtt azok elhagyják vállalatunk falait – vagy megbízható cégre taksáljuk ezt az érzékeny feladatot. Azonban az aktív, élő IT környezetnél is szükség van a biztonságos adatfertőtlenítésre, így tudjuk az adatokat teljes életciklusuk alatt az előírásoknak megfelelően kezelni.
Ha mindezt a feladatot automatizáljuk, akkor biztosak lehetünk abban, hogy egyetlen végfelhasználói ponton sem marad helyi másolata az ügyfélinformációnak vagy a bizalmas adatnak. A rendszeres adattörlés megelőzi az adatfelhalmozást, olyan helyeken, melyek célpontjai lehetnek egy külső támadásnak – ezzel a magas kockázattal járó adatszivárgást előzhetjük meg. Minél több lejárt, redundáns, régi adattól szabadulunk meg rendszerezetten, annál kisebb a kockázata, hogy a sikeres támadás nem várt adatveszteséget okoz.
Mítosz 9 – a szerverek adatfertőtlenítése hosszas kimaradást eredményez
Sokkal gyorsabb a több tíz, száz vagy akár ezer szerver adatfertőtlenítése, mint hinnénk. Még akkor is, ha élő IT környezetben végezzük az adatfertőtlenítést vagy életciklusuk végén lévő hardverekről van szó. A biztonságos adatfertőtlenítési megoldások nemcsak minimalizálják a kiesési időt, hanem a szabályzat által működtetett automatizáció és a helyi megoldások csökkentik a törléshez szükséges élő emberi erőforrást is. Főleg azoknál a szervezeteknél, ahol nagyon sok a manuális munkafolyamat, a biztonságos és automatikus adatfertőtlenítés meggyorsítja az egész vállalatot. Bizonyítékra van szüksége? Akkor olvassa el a Blancco esettanulmányát, melyből megtudja, hogyan fertőtlenítettek egyszerre 4000 szervert.
Mítosz 10 – az adattörlés költséges
Ez a legkönnyebben szétszedhető mítosz, ugyanis az adattörlés nem költséges. Ha a DATA D-re bízza számítógépes flottájának, esetleges merevlemezeinek biztonságos adatfertőtlenítését a legtöbb esetben maga az eszköz értéke fedezi a menedzselt adattörlés költségeit. A vállalatok így két gondjuktól szabadulnak meg egyszerre: a régi adathordozókon lévő adatoktól biztonságosan és auditált módon semmisülnek meg, miközben egy újrahasznosítható eszközhöz jutnak.
Ezt a működőképes eszközt maguk az alkalmazottak vásárolhatják meg jelképes áron vagy jótékonysági akció keretében egy rászoruló szervezetnek adományozhatjuk. De ha nem is szeretnénk hardverjeinktől megszabadulni, akkor az adatfertőtlenítés árát az esetleges hatósági bírságokkal vagy az adatveszteség miatt bekövetkező reputáció csökkenésének költségeivel érdemes összehasonlítani – biztosan tudjuk, hogy az adatfertőtlenítés kevesebbe kerül.
dec 12, 2019 | Adatbiztonsági cikkek, hírek
Az Apple 2019-ben újította meg környezetvédelmi programját, ennek keretén belül többszáz Daisy robotot állított munkába. A robotoknak egy feladatuk van: szétszedni a már rossz, javíthatatlan telefonokat és újrahasznosítani összetevőiket.
A világ egyik legnagyobb technológiai vállalata, a kaliforniai székhelyű Apple 2019 tavaszán újította meg környezetvédelmi programját, mely az elektronikai készülékeinek újrahasznosítását tűzte ki céljául. Az Apple Trade In program hazánkban sajnos nem működik, pedig nagyon jó kezdeményezésről van szó.
Így adhatjuk le a régi készüléket
A megszokott módon, a használt elektronikai eszközöket – legyenek azok mobiltelefonok, számítógépek, laptopok, tabletek vagy okosórák – egy számítástechnikai boltban le lehet adni, vagy ingyenesen postán el lehet küldeni a gyártónak. A régi készülékért pénzt is kapunk, ezt vagy beszámolják az új vásárlásakor, vagy pedig egy ajándékkártyára töltik fel. Hogy egy-egy készülék mennyit ér, azt a program hivatalos weboldalán ismerhetjük meg. A régi készüléket akkor is beküldhetjük, ha nem fizetnek érte. Az oldalon arra is tanácsot adnak, hogy adatainkat hogyan mentsük le a használt készülékekről.
Óránként 200 iPhone
Ami a használt készülékekkel ezentúl történik, az az igazán érdekes. A lehetőségekhez mérten, a kisebb hibákkal rendelkező készülékeket kijavítják és alacsonyabb áron értékesítik őket. Ezeket nem használt, hanem újracsomagolt néven maga a gyártó értékesíti boltjaiban. (Ha használt mobiltelefon vásárlásán gondolkozol, akkor ezeket a tippeket kövesd.) A menthetetlen eszközöket azonban szétszedik, apró alkatrészeire bontják és minden lehetséges nyersanyagot újrahasznosítanak.
A gyártó slágertermékére, az iPhone-okra pedig külön telefon szétszedő automatát állítottak hadrendbe. A Daisy névre hallgató robot óránként 200 iPhone-t képes szétszedni. A világon óránként több mint 30 ezer új iPhone talál gazdára, így van utánpótlás. A robot összese 15 különböző modellel tud elbánni, működését az alábbi YouTube videón lehet látni.
Ha a robotnak sikerült 100 ezer telefont szétszednie, akkor azokból a következő nyersanyagokat nyerte vissza: 1500 kg alumínium, 1,1 kg arany, 6,3 kg ezüst, 32 kg ritka fémek, 83 kg tungsten, 1000 kg réz, 29 kg ón, 790 kg kobalt, 1400 kg acél. Ezeket az anyagokat az új készülékek gyártásakor használja fel az Apple. A legutóbb ismert adatok szerint 2018-ban az almás gyártó 7,8 millió Apple eszközt dolgozott fel, ezzel 48000 köbméternyi szeméttől kímélve meg a Földet. Ha a Daisy non-stop működik, akkor majdnem 21 nap alatt képes feldolgozni ezt a 100 ezernyi mennyiséget.
Nemcsak az Apple, hanem a Dell is igyekszik újrahasznosított anyagokból gyártani az új termékeit, ahogy erről a DATAD blogján már írtunk.
dec 7, 2019 | Adatbiztonsági cikkek, hírek
Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.
Előző cikkünkben három adattörlési módszer körüli mítoszt jártunk körbe: szó volt a sima adattörlés, a formázás és a fizikai megsemmisítés körüli téveszmékről. Ebben a bejegyzésben másik három adatmegsemmisítési módszer előnyeit és hátrányait tárgyaljuk: a demágnesezésről, a kriptográfiai törlésről és a DATA D által kedvelt adatfertőtlenítésről lesz szó.
Mítosz 4 – a demágnesezés minden adattárolási technológiánál működik
A demagnetizálásnak vagy demágnesezésnek megvan a maga jól bejáratott helye. Nagyon hatásos a sérült, életciklusuk végén lévő elektronikas eszközök esetében, ahol az adatokat mágneses alapon tárolják. Partnerünk, a Blancco-nak az Ontrack Eraser Degausser terméke a demágnesezés elvén működik. A demágnesezés gyenge pontja, hogy CSAK a mágnesesen tárolt adatok esetén hatékony. A népszerű SSD tárolók esetében teljesen hatástalan ez a technológia, hiszen az SSD félvezetőkön tárolja az információkat. Ugyanígy az optikai tároló eszközök esetében sem használható ez a módszer.
A mágneses elven adatokat tároló merevlemezek és mágnesszalagok esetében is van mire figyelni. A demágnesező erőnek eléggé erősnek kell lennie ahhoz, hogy fertőtlenítse a törlésre szánt eszközöket. Nem mindig talál össze a kettő, főleg, amikor az idősebb demágnesező találkozik az újabb merevlemezekkel.
Mítosz 5 – a kriptográfiai törlés megvédi az adatokat
A kriptográfiai törlés vagy kriptotörlés is egy kedvelt adatfertőtlenítési módszer. A kriptográfiai törlés lényege röviden, hogy beépített vagy külső szoftver segítségével titkosítjuk az adatokat, majd az adatok megfejtéséhez használt titkosító kulcsot kitöröljük. A titkosító algoritmusnak minimum 128 bites erősségűnek kell lennie. Az adat gyakorlatilag az eszközön marad, de a titkosítás miatt, illetve a titkosító kulcs törlése következtében az adatokhoz lehetetlen hozzáférni.
De, mint minden adatfertőtlenítési módszernek, ennek is megvan a hátulütője. A kriptotörlés ideális megoldás, amikor az adathordozó eszközök átutazóban vannak. Azonban a felhasználók befolyásolhatják a kriptográfiai törlés sikerét (vagyis sikertelenségét) emberi tévedéssel és rossz kulcsok használatával. Az is gond, hogy az adat mindvégig az eszközön marad, csak olvashatatlan.
Mítosz 6 – adatfertőtlenítés
Ebben az esetben csak a stilisztika kedvéért beszélünk mítoszról, mert a tanúsított adatfertőtlenítés az egyik legmegbízhatóbb és legalaposabb adattörlési módszer. A módszer alapja, hogy egy adott szabvány szerint egy szoftverrel 0-val és 1-essel többszörösen felülírjuk az adathordozón lévő adatokat. A felülírással az eredeti adat elvesz és semmilyen módszerrel nem állítható vissza. Ha egy merevlemezt teljes biztonsággal fertőtleníteni szeretnénk szoftveresen, akkor a következő lépéseket tartsuk be:
- Válasszuk ki az iparágunknak és vállalati igényeinknek megfelelő adatfertőtlenítési szabványt.
- Használjunk egy adatfertőtlenítő szoftvert adataink biztonságos törlésére, kövessük a szoftver utasításait.
- Az adatok törlése után a szoftver ellenőrzi, hogy az adatok felülírási módszertana sikeres volt-e vagy sem, és hogy valóban eltávolította az összes adatot a céleszközről
- A szoftver elkészít egy módosíthatatlan tanúsítványt, mely bizonyítja, hogy az adatok törlése sikeres volt a lemez minden szektorában, mellékelve az eszköz adatait és a használt szabvány információit.
Az adatfertőtlenítés az adatok szakszerű és tanúsított megsemmisítésének legmagasabb formája, a tanúsító folyamat biztosítja és garantálja azt, hogy az adatot sikeresen felülírták. Az adatfertőtlenítés környezetbarát, a fertőtlenített eszközöket újból fel lehet használni. Ennek a módszernek is van azonban hátránya: időigényesebb, mint a többi módszer. Ugyanakkor az adatfertőtlenítés arra kényszeríti a szervezeteket, hogy folyamatokat és szabályzatokat dolgozzanak ki az adattárolók menedzselésére.
dec 3, 2019 | Adatbiztonsági cikkek, hírek
Mi állítja meg a vállalatokat abban, hogy teljesen és tanúsítható módon megszabaduljanak a már nem használt adatokról? Gyakran az idejétmúlt és nem teljes adatvédelmi szabályzatok. Sokszor azért nem tesznek eleget ennek a kötelezettségüknek, mert teljesen félreértik, mit is jelent az adatfertőtlenítés (a fájlok lomtárba helyezése távolról sem tartozik ide). Esetenként viszont széleskörben elfogadott módszereket használnak – csak a rossz eszközökön. Bármi legyen is az oka, ezek a félreértések oda vezetnek, hogy vállalaton megnövekszik az adatszivárgással és általánosságban az adatokkal kapcsolatos biztonsági incidens kockázata.
Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.
Mítosz 1 – egy sima törlés minden problémát megold
Tényleg megtévesztő a törlés kifejezés, hiszen még a szakavatott IT technológiával foglalkozók is gyakran azt hiszik egy sima törléssel gond nélkül megszabadultunk az adatoktól. Miután a számítógép asztalán lévő virtuális szemetesben helyeztük a fájlokat, onnan még mindig egy kattintással visszaállíthatók. Sőt, akkor sem töröljük a fájlokat véglegesen, mikor kiürítjük virtuális szemetesünket. Megtévesztő a dolog ó, mert a Windows azt kérdi a kuka kiürítésekor, hogy „Biztos benne, hogy végleg törli ezt a fájlt? Azonban az operációs rendszer nem törli az az adatokat, csak a rájuk mutató bejegyzéseket, az érintett területet felhasználhatónak jelöli, és kész. Az adat ott marad és megfelelő szoftveres eszközök segítségével visszaállítható.
Mítosz 2 – a formázás mindent adatot eltűntet
Egy saját, Blancco felmérés szerint a válaszadók 51 százaléka azt gondolja, hogy az adathordozó gyorsformázása vagy teljes formázása elegendő ahhoz, hogy végleg töröljük az adatokat. A formázás valóban elég sok adatot eltüntet a lemezről. De adatfertőtlenítési módszerhez ez azonban nem elegendő, főleg nem a tanúsítást igénylő vállalati folyamatok esetében. Az adat helyreállítható online is elérhető eszközök segítségével.
Ami tovább zavarja a probléma megértését, hogy több OEM gyártó törlésként nevezi meg a formázást. Azonban ezeknek a módszereknek megvan a maguk korlátja, hiszen nem lehet kiválasztani egy adattörlési szabványt, nem lehet ellenőrizni, hogy a törlés sikeres volt és a törlésről tanúsítvány sem készülhet – mindez az adatfertőtlenítési irányelvek között kötelezően szerepel.
Mítosz 3 – a fizikai megsemmisítés minden adatot tönkretesz
Ez egy valóban trükkös megoldás, az ördög a részletekben rejlik. Az adathordozó fizikai megsemmisítése valóban hatásos és a DATA D által használt, tanúsított, az előírásoknak tökéletesen megfelelő adatfertőtlenítő megoldás. Sok esetben a nemzetbiztonsági szervek előírt adatmegsemmisítő módszere, kiforrott és bejáratott megoldások léteznek ezen a területen. Az adat fizikai megsemmisítési folyamatának minden lépését naplózzuk, részletes tanúsítványt bocsájtunk ki.
A meglévő berendezések teljesen alkalmasak a mágneses merevlemezek fizikai megsemmisítésére, de a kisebb, az adatokat sűrűbben tároló SSD-k esetében nagyon apró vágási méretet kell beállítani ahhoz, hogy valóban hatásos legyen a megsemmisítés. Az amerikai nemzetbiztonsági hivatal ajánlata szerint az SSD-k javasolt vágási mérete 2 milliméter. Ha a vágási szelet ennél nagyobb, akkor megnő annak a kockázata, hogy ép darabok jutnak át a szeletelőn, amelyekről az adat gond nélkül visszaállítható.
Ahogy korábban már erről írtunk, nagyon sok vállalat szükségtelenül és foggal-körömmel ragaszkodik az adathordozók fizikai megsemmisítéséhez. Holott az adatok szoftveres és tanúsított fertőtlenítése is elvégzi a feladatot, és ráadásul még környezetbarát módon. A fizikai megsemmisítés esetében olyan elektronikai hulladék keletkezik, melynek szakszerű megsemmisítéséről tovább gondoskodni kell.
Az adathordozók értéke fedezi a szakszerű adatfertőtlenítés költségét, így nagyon sok esetben az adott adatoktól és adathordozóktól megszabadulni kívánó szervezetnek egy fillérbe se kerül az adatfertőtlenítés. És ráadásul a környezetet sem terheljük vele, mert a felújított adathordozó vagy számítógép új életet kezdhet máshol.
nov 23, 2019 | Adatbiztonsági cikkek, hírek
Már korábban írtunk arról, hogy az adatok titkosítása nem helyettesíti az adatok szakszerű fertőtlenítését, a titkosítás csak megnehezíti, de nem teszi lehetetlenné az adatok teljes törlését. Nemrég egy olyan biztonsági hibára derült fény, melynek kihasználásával vissza lehet nyerni a TPM-ben tárolt titkosítási kulcsokat. A hiba milliárdnyi informatikai eszközt érint.
A legütősebb érv, amit az adatok szakszerű fertőtlenítése ellen gyakran felhoznak üzleti partnereink, az az, hogy az adatokat eleve titkosítva tárolja az adott adathordozón, így rajta kívül senki más sem tud hozzájutni az adatokhoz. Az esetek többségében valóban igaz, hogy a titkosítottan tárolt adatokból idegenek semmilyen hasznosítható információt sem tudnak kinyerni. A gyakrabban előforduló sérülékenységek miatt azonban az a biztos, ha az adatokat szakszerűen, jegyzőkönyvezve, tanúsítottan véglegesen töröljük.
Hiba csúszhat bele
A titkosítást emberek készítik, emiatt nagyon könnyen hiba csúszhat belé. Egy biztonsággal foglalkozó kutatócsoport nemrég fedezte fel a Trusted Platform Module harveres és szoftveres titkosítás hibáját. A TPM egy speciális biztonsági megoldás, hardver vagy szoftver alapú, melyet úgy találtak ki, hogy akkor is megvédje az érzékeny adatokat (tanúsítványokat, titkosítási kulcsokat), amikor egyébként az operációs rendszer a bűnözők befolyása alatt van. A TPM technológiát milliárdnyi számítógépben, laptopban, szerverben, okostelefonban, IoT eszközben megtalálható. Egy időzítés alapú támadás segítségével a TPM lapkában lévő adatok mindenki számára elérhetővé válnak. A hiba az STMicroelectronics gyártotta TPM lapkákat és a firmware alapú, Intel TPM titkosítást érinti.
Korábbi cikkünkben két ismert titkosítási sérülékenységről számolhattunk be. A Windows operációs rendszerekbe alapból beépített Bitlocker titkosítási eljárásról kiderült, hogy firmware-beli hiba miatt könnyen feltörhető kulcspárokat generált a rendszer. A problémát tovább fokozza, hogy nem könnyű ezt a hibás firmware-t frissíteni – már ha eszébe jut ez a rendszergazdának. A 2017-ben feltárt hibához vannak frissítések, ezen a linken lehet megnézni, hogy a különböző hardverekhez honnan, hogyan kell azt telepíteni.
Ide is csúszott egy hiba
A méltán népszerű Western Digital titkosítási eljárásába is hiba csúszott, ezen a linken olvashatják el az összes hibát. Egyet kiemelünk: a titkosításban a sózás technológia arra szolgál, hogy a gyenge jelszavakat lenyomatait megváltoztassák, úgy, hogy a hackerek ne ismerjék fel, ne tudják visszafejteni, Ehhez azonban változó vagy módosítható sóra van szükség, amit az eredeti gyenge jelszóhoz kevernek. A WD merevlemezei a sózáshoz három betűből álló, nem módosítható karaktert használnak: WDC.
