A vállalatok nem foglalkoznak az elektronikai hulladékkal

okt 12, 2020 | Adatbiztonsági cikkek, hírek

Kicsit saját maguknak ellentmondóan működnek a vállalatok világszerte – derül ki abból a kutatásból, melyet a Blancco kérésére a Coleman Parker végzett a világ nagyvállalatai körében. Az 1850 vállalat megkérdezésével készített felmérés szerint a szervezetek 83 százalékának van CSR programjuk, de ennek ellenére elenyésző százalékuk foglalkozik az életciklusuk végét elért IT eszközök adatfertőtlenítésével.

Pedig blogunkon is megírtuk, hogy éves szinten rekordmennyiségű, 53,6 milliárd tonnányi elektronikus hulladék keletkezett és ennek csupán a 17,4 százalékát hasznosítja újra az emberiség. Ez konkrétan azt jelenti, hogy 57 milliárd dollár értékű arany, ezüst, réz, platina és egyéb magas értékű, újrahasznosítható anyagot egyszerűen kidobunk vagy elégetünk.

Másképp dolgozzuk fel a régi hardvert!

Az elektronikai hulladék növekedésének egyik oka, hogy rossz módszereket használunk a hardver feldolgozására. A felmérés szerint a szervezetek több mint harmada (36 százalék) nem megfelelő adatmegsemmisítési módszereket használnak, melyek kockázatot jelentenek a vállalat és a környezet számára egyaránt. Egyik ilyen módszer a hardver fizikai megsemmisítése anélkül, hogy minderről bármilyen feljegyzés, tanúsítás készülne.

A vállalatok gyakorlatilag ledarálják vagy egy kalapáccsal összetörik a kidobott elektronikai eszközöket, így azonban a készülékek gyártásakor használt káros anyagok mind-mind a természetben kötnek ki. Ennél jobb megoldás, ha egy erre szakosodott vállalatra bízzuk a készülékek megsemmisítését, hiszen ők megfelelően tudják a káros anyagokat elkülöníteni és kezelni egyaránt.

Bevételhez juthatnak

A felmérés szerint a nagyvállalatok összesen több százezer eszközt semmisítenek meg nem megfelelő módon minden évben. Ha ezek a szervezetek váltanának, és úgy döntenének, hogy adatfertőtlenítik eszközeiket és eladják őket a megsemmisítés helyett, akár 2000 szénkreditet tudnának összeszedni éves szinten – ami komoly bevétel minden vállalatnak.

Az eladás nem az egyetlen lehetőség. A vállalatok a szervezeten belül újrahasznosíthatják vagy egy jó célra fordíthatnák. De ehhez minden esetben szoftveresen adatfertőtleníteni kell az eszközöket, ahelyett, hogy fizikailag megsemmisítsék azokat.

Miért döntenek így a cégek?

A kutatás szerint azonban a vállalatok több mint egyharmada (39 százaléka) az eszközök fizikai megsemmisítése mellett döntenek, mert azt gondolják, ez a legjobb a környezetnek. De vajon miért döntenek így a vállalatok? A válasz három területről érkezik: oktatás hiánya, kommunikáció hiánya és az adatbiztonság és környezeti előírások gyenge szabályozása.

Az oktatás hiánya – a vállalatok rosszul gondolják azt, hogy az eszközök fizikai megsemmisítése a legjobb a környezetnek, sokkal jobb, ha a káros anyagok nem kerülnek a természetbe vagy ha többször újrahasznosítjuk azokat.

Kommunikáció hiánya – az életciklusuk végét elért eszközökkel a vállalatok döntő többsége foglalkozik (91 százalék), de csak a papír és szabályzat, elképzelés szintjén. A vállalat elképzeléseit, vállalásait meg kell ismertetnie az alkalmazottakkal és megfelelően a mindennapi gyakorlatban alkalmazni is kell.

A szabályok hiánya vagy be nem tartása – az Amerikai Egyesült Államokban 22 államban egyszerűen nincs állam szerte érvényes szabályozás, mely az elektronikai hulladék kérdését szabályozná. A 2013-mas EU-s WEEE Direktíva és szabályozás megléte ellenére Nagy-Britannia 2018-ban nem teljesítette célkitűzéseit és egyik a legnagyobb elektronikai hulladék expotőrnek számít. Vagyis van mit fejlődni a szabályok megalkotása és betartatása területén egyaránt.

 

Lehetséges adatveszteségre figyelmeztet az új Windows funkció

okt 5, 2020 | Adatbiztonsági cikkek, hírek

Egyelőre csak a tesztelik, de egy új Windows frissítés figyelmeztet az SSD merevlemezek esetleges meghibásodására.

Ha minden normálisan működik a számítógépünkben, akkor sohasem fogunk találkozni azzal a Windows üzenettel, mely az SSD esetleges meghibásodására figyelmeztet. Az SSD-k méltán népszerűek, hiszen a régebbi gépekbe téve meggyorsítja azokat, ideális esetben nagyobb tárhelyet biztosít a hagyományos merevlemeznél.

Azonban, mint minden ember gyártotta informatikai eszköz, ez is elromolhat, meghibásodhat. A hibás SSD meghajtókról ugyan vissza lehet nyerni az adatokat, de az elég sok pénzbe kerülhet és többnyire szakosodott vállalat képes rá.

Még csak tesztelik

Az újdonság a Windows 10 operációs rendszer 20226. verziójában jelen meg és a frissítéseket tesztelő Insider Preview program tesztelői próbálhatták ki először. Abban az esetben, ha a rendszer figyelmeztető jeleket észlel az SSD egészségével kapcsolatosan, egy üzenetet kapnak a felhasználók, mely szerint a tárolóeszköz meghibásodhat.

Abban az esetben, ha az SSD tartalmát rendszeresen lementjük, van backup, akkor nem kell aggódnunk. Viszont, ha erről a tevékenységről rendszeresen megfeledkezünk, akkor a figyelmeztető üzenet felbukkanása után érdemes egy külső adathordozóra vagy felhős tárhelyszolgáltatásra lementeni adatainkat, és lehetőleg azonnal.

Az angol nyelvű változatban ez az üzenet vár minket:

Ha rákattintunk vagy a meghajtó tulajdonságait nézzük meg részletesebben (Storage Settings (Settings -> System -> Storage -> Manage disks and volumes -> Properties)), akkor egy ehhez hasonló információs ablak bukkan fel:

A Windows nem tudja megjavítani az SSD tárolót és nem menti el helyettünk az adatokat, mindkét esetben a felhasználónak kell cselekednie. Mi szóltunk!

A home office kollégák nehezen találják az adatokat

szept 28, 2020 | Adatbiztonsági cikkek, hírek

Az egyre növekvő mértékben decentralizált munkakörnyezetben, ahol az alkalmazottak és vállalatok széles körű kommunikációs eszközöket használnak, a megfelelő vállalati információ megtalálása eléggé nagy kihívást jelent.

A Sinequa vállalat felmérése szerint az alkalmazottak napi szinten 45 percet csupán a vállalati adatok keresésével töltenek. A kollégák a felmérés szerint naponta nyolcszor keresnek adatokat, és minden alkalommal kicsivel több mint 5 percet töltenek azzal, hogy megtalálják a megfelelő információt. Az irodai dolgozók több mint fele azt mondta, hogy vannak napok, amikor nem találják meg az általuk keresett vállalati információt, bármennyit is töltenek annak keresésével.

A távoli rendszerek nehezen érhetők el

A home office-ből dolgozók számára az információkeresés nehezített tereppé vált, hiszen a távolabb lévő rendszerekhez a hozzáférés lassabb, nehézkésebb. Az információ a különböző telephelyeken található meg, ezért még azt sem igazán tudják az alkalmazottak, kihez forduljanak segítségért.

És noha adattal kapcsolatban nagyon jó menedzsment rendszerek és IT megoldások léteznek, a kutatás azt is kiderítette, hogy a hiányzó dokumentumok mögött egy szabadságon lévő kolléga van. A kutatásban megkérdezettek több mint két harmada (68 százalék pontosan) szerint akkor van igazán gondjuk a megfelelő információ megtalálásával, amikor kollégájuk hiányzik.

Bízzuk profikra!

Ha az adatot nem találjuk, amikor emberek vannak a gépek mögött, akkor ne reménykedjünk, hogy a kidobandó merevlemezekről tudjuk, milyen adatok vannak rajta. Ha biztosra akarunk menni, akkor bízzuk profikra az adatok megsemmisítését!

Az alkalmazottak viselkedése veszélyezteti az adatokat

szept 18, 2020 | Adatbiztonsági cikkek, hírek

Gyakorlatilag minden IT vezető számára (97 százalék) a belső alkalmazottól induló adatszivárgási incidens jelentős aggodalomra ad okot. Legalább is ezt találta az adatbiztonsági megoldásokkal foglalkozó Egress nevű vállalat kutatása.

A felmérésben több mint 500 IT vezetőt és 5000 alkalmazottat kérdeztek meg Nagy-Britanniából, az Amerikai Egyesült Államokból és a Benelux országokból. Az adatok szerint az esetek 78 százalékában az alkalmazottak véletlenül ugyan, de veszélybe sodorták a vállalati adatokat az elmúlt egy évben.

Adathalász emaillel kezdődött

A legtöbb esetben az adatszivárgás és adathalász emaillel kezdődött, majd a támadók megszerezve a kiszemelt alkalmazott belépési adatait egyszerűen ellopták a belső vállalati adatokat. Az esetek egy harmadában (31 százalék) az kollégák egyszerűen rossz embernek címezve küldtek emailt – ez is komoly adatvédelmi incidens.

Azonban az IT vezetők szerint nemcsak az őszinte tévedéstől kell tartaniuk, hiszen a megkérdezett vezetők kétharmada szerint ezeket a hibákat akarattal ejtik a kollégák.

Nem csökkentik a kockázatokat megfelelően

Az adatszivárgás lehetséges következményei közül az IT csapatok legjobban a komoly pénzügyi károktól tartanak. A fenyegetettségek megelőzésére a vállalatok fele antivírus megoldást használt, 48 százalékuknál titkosították az emailt és 47 százalékuk biztonságos kollaborációs megoldásokkal dolgoznak.

Azonban ez azt jelenti, hogy az IT vezetők nem menedzselik az adatszivárgás kockázatait megfelelően. Miközben tudják, hogy a cég már átvészelt egy adatszivárgási incidenst, mégsem vetnek be igazán hatékony megoldásokat. Gyakorlatilag viselkedésükkel elfogadhatónak tartják, hogy az alkalmazottak egyharmada valamilyen módon veszélybe sodorja az értékes vállalati adatokat.

18 elveszített merevlemez miatt változtatott szabályzatán a japán hivatal

szept 3, 2020 | Adatbiztonsági cikkek, hírek

Mit tesz egy japán prefektúra, miután elveszít 18 darab, leselejtezésre szánt merevlemezt? Hát tanul az esetből és teljesen átalakítja az életciklusuk végét elért eszközök kezelésére vonatkozó szabályzatot.

A merevlemezek elvesztését bejelentő, 2019. december 9-i hivatalos sajtótájékoztató. Forrás: kyodonews.net

Még tavaly decemberben történt, hogy a japán Kanagawa prefektúránál lába kelt 18 darab, leselejtezett és adatokkal teli merevlemeznek. A lemezek az adófizető polgárok személyes információit tartalmazta, autókra vonatkozó adófizetési információkkal volt tele, cégek adófizetési információit is tartalmazta.

A merevlemezeket az adathordozók megsemmisítésével megbízott vállalat egyik alkalmazottja adta el egy online aukciós felületen. Ezekből kilenc darabot egy olyan ember vásárolt meg, akit érdekelt, hogy a merevlemezek korábban milyen adatokat tartalmazhattak volna. Róluk ugyan letörölték az adatokat, de nem írták felül azokat (és minderről nem is készült jegyzőkönyv).

Visszaállította az adatokat

Így a kíváncsi állampolgár online letölthető szoftver segítségével helyre tudta állítani a merevlemez eredeti tartalmát. Miután látta, hogy komoly adatokról van szó, azonnal felvette a kapcsolatot a prefektúrával és azokat visszaszolgáltatta.

Majd ezután derültek ki a részletek: hogy a lemezeket online vásárolta, hogy azokat a megsemmisítéssel megbízott vállalat alkalmazottja tette fel az aukciós portálra és hogy összesen 18 darab ilyen adathordozót adott el. A japán emberek becsületességét mutatja, hogy a prefektúra felhívására a többi hiányzó kilenc merevlemezt is maradéktalanul visszaszolgáltatták a vásárlók két héten belül.

Új szabályzat született

A Kanagawa prefektúra emberei levonták a megfelelő következtéseket az esetből és saját maguk kezében vették az életciklusuk végét elért eszközök menedzselését, miközben jelentősen módosítottak a hasonló eszközök kezelésére vonatkozó szabályzaton is.

Az online japán nyelven elérhető új szabályzat szerint:

  • Minden eszközt minősített módon fertőtleníteni kell (törölni) az adatoktól az újrahasznosítás vagy a megsemmisítés előtt. Mielőtt a következő állomásra küldenék az eszközöket, a hivatal belső munkatársának – és nem egy szerződéses külső partnernek – a helyszínen minden adatot törölnie kell az eszközről.
  • A nem bizalmas rendszereket, merevlemezeket és IT eszközöket a szoftveres törlés után újrahasznosíthatják. A bérelt eszközöket a prefektúra munkatársai és a bérbeadó cég egyaránt törlik, hogy mindkét fél megelőzze a jogvitákat.
  • A bizalmas rendszerekből származó adathordozókat nem lehet újrahasznosítani. Előbb egy elfogadott szoftverrel kell törölni az adott eszközt, majd egy erre szakosodott vállalat fizikailag is megsemmisíti az eszközt.
  • A kötelező szoftveres alapú törlés nem vonatkozik a HDD alapú szerverekre, ha a törlést mechanikai hiba, hibás merevlemez vagy egyéb hiba akadályozza, ezeket degausser berendezés segítségével demágnesezik. A demágnesezés után ezeket az eszközöket kötelező darabolással (is) megsemmisíteni.
  • A mobil eszközöket is törlik, az NIST SP 800-88 kriptotörlés követelményei szerint.
  • Minden esetben a törlés, demágnesezés, megsemmisítés a prefektúra saját irodáiban történik. A törlést csak a prefektúra munkatársai végezhetik el.
  • A törlés felügyelet mellett, két vagy több belső munkatárs jelenlétében történhet, akiknek ellenőrizniük és dokumentálniuk kell a törlési és megsemmisítési eljárásokat.

A szabályzat azt is előírja, hogy ingyenes vagy nem bevizsgált szoftvereket nem használhatnak. Csak olyan megoldások jöhetnek szóba, melyeket előzetesen teszteltek és tanúsítottak, külső vagy belső szakértők. Ugyanakkor a hatékony szoftver alapú törlésre előírják:

  • a megoldásnak felül kell írni az adatokat legalább egyszer (vagy csak egyszer, a NIST SP 800-88 javaslatnak megfelelően)
  • ellenőriznie kell és dokumentálnia minden felülírást
  • tanúsítványt kell generálnia minden egyes törölt eszköz esetében