A G DATA munkatársai egy eBay-en vásárolt katonai laptopon találtak bizalmas adatokat egy rakétahordozó járműről. Az egész eszköz 30 ezer forintba került. Ez az eset is rávilágít arra, hogy az adatok szakszerű törlését nem lehet megúszni.
Az informatikai biztonsággal foglalkozó szakemberek pontosan tudják, hogy selejtezéskor minden adathordozóról teljes felülírással kellene törölni az adatokat, de ez az egyik legtöbbször megszegett szabály. Ennek egyszerű az oka: a leselejtezendő gépekkel már senkinek sincs kedve foglalkozni, a büdzsébe pedig általában nincs betervezve az adattörlés költsége. Így születhetnek olyan sztorik, mint a mostani, amelynek során a német vírusvédelmi cég két szakértője az eBay-en 30 ezer forintért megvásárolt egy használt Roda Rocky II típusú katonai notebookot, hogy aztán azon egy sor bizalmas adatot találjon.
Katonai gép online piactérről
A történet röviden annyi, hogy a G DATA két munkatársa egy régi notebook-ot vásároltak az eBay-en. A 600 MHz-es Pentium III-mas processzoros, 128 MB-nyi RAM-mal ellátott számítógép a 2000-es évek elején még csúcstechnológiának számított, és biztosan nem volt olcsó, ma is egy retró számítógépnek megállná a helyét. Ami a származási helyéről árulkodik az egy külső címke, melyen ez áll: Roda Rocky II+ Data Viewing Unit LeFlaSys. Egy katonai gépről van szó, amit a német hadseregnél használtak.
Bekapcsoláskor a gép elindult, a Windows 2000-es operációs rendszer nem kér jelszót, simán bejutnak a gépbe. Egy speciális programot érdeklődéssel néznek: a MODIS nevű szoftvert egy müncheni székhelyű vállalat fejlesztette. Amikor megnyitják, jelszót kér. Segít, hogy a kitöltött felhasználónév „GUEST”, így az első próbálkozás a GUEST (magyarul vendég) jelszó, és már nyílik is a program.
Rövid kutakodás után a szakértők máris egy érdekes dokumentumra bukkannak, egy föld-levegő rakétarendszer, az Ozelot felhasználói kézikönyvére. A leírás teljes karbantartási instrukciókat tartalmaz, de rajzokat és működtetési utasításokat is találnak. A rendszer elektronikájának ismertetőjére is találnak utalást, de arról kiderül, hogy egy szerveren tárolhatták, nincs a gépen. A leírás szerint ez a fegyverplatform a Mistral irányított rakétákkal is felszerelhető. Ezt a dokumentumot sohasem szánták a nagyközönség szemei elé, erről árulkodik az is, hogy minden lap jobb felső sarkában az áll: Bizalmas – csak hatósági használatra. A német okiratok titkosítási rendszerén belül ez csupán az első fokozat, ezt azt jelenti, hogy ha ilyen adatok napvilágot látnak, akkor azok csak kisebb problémát okoznak.
Minősített adattörlés
A Nemzeti Adatvédelmi és Információszabadság Hatóság tavaly közzétett egy iránymutatást az adattörlésekkel kapcsolatban.
Ebben a hatóság felhívta a figyelmet többek között arra, hogy a leselejtezendő adathordozókról megbízható módszerrel kell az adatokat eltávolítani. Ez pedig a gyakorlatban sztenderd adattörlési algoritmusok alkalmazását jelenti egy olyan szoftver segítségével, amelyet lehetőleg külső szervezet is minősített. Emellett fontos, hogy az adattörléseket dokumentálni is szükséges, így a törlési jegyzőkönyvekből ki kell derülnie, hogy az adott eszköz törlését kicsoda, mikor, milyen módszerrel és eredménnyel végezte el.
Az adattörlési megoldásokat gyártó Blancco cég magyarországi képviseletét ellátó V-Detect Antivírus Kft. ügyvezetője, Petrányi-Széll András szerint azonban megbízható adattörlési eljárásokat csupán a magyarországi vállalatok 5-10 százaléka használ, a nagy többség vagy egyáltalán nem foglalkozik jelenleg a kérdéssel, vagy megbízhatatlan szoftvereket alkalmaz, és nem teljesíti a jegyzőkönyvezési kötelezettséget sem.
Nem egyszeri eset
Egy évvel korábban, 2019-ben is előfordult egy hasonló fiaskó, amikor egy felső-bajorországi erdészet vásárolt négy laptopot egy állami aukción, rajtuk egy másik tüzérségi rakétarendszer kezelésével kapcsolatos, szintén minősített anyagokkal.
Mostanában egyébként nem csak a németek hagytak el érzékeny adatokat: néhány nappal korábban a holland kormány volt kénytelen bejelenteni, hogy elveszített két külső meghajtót összesen 6,9 millió szervdonor személyes adataival. Itt az 1998 februárja és 2010 júniusa közötti összes vonatkozó űrlap elektronikus másolatairól van szó, az ottani egészségügyi minisztérium tájékoztatása szerint magukat a meghajtókat 2016 óta nem is használták. Az eszközöket elvileg egy széfben őrizték, eltűnésükre pedig akkor derült fény, amikor éppen az adatok törlésének céljából elővették volna azokat.
Az elveszített profilok között nevek, születési adatok, lakcímek, okmányszámok, aláírás-másolatok és a szervátültetésekről szóló rendelkezések voltak. A holland hatóságok a szokásos módon közölték, hogy az adatok illetéktelen felhasználására egyelőre nem találtaksemmiféle bizonyítékot, és az adatvesztésnek a nyilvántartás aktuális működésére nézve sincs semmilyen következménye. Hollandia nagyjából 17,5 millió lakosának körülbelül a fele regisztrált szervdonor.