Évente milliószámra darálják fel a tárolóeszközöket, pedig azokat újra lehetne használni.
„Nem kell mérnöki diploma ahhoz, hogy valaki megértse, ez nem helyes” – véli Jonmichael Hands.
Hands úr a Circular Drive Initiative (CDI) titkára és pénztárosa, ez a szervezet technológiai cégekkel együttműködve promótálja a tárolóeszközök biztonságos újrafelhasználását. Emellett a Chia Network-nél is dolgozik, amely blockchain technológiát biztosít.
A Chia Network könnyedén újrahasználhatná azokat a tárolóeszközöket, amelyekre a nagy adatközpontok már nem tartanak igényt. 2021-ben a cég megkereste az IT Asset Disposition (ITAD) vállalatokat, amelyek
régi technológiákat semmisítenek meg azok számára, akik már nem tartanak rájuk igényt. A válasz az volt: „Sajnáljuk, a régi merevlemezeket meg kell semmisítenünk.”
„Mit mondasz, tönkreteszitek őket?” – kérdezte Hands úr, miközben meséli a történetet. „Csak töröljétek le az adatokat, és adjátok el őket! Az volt a válasz, hogy az ügyfeleik nem engednék meg ezt. Egy ITAD szolgáltató elmondta, hogy ötmillió merevlemezt semmisített meg egyetlen ügyfél számára.”
A tárolóeszközöket tipikusan ötéves garanciával adják el, és a nagy adatközpontok kivonják őket a forgalomból, amikor a garancia lejár. Azok a merevlemezek, amelyeken kevésbé érzékeny adatok vannak, megmenekülnek, de a CDI becslése szerint a merevlemezek 90%-át megsemmisítik, amikor eltávolítják őket.
Az ok? „A velünk beszélgető felhőszolgáltatók azt mondták, hogy biztonság, de valójában a kockázatkezelést értették alatta” – mondja Hands úr. „Nulla kockázatot engedélyeznek. Nem lehet egymillióból egy, tízmillióból egy, százmillióból egy merevlemez, amely szivárogtat. Nullának kell lennie.”
Az ironikus az, hogy a készülékek megsemmisítése viszonylag kockázatos ma. A legújabb meghajtókon négyzetinch-enként 500 000 adatsáv van. Egy sofisztikált adatmentő személy egy 3 mm-es darabból is ki tudná olvasni az adatokat – állítja Hands.
A tavalyi évben az IEEE Standards Association jóváhagyta a Tárolók Szanitálásának Standardját. Ez három módszert ír le az adatok eltávolítására az eszközökről, amit szanitálásnak neveznek.
A legkevésbé biztonságos módszer a „clear”. Minden adatot törölnek, de azokat szakértői eszközökkel vissza lehet állítani. Ez elegendő, ha a cégen belül szeretnék újrahasználni a meghajtót.
A legdrasztikusabb módszer a meghajtók megsemmisítése olvasztással vagy elégetéssel. Az adatok soha nem állíthatók vissza, és ugyanez igaz a meghajtóra és az anyagaira is.
A két véglet között található egy biztonságos opció az újrafelhasználáshoz: a purging (tisztítás). Amikor a meghajtót „tisztítják”, az adatvisszaállítás a legmodernebb eszközökkel és technikákkal nem valósítható meg.
Számos módszer létezik a meghajtók „tisztítására”. A merevlemezeket például új adatmintákkal lehet felülírni, amit aztán ellenőrizhetünk, hogy biztosan eltűntek-e az eredeti adatok. A mai tárolókapacitások mellett ez egy vagy két napig tarthat.
Ezzel szemben a kriptográfiai törlés csak néhány másodpercet vesz igénybe. Sok modern meghajtóba beépített titkosítás van, így az adatokat csak akkor lehet olvasni, ha rendelkezésre áll a titkosítási kulcs. Ha ezt a kulcsot törlik, az összes adat összezavarodik. Az adatok még ott vannak.
Hands úr pedig reméli, hogy a tárolóeszközök újrafelhasználásának elősegítése érdekében a CDI szervezet még jobban meg tud majd növekedni.
Azt gondolja, hogy a használt meghajtókat „az olcsóbb, de még mindig hatékony adatközpontok, például a kriptovaluta-bányászat számára is hasznos lehetne.” Hands úr szerint „nem szabad kidobni egy egész autót, csak mert lejárt a gumi. Ugyanez igaz a merevlemezekre is.”
Az olyan meghajtókat, amelyeken bizalmas adatok vannak, el lehet adni a nagy adatközpontoknak, míg azok, amelyeken kevésbé érzékeny adatok találhatóak, megvásárolhatók a kisebb adatközpontok számára vagy a kriptovaluta-bányászoknak.
A dolog komolyságát és sürgetőségét a környezeti hatások is felerősítik. Egy 2019-es tanulmány szerint a globális adatközpontok 2050-ig akár 8%-át is kitehetik a világ szén-dioxid-kibocsátásának.
Hands szerint, „Ez egy komoly probléma. Az ITAD szolgáltatók és a nagy adatközpontok egyaránt tehetnek valamit ezzel kapcsolatban. Nekünk kell kezdeményeznünk, és nem szabad várni, amíg valaki más megteszi.”
Nincsenek becslések arra vonatkozóan, hogy egy meghajtót hányszor lehet felújítani és újrahasználni. „Jelenleg csak a kétszeri használatot nézzük” – mondja Zuckerman.
Óriási a potenciál az ilyen programokban. A 2018-ban összesen 375 millió merevlemezt értékesítő cégek által eladott eszközök nagy része most éri el a garancia végét.
Azokat a meghajtókat, amelyeket nem lehet újrahasználni, a Seagate először az alkatrészek kinyerésére, majd az anyagok újrahasznosítására vizsgálja. A tajvani pilot programban az anyag 57%-a lett újrahasznosítva, ami mágnesekből és alumíniumból állt össze. Az egész iparágban innovációra van szükség, hogy többet visszanyerhessenek a meghajtókban használt 61 vegyi elem közül – mondja Zuckerman.
A hardver tisztításának és újrahasználatának elve más eszközökre, például routerekre is vonatkozik. „Csak azért, mert egy cégnek háromévente cserélni kell valamit, ez nem jelenti azt, hogy ez a világ számára teljesen alkalmatlan” – mondja Tony Anscombe, az IT biztonsági cég, az ESET fő biztonsági evangelistája.
„Egy nagy internetes szolgáltató (ISP) leselejtezhet néhány vállalati szintű routert, amiről egy kisebb ISP csak álmodozna.”
Fontos, hogy létezzen egy decommissioning folyamat, amely biztosítja az eszközök adatbiztonságát. Az ESET vásárolt néhány másodkézből származó core routert, amelyeket vállalati hálózatokban használtak. Csak 18 routerből 5-öt töröltek megfelelően. A többi olyan információkat tartalmazott a hálózatról, alkalmazásokról vagy ügyfelekről, amelyek értékesek lehetnek a hackerek számára. Minden routeren volt annyi adat, amellyel azonosítani lehetett az eredeti tulajdonosokat.
Az egyik routert egy e-hulladék-kezelő céghez küldték, aki úgy látszik, továbbadta anélkül, hogy eltávolította volna az adatokat. Az ESET felvette a kapcsolatot az eredeti tulajdonossal. „Nagyon megdöbbentek” – mondja Anscombe. „A cégeknek maguknak is a lehető legjobban meg kell tisztítaniuk az eszközöket, még akkor is, ha egy tisztító és e-hulladék cég szolgáltatásait veszik igénybe.”
Anscombe úr javasolja a cégeknek, hogy teszteljék az eszközök tisztításának folyamatát, amíg még támogatás alatt vannak. Ha bármi nem egyértelmű, segítséget kérhetnek a gyártótól. Azt is javasolja, hogy minden szükséges dokumentációt mentse le a folyamatról, ha a gyártó eltávolítja azt a weboldalukról.
A tisztítás előtt Anscombe szerint a cégeknek kell készíteniük és tárolniuk egy biztonsági mentést az eszközről. Ha bármilyen adat szivárog, akkor könnyebb megérteni, mi veszett el.
Végül a cégeknek meg kell könnyíteniük az emberek számára a biztonsági rések bejelentését. Anscombe szerint nehéz volt értesíteni a cégeket arról, hogy mit találtak a régi routereiken.
Hogyan lehetnek a cégek biztosak abban, hogy az adatok eltűntek az eszközről? „Adjátok oda egy biztonsági kutatónak, és kérdezzétek meg tőle, mit talált” – mondja Anscombe. „Sok kiberbiztonsági csapatnak van olyan tagja, aki érti, hogyan kell levenni a fedelét és megnézni, hogy az eszköz teljesen tisztítva van-e.”
Ha tudják, hogyan kell törölni az adatokat az eszközökről, a cégek bizalommal küldhetik őket újrahasználatra vagy újrahasznosításra. „A ‘fogd-keszítsd-hulladék’ lineáris gazdaság napjainak vége kell, hogy legyen” – mondja Zuckerman, a Seagate képviselője.
Forrás: www.bbc.com