Nem győzzük hangsúlyozni, hogy az a legszerencsésebb, ha a GDPR miatt egyébként is kötelező adatkezelési szabályzat foglalkozik azokkal a teendőkkel, melyekre az adat életciklusának végén kell sort kerítenünk. Az év eleje kiváló alkalmat biztosít arra, hogy ezeket az adatkezelési szabályzatokat felülvizsgáljuk, átnézzük – ahogyan azt előző írásunkban már említettük.
Legtöbb vállalatnál az IT biztonsági szabályzat a hálózati és a peremterület biztonsággal agresszíven foglalkozik, és keményen védi a vállalati folyamatok által létrehozott, tárolt, használt és megosztott adatokat. Ezek a szabályzatok azonban azzal nem foglalkoznak azzal, hogy az adatoknak az élete véges, és ebben a szakaszban is kezelni kell őket, archiváljunk vagy töröljünk. A fizikai megsemmisítésre váró adathordozókon maradt adatok könnyedén kerülhetnek illetéktelen kezekbe, biztos, hogy ezt a kockázatot szeretnénk vállalni?
Elavult technológiák hada
A szabályzatot már azért is érdemes felülvizsgálni, hogy lássuk, milyen adatmegsemmisítési gyakorlatot ír elő. A technológiák változásával a régi, jó, kipróbált és költséghatékonynak tűnő módszerekről kiderülhet, hogy elavultak, van helyettük sokkal jobb. Ilyen technológia például az adathordozó szakszerűtlen vagy szükségtelen fizikai megsemmisítése. Az adathordozó fizikai megsemmisítése még mindig egy szóba jöhető lehetőség, mikor a hardver és a rajta lévő adat is elérte életciklusának végét. A hardverek fejlődése miatt a szabályzat előírásai nem képesek minden lehetőséget lefedni.
Lemágnesezés – csak a mágnesen adathordozókon működik, mind a merevlemezeken, de mindig a megfelelő erősségű mágneses mezőt kell használni, ami az újabb merevlemezek esetében változhat. Az SSD-k esetében nem működik ez a megoldás.
Darálás – a fizikai megsemmisítés egészen hatásás adatmegsemmisítési eljárás, szinte az összes adathordozóval működik. Az adattárolásban azonban egyre kisebb és kisebb helyet foglalnak el az adatok, így, ha nem megfelelő apróságúra daráljuk le a merevlemezt, akkor adatrészletek a megmaradt nagy darabokból még minidig visszaállíthatók.
Mindkét módszernek a hátulütője, hogy szemetet generál, illetve elvesztődik az a lehetőség, hogy újrahasznosítsuk az eszközt minősített adattörlés után. Az adatfertőtlenítés nem generál többlet szemetet, az adott adathordozót újból lehet használni vagy el lehet adományozni, és még az adatokat is az előírások szerint kezeli.
A hatástalan adattörlési metódusok is az idejétmúlt gyakorlatok közé tartoznak. Az idejétmúlt adatkezelési szabályzatunk előírhatja például, hogy a z összes adathordozó manuális törlése és formázása a legjobb gyakorlat adatmegsemmisítés szempontjából. Ez messze nem igaz: a formázás és törlés után az adatok ingyenesen elérhető eszközökkel könnyedén visszaálílthatók. Nemcsak, hogy nem biztonságos, független tanúsítványt sem készül az adattörlésről, mellyel a hatóságok előtt igazolni lehet az adatok szakszerű törlését.
Felejtsük el a régi szabványokat
Nagyon sok adatkezelési szabályzat régi szabványokon alapuló adattörlési módszereket tesz kötelezővé a vállalaton belül. Iyen például a DoD szabvány, mely immár 25 éves és valamikor az amerikai védelmi minisztérium legszigorúbb előírásait tartalmazta a teljes és biztonságos adattörlésre. Az idő azonban eljárt felette, legutóbb 2006-ban frissítették, és így nem meglepő, hogy az SSD tárolókkal nem foglalkozik. Ehhez képest a 2014-ben frissített NIST SP 800-88 R1 (PDF) egy sokkal modernebb szabályrendszer, mely technológia semlegesen közelíti meg az adattörlés kérdését.