Az IT vezetők szerint megnő az adattörlési szolgáltatások iránti igény

Egy brit felmérés szerint a covid-járvány miatti lemaradásokat kompenzálva és az irodába visszatérő alkalmazottak miatt nő az adattörlési szolgáltatások iránti igény.

A DSA Connect vállalat felmérése szerint a brit IT vezetők 83 százaléka szerint megnő a kereslet a minden jellegű adattörlési szolgáltatások iránti. A kutatásban megkérdezettek 17 százaléka, azaz közel minden ötödik vezető úgy véli, hogy ez a növekedés jelentős lesz. A válaszadóknak csupán 5 százaléka számít az adattörlési szolgáltatások iránti kereslet csökkenésére.

Keverednek a vállalati és a személyes adatok

A jelentős növekedésnek több oka is van. A járvány alatt a vállalatok halogatták az életciklusuk végét elért eszközeik merevlemezeinek adatfertőtlenítését, ezt már nem tudják tovább halogatni. A home office miatt az alkalmazottaknak több eszközük van. Ezeken az eszközökön nem különíthető el egyértelműen a vállalati és a magán jellegű adat, így a tanúsított adattörlésre nagy szükség mutatkozik.

Minden szolgáltatás bővül

A megkérdezett IT vezetők 69 százaléka szerint a minősített, tanúsított adattörlési szolgáltatások iránt fognak a legtöbben érdeklődni, csupán 10 százalékuk szerint csökken a szolgáltatás iránti kereslet. A CIO-k 60 százaléka azt gondolja az életciklus végi szolgáltatások iránti igény is bővül – itt 24 százalékuk szerint lesz csökkenés.

Nagyon fontos, hogy a vállalatok az adatokat és IT eszközöket professzionális módon menedzseljék. A tanúsított adattörlés komoly garanciákat jelent minden reputációját féltő vállalatnak, hogy az adatokat GDPR kompatibilisan, büntetések veszélye nélkül kezeljük.

Nyitottak az online csereprogramokra az 5G telefont vásárlók

A szolgáltatók ehhez a fogyasztók bizalmát kell erősítsék, például garantálhatják, hogy a régi készüléken maradó adatok nem kerülnek rossz kézbe.

 

A Blancco Magyarország közleménye szerint online csereprogramokkal lehetne felpörgetni az 5G telefonértékesítést, az elkövetkező két évben sokan cserélünk telefont.

Idén bővül az okostelefon-piac

A tavaly 10,5 százalékkal csökkent az okostelefonok piaca, többek között a Covid-járvány hatására, azonban idén 11 százalékos növekedésre számítanak a szolgáltatók. Nagyon sokan 5G készülékre cserélik le telefonjukat, ami a Gartner szerint az eladások 35 százalékát teszik ki.

2021 végére 580 millió 5G előfizetés lesz a világban, az elmúlt évben 160 mobilszolgáltató indította el 5G szolgáltatását. Itthon mindhárom szolgáltató megkezdte a szolgáltatás kiépítését, Budapest, a nagyobb vidéki városok és a Balaton környékén.

Kényelmes az online csere

A Blancco tanulmánya azt vizsgálta meg, hogy a mobiltelefon előfizetők hajlandóak lennének-e online csereprogramok keretén belül, kedvezményért beszámíttatni régi készülékeiket. Kiderült, hogy noha a fogyasztók többsége sohasem vett korábban részt online csereprogramban, nyitottak az ötletre.

A fogyasztók többsége szerint egy online csereprogram kényelmes lehet. Megfelelő biztosítékokkal meggyőzhetőek arról, hogy részt vegyenek egy ilyen programban. Az 5G telefont vásárló fogyasztók 41 százaléka részt venne egy ilyen programban, további 31 százalékuk pedig meggondolná a lehetőséget.

A tanúsított adattörlés segíthet

A mobilszolgáltatók részéről azonban további biztosítékokra lesz szükség, hogy növeljék a fogyasztók elköteleződését. A kutatás szerint az internetes csereprogramok sikerét növelné a nagyobb átláthatóság és a megfelelő adatkezelés, a válaszadók 31 százaléka ugyanis aggódik amiatt, hogy a használt mobiltelefonon maradó adatai rossz kézbe kerülhetnek.

Ezt egy alapos, tanúsított adattörléssel el lehet kerülni, ebben a DATA-D a mobilszolgáltatók segítségére lehet.

Meglepően hanyagok a vállalatok adattörlés területén

A legtöbb vállalatot nem igazán érdekli, hogy érzékeny vállalati adatokat tartalmazó számítógépektől vagy adathordozóktól úgy szabadulnak meg, hogy előtte nem törlik tanúsítottan azokat.

Egyes vállalatok annyira felelőtlenek, hogy nem vizsgálják meg egyáltalán, az eladott vagy kidobott számítástechnikai eszközökön vannak-e egyáltalán érzékeny adatok. A DSA Connect felméréséből kiderült, hogy azoknál a vállalatoknál, ahol az elmúlt 12 hónapban dobtak ki vagy adtak el számítástechnikai eszközöket, csupán 40 százalékuk gondolta azt, hogy a hardver nem tartalmazott érzékeny adatokat.

Szemétbe is dobták a régi gépeket

A kutatás szerint a megkérdezettek negyede úgy adta el a számítástechnikai eszközöket, hogy nem vizsgálta meg, az adathordozókon volt-e érzékeny adat. Egy tizedük egyszerűen szemétbe dobta az életciklusa végéhez elérkezett eszközt, miközben 8 százalékuk fizikailag megsemmisítette az adott IT eszközt.

A kutatásban szereplő vállalatoknak csupán a 42 százaléka válaszolta azt, hogy a szenzitív adatokat tartalmazó gépeket egy profi vállalatra bízták, ahol tanúsítottan teljes egészében törölték az adathordozókat.

Komoly incidenshez vezethet

Az IT vezetők szerencsére tudatában vannak, hogy a régi eszközökön lévő adatok nem megfelelő kezelése komoly biztonsági incidenshez vezethet.

A vállalat egy korábbi felmérése szerint ugyanis a megkérdezett IT vezetőknek a 10 százaléka azt gondolta, hogy vállalatuk adattörlési ismeretei rendkívül rosszak. Azonban azok a CIO-k, akik tudatosan foglalkoznak a tanúsított adattörlés kérdésével, eléggé drasztikus módszerekhez nyúlnak.

Fúróval és kalapáccsal is törölnének

A legnépszerűbb adatmegsemmisítési metódus az eszközök fizikai megsemmisítése volt – az esetek 90 százalékába választják ezt. Az eszközök szükségtelen megsemmisítése azonban rendkívül megterheli környezetünket, nem kívánt elektronikai hulladékot generálva.

A fizikai megsemmisítésnek több módszerét is kedvelik az IT vezetők: 8 százalékuk kalapáccsal üti szét a régi számítógépeket, 12 százalékuk vízbe meríti a régi gépeket, ettől remélve azt, hogy a gépek és adatok használhatatlanná válnak, míg 18 százalékuk egy fúróval esik neki a régi gépeknek.

A válaszadók több adatmegsemmisítési módszert is megjelölhettek, így a tanúsított szoftveres adattörlés a második legnépszerűbb módszer volt, 74 százalékkal.

 

18 elveszített merevlemez miatt változtatott szabályzatán a japán hivatal

Mit tesz egy japán prefektúra, miután elveszít 18 darab, leselejtezésre szánt merevlemezt? Hát tanul az esetből és teljesen átalakítja az életciklusuk végét elért eszközök kezelésére vonatkozó szabályzatot.

A merevlemezek elvesztését bejelentő, 2019. december 9-i hivatalos sajtótájékoztató. Forrás: kyodonews.net

Még tavaly decemberben történt, hogy a japán Kanagawa prefektúránál lába kelt 18 darab, leselejtezett és adatokkal teli merevlemeznek. A lemezek az adófizető polgárok személyes információit tartalmazta, autókra vonatkozó adófizetési információkkal volt tele, cégek adófizetési információit is tartalmazta.

A merevlemezeket az adathordozók megsemmisítésével megbízott vállalat egyik alkalmazottja adta el egy online aukciós felületen. Ezekből kilenc darabot egy olyan ember vásárolt meg, akit érdekelt, hogy a merevlemezek korábban milyen adatokat tartalmazhattak volna. Róluk ugyan letörölték az adatokat, de nem írták felül azokat (és minderről nem is készült jegyzőkönyv).

Visszaállította az adatokat

Így a kíváncsi állampolgár online letölthető szoftver segítségével helyre tudta állítani a merevlemez eredeti tartalmát. Miután látta, hogy komoly adatokról van szó, azonnal felvette a kapcsolatot a prefektúrával és azokat visszaszolgáltatta.

Majd ezután derültek ki a részletek: hogy a lemezeket online vásárolta, hogy azokat a megsemmisítéssel megbízott vállalat alkalmazottja tette fel az aukciós portálra és hogy összesen 18 darab ilyen adathordozót adott el. A japán emberek becsületességét mutatja, hogy a prefektúra felhívására a többi hiányzó kilenc merevlemezt is maradéktalanul visszaszolgáltatták a vásárlók két héten belül.

Új szabályzat született

A Kanagawa prefektúra emberei levonták a megfelelő következtéseket az esetből és saját maguk kezében vették az életciklusuk végét elért eszközök menedzselését, miközben jelentősen módosítottak a hasonló eszközök kezelésére vonatkozó szabályzaton is.

Az online japán nyelven elérhető új szabályzat szerint:

  • Minden eszközt minősített módon fertőtleníteni kell (törölni) az adatoktól az újrahasznosítás vagy a megsemmisítés előtt. Mielőtt a következő állomásra küldenék az eszközöket, a hivatal belső munkatársának – és nem egy szerződéses külső partnernek – a helyszínen minden adatot törölnie kell az eszközről.
  • A nem bizalmas rendszereket, merevlemezeket és IT eszközöket a szoftveres törlés után újrahasznosíthatják. A bérelt eszközöket a prefektúra munkatársai és a bérbeadó cég egyaránt törlik, hogy mindkét fél megelőzze a jogvitákat.
  • A bizalmas rendszerekből származó adathordozókat nem lehet újrahasznosítani. Előbb egy elfogadott szoftverrel kell törölni az adott eszközt, majd egy erre szakosodott vállalat fizikailag is megsemmisíti az eszközt.
  • A kötelező szoftveres alapú törlés nem vonatkozik a HDD alapú szerverekre, ha a törlést mechanikai hiba, hibás merevlemez vagy egyéb hiba akadályozza, ezeket degausser berendezés segítségével demágnesezik. A demágnesezés után ezeket az eszközöket kötelező darabolással (is) megsemmisíteni.
  • A mobil eszközöket is törlik, az NIST SP 800-88 kriptotörlés követelményei szerint.
  • Minden esetben a törlés, demágnesezés, megsemmisítés a prefektúra saját irodáiban történik. A törlést csak a prefektúra munkatársai végezhetik el.
  • A törlés felügyelet mellett, két vagy több belső munkatárs jelenlétében történhet, akiknek ellenőrizniük és dokumentálniuk kell a törlési és megsemmisítési eljárásokat.

A szabályzat azt is előírja, hogy ingyenes vagy nem bevizsgált szoftvereket nem használhatnak. Csak olyan megoldások jöhetnek szóba, melyeket előzetesen teszteltek és tanúsítottak, külső vagy belső szakértők. Ugyanakkor a hatékony szoftver alapú törlésre előírják:

  • a megoldásnak felül kell írni az adatokat legalább egyszer (vagy csak egyszer, a NIST SP 800-88 javaslatnak megfelelően)
  • ellenőriznie kell és dokumentálnia minden felülírást
  • tanúsítványt kell generálnia minden egyes törölt eszköz esetében

Katonai adatok használt laptopon

A G DATA munkatársai egy eBay-en vásárolt katonai laptopon találtak bizalmas adatokat egy rakétahordozó járműről. Az egész eszköz 30 ezer forintba került. Ez az eset is rávilágít arra, hogy az adatok szakszerű törlését nem lehet megúszni.

Az informatikai biztonsággal foglalkozó szakemberek pontosan tudják, hogy selejtezéskor minden adathordozóról teljes felülírással kellene törölni az adatokat, de ez az egyik legtöbbször megszegett szabály. Ennek egyszerű az oka: a leselejtezendő gépekkel már senkinek sincs kedve foglalkozni, a büdzsébe pedig általában nincs betervezve az adattörlés költsége. Így születhetnek olyan sztorik, mint a mostani, amelynek során a német vírusvédelmi cég két szakértője az eBay-en 30 ezer forintért megvásárolt egy használt Roda Rocky II típusú katonai notebookot, hogy aztán azon egy sor bizalmas adatot találjon.

Katonai gép online piactérről

A történet röviden annyi, hogy a G DATA két munkatársa egy régi notebook-ot vásároltak az eBay-en. A 600 MHz-es Pentium III-mas processzoros, 128 MB-nyi RAM-mal ellátott számítógép a 2000-es évek elején még csúcstechnológiának számított, és biztosan nem volt olcsó, ma is egy retró számítógépnek megállná a helyét. Ami a származási helyéről árulkodik az egy külső címke, melyen ez áll: Roda Rocky II+ Data Viewing Unit LeFlaSys. Egy katonai gépről van szó, amit a német hadseregnél használtak.

Bekapcsoláskor a gép elindult, a Windows 2000-es operációs rendszer nem kér jelszót, simán bejutnak a gépbe. Egy speciális programot érdeklődéssel néznek: a MODIS nevű szoftvert egy müncheni székhelyű vállalat fejlesztette. Amikor megnyitják, jelszót kér. Segít, hogy a kitöltött felhasználónév „GUEST”, így az első próbálkozás a GUEST (magyarul vendég) jelszó, és már nyílik is a program.

Rövid kutakodás után a szakértők máris egy érdekes dokumentumra bukkannak, egy föld-levegő rakétarendszer, az Ozelot felhasználói kézikönyvére. A leírás teljes karbantartási instrukciókat tartalmaz, de rajzokat és működtetési utasításokat is találnak. A rendszer elektronikájának ismertetőjére is találnak utalást, de arról kiderül, hogy egy szerveren tárolhatták, nincs a gépen. A leírás szerint ez a fegyverplatform a Mistral irányított rakétákkal is felszerelhető. Ezt a dokumentumot sohasem szánták a nagyközönség szemei elé, erről árulkodik az is, hogy minden lap jobb felső sarkában az áll: Bizalmas – csak hatósági használatra. A német okiratok titkosítási rendszerén belül ez csupán az első fokozat, ezt azt jelenti, hogy ha ilyen adatok napvilágot látnak, akkor azok csak kisebb problémát okoznak.

Minősített adattörlés

A Nemzeti Adatvédelmi és Információszabadság Hatóság tavaly közzétett egy iránymutatást az adattörlésekkel kapcsolatban.

Ebben a hatóság felhívta a figyelmet többek között arra, hogy a leselejtezendő adathordozókról megbízható módszerrel kell az adatokat eltávolítani. Ez pedig a gyakorlatban sztenderd adattörlési algoritmusok alkalmazását jelenti egy olyan szoftver segítségével, amelyet lehetőleg külső szervezet is minősített. Emellett fontos, hogy az adattörléseket dokumentálni is szükséges, így a törlési jegyzőkönyvekből ki kell derülnie, hogy az adott eszköz törlését kicsoda, mikor, milyen módszerrel és eredménnyel végezte el.

Az adattörlési megoldásokat gyártó Blancco cég magyarországi képviseletét ellátó V-Detect Antivírus Kft. ügyvezetője, Petrányi-Széll András szerint azonban megbízható adattörlési eljárásokat csupán a magyarországi vállalatok 5-10 százaléka használ, a nagy többség vagy egyáltalán nem foglalkozik jelenleg a kérdéssel, vagy megbízhatatlan szoftvereket alkalmaz, és nem teljesíti a jegyzőkönyvezési kötelezettséget sem.

Nem egyszeri eset

Egy évvel korábban, 2019-ben is előfordult egy hasonló fiaskó, amikor egy felső-bajorországi erdészet vásárolt négy laptopot egy állami aukción, rajtuk egy másik tüzérségi rakétarendszer kezelésével kapcsolatos, szintén minősített anyagokkal.

Mostanában egyébként nem csak a németek hagytak el érzékeny adatokat: néhány nappal korábban a holland kormány volt kénytelen bejelenteni, hogy elveszített két külső meghajtót összesen 6,9 millió szervdonor személyes adataival. Itt az 1998 februárja és 2010 júniusa közötti összes vonatkozó űrlap elektronikus másolatairól van szó, az ottani egészségügyi minisztérium tájékoztatása szerint magukat a meghajtókat 2016 óta nem is használták. Az eszközöket elvileg egy széfben őrizték, eltűnésükre pedig akkor derült fény, amikor éppen az adatok törlésének céljából elővették volna azokat.

Az elveszített profilok között nevek, születési adatok, lakcímek, okmányszámok, aláírás-másolatok és a szervátültetésekről szóló rendelkezések voltak. A holland hatóságok a szokásos módon közölték, hogy az adatok illetéktelen felhasználására egyelőre nem találtaksemmiféle bizonyítékot, és az adatvesztésnek a nyilvántartás aktuális működésére nézve sincs semmilyen következménye. Hollandia nagyjából 17,5 millió lakosának körülbelül a fele regisztrált szervdonor.