Gyári visszaállítás, formázás, törlés: mi micsoda és melyik mire nem elég?
A formázás és a gyári visszaállítás üzleti környezetben nem tekinthető végleges adattörlésnek: a fájlok jelentős része szakmai eszközökkel visszanyerhető. A NIST SP 800-88 Rev. 2 nemzetközi referencia (2025. szeptember 26-tól a Rev. 1 hivatalos utódja) az adathordozók biztonságos kivonásához három kategóriát határoz meg — Clear, Purge, Destroy —, és a vállalati gyakorlatban a tanúsított szoftveres adattörlés vagy az ellenőrzött fizikai megsemmisítés jelenti a kockázattal arányos szintet. A módszer megválasztása a GDPR 17. cikk, a NIS2 21. cikk és az ISO 27001:2022 A.8.10 kontroll elvárásai mentén dokumentáltan igazolható kell legyen.
Legfontosabb megállapítások:
A formázás csak a fájlrendszer metaadatait törli; a tényleges adatblokkok továbbra is olvashatók maradnak, ezért nem tekinthető adattörlésnek.
A gyári visszaállítás eszköztípustól függ: modern, titkosított SSD-n vagy mobilon crypto-erase történik, régebbi merevlemezeknél azonban az adatok visszaállíthatók maradnak.
Üzleti adatok biztonságos kivonásához tanúsított szoftveres adattörlés (NIST 800-88 Purge) vagy ellenőrzött fizikai megsemmisítés (Destroy) szükséges, jegyzőkönyvvel és auditálható nyomvonallal.
Ha 30 leselejtezett vállalati laptopból akár egyetlenegyen visszaállítható ügyféladat, szerződéstartalom vagy bérnyilvántartás maradt, az nem IT-adminisztrációs hiba, hanem vezetői kontrollhiány. A formázás vagy a gyári visszaállítás után visszanyerhető adat ugyanis nem véletlen, hanem a kivonási folyamat tervezett, dokumentálható kimenete kell legyen.
A magyar középvállalati és nagyvállalati IT környezetekben évente több ezer eszköz kerül kivonásra: leselejtezett laptopok, lecserélt szerverek, visszavett mobiltelefonok, kiöregedett külső adathordozók. Ezek mindegyike tartalmazhat olyan adatot, amelyért a szervezet adatvédelmi és kiberbiztonsági szempontból felelősséget visel — még akkor is, ha az eszköz már kikerült a használatból.
A folyamat egyik leggyakoribb tévedése, hogy a felhasználói „Formázás”, az operációs rendszer „Visszaállítás” funkciója vagy egy egyszerű Recycle Bin-ürítés azonos hatású a vállalati szintű adattörléssel. Nem az. Az eltérés mértékét a szabályozói világ — a GDPR, a NIS2, az ISO 27001 és iparág-specifikus szabványok — eltérő szögből, de összhangban kontrollcélokban és bizonyítékelvárásokban írja körül, és egy adatvédelmi incidens vagy hatósági ellenőrzés esetén pontosan ezt vizsgálják. A módszertani szintezés (Clear / Purge / Destroy) NIST-eredetű technikai taxonómia, amely a kockázatértékelés és módszerválasztás közös nyelvet biztosító referenciája.
Ez a cikk vezetői szinten foglalja össze a gyári visszaállítás vs adattörlés kérdést: miben különbözik a formázás, a gyári visszaállítás és a tanúsított adattörlés, mikor melyik elegendő, és milyen üzleti kockázat keletkezik, ha a szervezet a kettőt összemossa.
Mi a különbség a három fogalom között?
A három művelet technológiai mélysége és bizonyíthatósága gyökeresen eltér.
Formázás. Egy adathordozó (HDD, SSD, USB pendrive) fájlrendszerének (NTFS, FAT32, exFAT, APFS, ext4) újraépítését jelenti. A „gyors formázás” gyakorlatilag csak az indexet, a fájlallokációs táblát írja felül; az adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító eszközökkel a média állapotától függően visszaolvashatók. A „teljes formázás” Windows alatt 0-kkal írja felül a szektorokat, de SSD-n a wear leveling és az over-provisioning területek miatt host oldali módszerrel nem bizonyítható, hogy minden fizikai cella valóban felülíródott.
Gyári visszaállítás (factory reset). Az eszköz operációs rendszere és gyári beállítása kerül visszaállításra. A művelet eredménye eszközfüggő, és pont ez a hibalehetőség forrása: ugyanaz a kifejezés egészen mást jelenthet egy 2018-as Android telefonon, egy 2023-as iPhone-on, egy üzleti laptopon vagy egy szerveren.
Adattörlés (data erasure / sanitization). A NIST SP 800-88 Rev. 2 szabvány szerinti, dokumentált folyamat, amely a választott sanitization kategóriához és a megfelelő helyreállítási képesség- (recovery effort-) szinthez illesztve az adat-hozzáférést ésszerű és igazolható mértékben kizárhatóvá teszi. Tipikus elemei: szabványos minta szerinti felülírás vagy crypto-erase, post-write verifikáció, és a folyamat egyértelmű azonosítóit tartalmazó tanúsítvány.
Miért nem törlés a formázás?
A magyar középvállalati gyakorlatban a leselejtezett laptopok és külső lemezek nem elhanyagolható részén egy elemi formázás a teljes „adatkivonási” eljárás. Az ezzel kivont eszközök adatállománya azonban szabadon hozzáférhető helyreállító eszközökkel egy átlagos technikus számára is rekonstruálható: szerződésállomány, ügyfél-adatbázis exportok, bérnyilvántartás, e-mailek lokális PST fájljai, projektdokumentáció kerülhet vissza.
A hazai és európai adatvédelmi hatóságok gyakorlatában visszatérő típushelyzet, hogy az incidens nem külső támadásból, hanem rossz selejtezési folyamatból ered: a kivont, de nem megfelelően törölt eszközről visszaszerzett, nyilvánosságra került vagy harmadik félhez került vállalati adatból. Az ilyen esemény a GDPR 33. cikk szerint bejelentésköteles adatvédelmi incidensnek minősülhet, és — különösen ha különleges kategóriájú adatot is érint — bírság-veszélyt hordoz.
A formázás tehát nem önmagában „rossz”, csupán nem ad megfelelő szintű biztonságot az üzleti környezetnek. Egy frissen vásárolt, soha nem használt pendrive újraformázása rendben van. Egy értékesítő által 4 évig használt laptop merevlemezének puszta formázása már nem felel meg a kellő gondosság elvárt szintjének.
Gyári visszaállítás: mikor működik, mikor nem
A „factory reset” hatása az eszköz típusától és életkorától függ.
Modern mobil eszközök (iOS, Android 10+). Ezeknél a gyári visszaállítás jellemzően kriptográfiai törlésként fut le: az eszköz file-based encryptionnel rögzíti az adatokat, és a reset eldobja a master encryption keyt. Ennek hatására az adat fizikailag a chipen marad, de a kulcs hiányában a jelenlegi technikai képességekkel ésszerűen vissza nem fejthető. Ez modern, gyári titkosítással rendelkező eszközöknél megfelelő — feltéve, hogy a titkosítás eredetileg aktív volt, és az eszköz támogatja a securely-wipe-the-key folyamatot.
SSD-vel szerelt laptopok és asztali gépek. A „gyári visszaállítás” itt általában csak a felhasználói partíciót törli, és visszaállítja a gyári Windows / macOS image-et. Az SSD belsejében több gigabyte adat maradhat host oldali felülírással nem címezhető over-provisioning vagy tartalék területeken, és a wear leveling miatt sem bizonyítható a teljes fizikai felülírás. SSD-nél professzionális megoldás a beépített Sanitize vagy Secure Erase (ATA / NVMe) parancs futtatása, vagy a kriptográfiai törlés — de mindkettőhöz dedikált eszköz és verifikált státusz szükséges.
Hagyományos merevlemezzel (HDD) szerelt eszközök. Itt a gyári visszaállítás a legritkábban jelent valódi adattörlést. Az adatok többsége a lemez felületén marad, csak a partíciós tábla és az OS image kerül újra. Vállalati szintű recovery vagy IT forensic eszközökkel az állományok jelentős része visszaállítható, jellemzően a média állapotától, a fájlrendszer típusától és a felülírási mintázattól függően.
Szerverek és tárolórendszerek. RAID-konfigurációk, SAN/NAS rendszerek, JBOD-tárolók nem rendelkeznek általában „gyári visszaállítás” funkcióval. Ezeknél a megfelelő eljárás a controller-szintű initialize, az egyenkénti lemez purge vagy fizikai megsemmisítés.
A vezetői következtetés: a gyári visszaállítás nem helyettesíti a szabványos adattörlést. Ahol az adatérzékenység indokolja, ott a folyamatot eszközszinten kell ellenőrizni — nem önbevallásos felhasználói művelet alapján.
Két azonos SSD: bal oldalon ép, jobb oldalon fizikailag szétroncsolt — a látszólagos törlés és a bizonyítható adattörlés közötti különbség egyetlen képben.
Tanúsított adattörlés: mit jelent a Blancco-szerű szoftveres megoldás
A vállalati gyakorlat egyik elfogadott módszere a tanúsított szoftveres adattörlés. Ezt olyan dedikált, ellenőrzött szoftverek végzik, amelyek a NIST SP 800-88 Rev. 2 keretrendszerhez és az iparági audit-igényekhez illeszkedő bizonyítékot szolgáltatnak. Fontos disztinkció: egy szoftver önmagában nem jelenti az ISO 27001 megfelelést — bizonyítékot ad az A.8.10 és A.7.14 kontrollok működéséhez, de az ISO megfelelőség az ISMS-folyamat egészéből (scope, SoA, kockázatkezelés, eljárásrend, felelősségek, belső audit) áll össze. Egyes piaci megoldások — például a Blancco Drive Eraser — független termékértékelésekkel és tanúsításokkal is rendelkeznek; a szervezetnek a konkrét eszközre, verzióra és eljárásra vonatkozó dokumentált bizonyítékot érdemes a beszerzéskor bekérnie. A lényeg nem a márkanév, hanem a folyamat verifikációs és tanúsítási struktúrája.
A folyamat lényege négy lépés:
Felülírás vagy crypto-erase: HDD-nél a szoftver szabványos mintával felülírja az adathordozó minden címezhető szektorát, beleértve a host protected area-t (HPA) és a device configuration overlay-t (DCO). SSD-nél a host oldali overwrite önmagában nem elegendő — itt a megfelelő módszer az ATA / NVMe Sanitize parancs, a Secure Erase, vagy a kriptográfiai törlés (crypto-erase), verifikált státusszal.
Verifikáció: a felülírás vagy crypto-erase után a szoftver read-back vagy eszközstátusz-ellenőrzés alapján dokumentáltan megvizsgálja, hogy a művelet sikeres volt-e. Ez a kulcskülönbség a formázáshoz képest: a sikerről nem feltételezés, hanem mérésen alapuló bizonyíték van.
Tanúsítvány: minden egyes adathordozóra integritásvédett, auditálható törlési riport vagy tanúsítvány készül, amely tartalmazza az eszköz sorozatszámát, kapacitását, a használt módszer nevét, a folyamat időbélyegét, az eszközazonosítóit, és — ha volt — a sikertelen kísérletek és a hozzájuk tartozó exception approval (jóváhagyás) nyomvonalát.
Audit nyomvonal: a tanúsítványok egy központi nyilvántartásba kerülnek, amely visszamenőlegesen lekérdezhető — auditkor, hatósági ellenőrzéskor, vagy egy esetleges utólagos vita kapcsán.
Ezekhez a folyamatbizonyítékokhoz illeszkedik a kívülről igénybe vett adattörlési szolgáltatás esetén a chain of custody: az átadás-átvételi lánc dokumentálása. Milyen eszközazonosítóval, mikor, kinek a kíséretében hagyta el az eszköz a szervezet telephelyét, ki vette át a szolgáltatónál, és ez hogyan kapcsolódik utólag az egyedi törlési tanúsítványhoz. ISO 27001 és NIS2 szempontból ez a logisztikai lánc önálló kontrollpont — a „tanúsítvány készült” önmagában nem fedi le.
Üzleti szempontból ez a négy elem teszi a tanúsított szoftveres adattörlést alkalmassá arra, hogy egy NAIH-vizsgálat, egy ISO 27001 felülvizsgálat vagy egy beszállítói audit során a szervezet bizonyíthatóan tudja igazolni a kellő gondosság szintjét. A formázás vagy a gyári visszaállítás esetén ilyen bizonyíték — eszközszintű, mérésen alapuló, archivált — nem áll rendelkezésre.
Gyári visszaállítás vs adattörlés: mikor melyik elég?
A módszerválasztásnak két fő bemeneti tényezője van: az adathordozón tárolt adatok érzékenységi szintje és az eszköz típusa.
Nem érzékeny, nem személyes adatokat tartalmazó eszköz (pl. demo-laptop, képzési gép, soha üzleti adatot nem látott vasak): elegendő lehet egy teljes formázás vagy gyári visszaállítás, de ezt is dokumentálni érdemes.
Általános üzleti adat (belső dokumentumok, projekt-anyagok, nem különleges kategóriájú személyes adat): a vállalati gyakorlatban jellemzően Purge-szintű (vagy azzal egyenértékű) tanúsított adattörlés a választás — különösen újraértékesítésre vagy külső átadásra kerülő eszközöknél. A minimum-szintet a szervezet kockázatértékelése határozza meg; egyes kockázat-alacsony forgatókönyvekben a Clear is megfelelő lehet, dokumentált indoklással.
Magas érzékenységű vagy különleges kategóriájú adat (egészségügyi adat, pénzügyi szektor ügyféladata, kritikus infrastruktúra dokumentációja, ügyvédi titok): a tanúsított szoftveres adattörlés mellé fizikai megsemmisítést is érdemes mérlegelni, vagy eleve a NIST 800-88 Destroy kategóriát választani.
Hibás vagy nem írható adathordozó: ha a szoftveres felülírás nem futtatható le (mert a meghajtó nem ismerhető fel az operációs rendszer számára, vagy hardveresen sérült), a folyamat akkor sem hagyható félbe — ilyen esetben ellenőrzött fizikai megsemmisítés az egyetlen helyes út.
A vezetői szabály tehát egyszerű: a felhasználói eszközöknél a kérdés nem az „van-e formázva”, hanem az „van-e jegyzőkönyvünk arról, hogy az adat visszafejthetetlen”. Ha igen — megfelel. Ha nem — kockázat marad a folyamatban.
Compliance kontextus: GDPR, NIS2, ISO 27001
Mielőtt a cikkely-szintű részletekbe mennénk, érdemes egy mondatban összefoglalni: GDPR = elszámoltathatóság, NIS2 = kockázatkezelés, ISO 27001 = bizonyíték és kontroll. A három keretrendszer mindegyike közvetve vagy közvetlenül kötelezi az adatkezelőt arra, hogy a kivont eszközökön található adatokat dokumentálhatóan, ellenőrzött módon, kellő gondossággal kezelje.
GDPR. A 17. cikk a törléshez való jogot rögzíti, de a kivont eszközökön található adatra önmagában nem csak ez vonatkozik: az 5. cikk szerinti adattakarékosság, tárolási korlátozás és elszámoltathatóság, valamint a 32. cikk szerinti adatbiztonsági kötelezettség is alkalmazandó. Operatív következmény: a kivonásra szánt eszközökön is teljesíteni kell a törlést, a backupok és archívumok esetén pedig a retention, a restore és a hozzáférés-korlátozási szabályokkal összhangban kell eljárni — vagyis dokumentált eljárásrend mellett a következő restore ne tegye újra aktívvá a törölt adatot. Az „elvileg töröltük” — formázott, de visszanyerhető — állapot ezt nem teljesíti.
NIS2 21. cikk kockázatkezelési és technikai intézkedéseket ír elő a hatálya alá eső szervezeteknek (közepes és nagyvállalat számos szektorban). A 21. cikk (2) bekezdés kockázatkezelési intézkedései — különösen a hálózati és információs rendszerek beszerzésével, fejlesztésével és karbantartásával (f pont), az üzletmenet-folytonossággal és biztonsági mentésekkel (e pont), valamint a vagyontárgyak biztonságával kapcsolatos intézkedések — együtt fedik le az IT eszközök életciklus-végi kezelésének követelményét. A megfelelőséget az adatkivonásnál is bizonyítani kell.
ISO 27001:2022 A.8.10 kontroll (Information deletion) és a kapcsolódó A.7.14 (Secure disposal or re-use of equipment) explicit elvárása, hogy az információ törlésekor, illetve az eszközök kivonásakor a szervezet alkalmazzon megfelelő módszert, és tartson nyilvántartást a folyamatról. A folyamat tipikusan az A.5.11 (Return of assets) kontrollnál indul — a munkavállalótól vagy harmadik féltől történő eszköz-visszavételnél —, majd az A.8.10 / A.7.14 vonalra fut. Tanúsítvány-megújításkor az auditor nemcsak a tanúsítványokat kéri be: a Statement of Applicability-ben (SoA) megjelölt kontrollokhoz mérhető bizonyítékot vár, így eljárásrendet, kockázatértékelést, belső audit jegyzőkönyvet és vezetői átvizsgálási feljegyzést.
Iparág-specifikus elvárások. Pénzügyi szektorban a DORA 28. cikk az ICT harmadik felek kockázatkezelését és auditálható nyomvonalát írja elő — amennyiben a külső adattörlési szolgáltató DORA szerinti ICT third-party service providerként vagy releváns kiszervezett szolgáltatóként minősül a pénzügyi entitás scope-jában. Ilyen besorolás esetén a tanúsított törlési folyamat közvetlenül a DORA-megfelelést is támogatja. Autóiparban a TISAX (VDA ISA Information Security) audit, egészségügyben a különleges kategóriájú adat különös védelme mind ugyanahhoz a következtetéshez vezet: a kivonási folyamat nem belső, hanem ellenőrzött, bizonyítható tevékenység kell legyen.
A jó hír, hogy a szervezet számára ez nem több munkát jelent — csak más típusú munkát. Egy tanúsított adattörlési szolgáltatás bevezetése a felhasználói eszközök szintjén jellemzően egy belső szabályzat-kiegészítéssel, a beszerzési folyamat egy lépéssel, és a kivonási rutinba egy átadás-átvételi pont beépítésével megoldható.
Mit kér tipikusan egy auditor? Egy ISO 27001 felülvizsgálati, NIS2 megfelelőségi vagy belső audit során általában a következő bizonyítékokat veszik elő: media sanitization policy (törlési szabályzat), asset disposal nyilvántartás (mely eszköz, mikor, kinek a kezében), módszerválasztáshoz tartozó kockázatértékelés, törlési és/vagy megsemmisítési tanúsítványok, chain-of-custody dokumentumok, sikertelen wipe-ok eseménynaplója (failed wipe log), szolgáltatói átvilágítási nyilvántartás (vendor due diligence) és mintavételes belső audit jegyzőkönyv. Ha ezek bármelyike hiányzik vagy nem konzisztens a leltárral, a kontroll bizonyítatlanná válik — akkor is, ha az eszközök technikailag rendben lettek törölve.
Vezetői cselekvési pontok
A fenti összefüggéseket az IT- vagy compliance vezető egy 5 lépéses minimum-ellenőrzéssel azonnal a szervezet felé tudja fordítani:
Selejtezési politika írásban. Létezik-e dokumentált adathordozó-kivonási szabályzat, amely az eszközök visszavételétől (ISO 27001:2022 A.5.11) a kivonási és törlési lépéseken át (A.8.10, A.7.14) egészen az archiválásig kategóriánként rendel módszert a formázás, a gyári visszaállítás és a tanúsított adattörlés között?
Eszközszintű nyilvántartás. Vezet-e a szervezet leltárt arról, hogy melyik kivont eszközről, mikor, milyen módszerrel, melyik felelős személy által történt az adatkivonás?
Verifikáció. A használt eljárás ad-e mérésen alapuló bizonyítékot (post-write read-back, tanúsítvány), vagy önbevallásos „törölve” jelölés a folyamat lezárása?
Hibás adathordozók útja. Van-e definiált protokoll arra, ha a meghajtó nem írható (hibás, lockolt, sérült) — ilyenkor fizikai megsemmisítés következik?
Audit nyomvonal. Egy NAIH-vizsgálat, ISO 27001 felülvizsgálat vagy beszállítói audit esetén visszakereshetők a tanúsítványok az elmúlt 3-5 évre visszamenőleg?
Ha a fenti öt pontból akár csak egyre is „nem” a válasz, érdemes a kivonási folyamatot dokumentált belső vagy független felméréssel felülvizsgálni — még mielőtt ezt egy hatóság vagy egy ügyfél teszi meg.
Egy konkrét lépés erre a hétre. Kérjen az IT-tól 10 véletlenszerűen kiválasztott, az elmúlt 12 hónapban kivont eszközre törlési bizonyítékot — eszközazonosító, módszer, dátum, felelős aláírás. Ha a 10-ből bármelyik nem előállítható, ott egy folyamatlépés hiányzik. Ez egyetlen e-mail-nyi feladat, és pontosan azt teszteli le, amit egy auditor is meg fog kérni.
A Data Destroy Kft. egy ilyen helyzetben tud előzetes eszközállomány- és folyamat-felmérést biztosítani, amely jegyzőkönyvvel zárul és a meglévő szabályzatkörnyezetbe is illeszthető; ez egy a lehetséges utak közül, nem az egyetlen helyes válasz.
Gyakori kérdések
Vissza lehet állítani egy formázott merevlemezről az adatokat?
Igen, jellemzően igen. A gyors formázás csak a fájlrendszer indexét írja felül; a tényleges adatblokkok érintetlenek maradnak, és szabadon hozzáférhető helyreállító szoftverekkel többségében visszaolvashatók. A teljes formázás is csak részleges védelmet ad, különösen SSD-n.
A gyári visszaállítás SSD-n elég biztonságos?
Nem minden esetben. Modern, gyári titkosítással rendelkező mobil eszközöknél (iOS, Android 10+) jellemzően crypto-erase történik, ami megfelelő. SSD-vel szerelt laptopnál azonban a gyári visszaállítás gyakran csak a felhasználói partíciót törli, és az SSD over-provisioning területén adatok maradhatnak.
Mi a különbség a NIST 800-88 Clear, Purge és Destroy között?
A Clear standard interfész-szintű eszközökkel (jellemzően szoftveres felülírással) történő törlés, amely a nem-laboratóriumi visszaszerzéssel szemben véd. A Purge ennél magasabb szint: laboratóriumi visszaszerzéssel szemben is védő eljárás (pl. crypto-erase, ATA/NVMe Secure Erase, többszörös felülírás verifikációval). A Destroy fizikai megsemmisítés (darálás, degausser, fragmentálás). Sok vállalati kivonási forgatókönyvben a Purge-szintű vagy azzal egyenértékű eljárás indokolt — különösen újraértékesítésnél vagy külső átadásnál —, de a minimum-szintet a szervezet kockázatértékelésének kell meghatároznia.
Kell-e jegyzőkönyv a vállalati eszközök törléséről?
Igen, és ez nemcsak ajánlás. A GDPR elszámoltathatóság elvéből, a NIS2 dokumentálási követelményéből és az ISO 27001 A.8.10 / A.7.14 kontrollokból egyértelműen következik: az adatok kivonásáról auditálható nyilvántartást kell vezetni, amely eszközazonosítót, módszert, időpontot és felelős személyt is tartalmaz.
Mit ad többletként a tanúsított szoftveres adattörlés?
Három dolgot, amit sem a formázás, sem a gyári visszaállítás nem ad: (1) post-write verifikációt, vagyis dokumentált, mérésen alapuló ellenőrzést arról, hogy a művelet valóban megtörtént, (2) eszközszintű, integritásvédett tanúsítványt, (3) központi audit nyomvonalat, ami egy hatósági vagy auditori vizsgálatkor visszakereshető bizonyíték.
Blancco tanúsított adattörlés: az iparági standard, amelyre a vállalati auditok épülnek
A Blancco a tanúsított szoftveres adattörlési megoldások globálisan elismert iparági standardja, amelyet szoftver-alapú adatmegsemmisítési folyamatok auditálható dokumentálására alkalmaznak vállalatok, kormányzati szervezetek és IT-eszközkezelő szolgáltatók. A szoftver NIST SP 800-88 Rev. 1 és más nemzetközi adatmegsemmisítési szabványok szerint végzi a törlést, és minden befejezett folyamathoz digitálisan aláírt, hamisítás ellen védett tanúsítványt állít ki. A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként közép- és nagyvállalati ügyfelek számára nyújtja ezt a tanúsított szolgáltatást.
Legfontosabb megállapítások:
A Blancco által kiállított digitálisan aláírt, kriptográfiailag hitelesített tanúsítvány széles körben elfogadott szoftveres törlési dokumentum, amelyet ISO 27001, GDPR és NIS2 auditokon egyaránt alkalmaznak.
A Blancco egyetlen egységes audit trail-lel kezeli a HDD, SSD (SATA, NVMe), mobil eszköz és szerver típusú adathordozókat is.
A Data Destroy Kft. mint magyarországi hivatalos Blancco-partner helyszíni törlési szolgáltatást kínál, ahol az eszközök nem hagyják el az ügyfél telephelyét a törlés és a tanúsítvány kiállítása előtt.
Egy vállalati IT-selejtezési folyamat a legtöbb szervezetnél informálisan zárul le: az eszközt kiadják a raktárból, valaki “formázza”, majd átkerül a hulladékkezelőhöz, az eszközkezelő partnerhez vagy a másodlagos piacra. A felelős vezető fejében kész a kép — az adat törlve lett. Az auditor fejében azonban egészen más kérdés merül fel: hogyan igazolható ez visszamenőleg, tételesen, eszközazonosítóra lebontva?
A tanúsítottan elvégzett adattörlés nem csupán technikai lépés. Compliance-szempontból azt jelenti, hogy egy szervezet képes utólag, dokumentáltan igazolni, hogy az adott eszközökön tárolt adatok mikor, milyen módszerrel, milyen ellenőrzött folyamatban lettek véglegesen és visszaállíthatatlanul megsemmisítve. Ezt a bizonyíthatósági funkciót számos nagyvállalati adatbiztonsági auditban a Blancco szoftver kimenete tölti be.
Miért nem elegendő a formázás — és mit kérdez az auditor?
A legelterjedtebb félreértés az adattörléssel kapcsolatban az, hogy egy operációs rendszer szintű törlés, egy gyári visszaállítás vagy egy egyszerű formázás elegendő védelmet nyújt. HDD esetén ez évtizedekkel ezelőtt még elfogadható közelítés lehetett, SSD-knél azonban alapvetően hibás feltételezés. A NAND flash memória wear-levelling mechanizmusa miatt a hagyományos felülírási módszerek a tároló teljes fizikailag létező területére nem hatnak ki garantáltan — a maradék adat a megfelelő szoftvereszközökkel visszaállítható maradhat.
Az auditor által feltett kérdés nem az, hogy “ki mondja, hogy törölted” — hanem az, hogy van-e rá dokumentált, harmadik féltől is ellenőrizhető bizonyíték. A kizárólag belső dokumentációra támaszkodó törlési folyamat — naplózás, négyszemközti felülvizsgálat és jóváhagyási lánc nélkül — erős auditkövetelményeket nehezen elégít ki, mivel nem biztosít harmadik fél által is ellenőrizhető igazolást. Egy tanúsított szoftver által automatikusan generált, digitálisan aláírt, integritásvédett riport igen.
Ez az a pont, ahol a Blancco az elmúlt két évtizedben de facto iparági standarddá vált.
A Blancco mint iparági standard: mi teszi elfogadottá az auditokban?
A Blancco nem csupán egy adattörlő szoftver — egy igazolható törlési folyamat dokumentálási rendszere. A szoftver minden befejezett törlési művelethez automatikusan generál egy digitálisan aláírt, audit trail-lel ellátott tanúsítványt, amelyen szerepel az eszköz sorozatszáma és azonosítója, az alkalmazott törlési módszer neve és verziója, a lefutott folyamat pontos időbélyege, a követett szabvány (pl. NIST SP 800-88 Rev. 1, HMG IS5) és a törlés sikerességének visszaigazolása.
Ez a tanúsítvány az, amit egy GDPR-audit, egy ISO 27001-megfelelési vizsgálat, egy belső compliance-review vagy egy ügyfél által kért igazolás során be lehet mutatni. Nem támaszkodik emberi memóriára, nem módosítható utólag, és nem igényli a törlést végző személy jelenlétét az elszámoltathatóság biztosításához.
Az ADISA (Asset Disposal and Information Security Alliance) az adatmegsemmisítési folyamatokra kialakított, európai és globális auditokban elismert tanúsítási szervezet. Az ADISA tanúsítási kerete olyan átfogó adatmegsemmisítési folyamatokat minősít, amelyek auditálhatók, szoftveresen dokumentáltak és harmadik fél által ellenőrizhetők. Egy Blancco-ra épülő eljárás kulcsfontosságú eleme lehet egy ilyen folyamat felépítésének.
Mire képes a Blancco: eszköztípusok és törlési módszerek
Az egyik legjelentősebb előny, amelyet a Blancco nyújt, hogy egyetlen szoftverkörnyezetből kezeli a különböző adathordozó-típusokat — egységes audit trail-lel, ami nagyobb selejtezési projekteknél kritikus szervező tényező.
IT eszközök selejtezési folyamata: Blancco szoftverrel elvégzett, auditálható és tételesen dokumentált törlési folyamat.
Merevlemezek (HDD)
Hagyományos felülírásos módszerek, a NIST SP 800-88 Rev. 1 által definiált “Clear” és “Purge” szinteken. HDD-kre tervezett multi-pass felülírási módszerek (pl. régebbi szabályozói keretek által hivatkozott eljárások) szintén elérhetők — az iparági ajánlás azonban HDD-nél is az NIST SP 800-88 Rev. 1 szerinti módszerek alkalmazása.
SSD-k (SATA és NVMe)
A Blancco SSD-specifikus törlési módszert alkalmaz — nem hagyományos felülírással, hanem az egyes meghajtók natív sanitize parancsaival. Az ATA Secure Erase és az NVMe Sanitize parancsok a meghajtó teljes fizikailag elérhető területére kiterjedő törlést hajtanak végre, a NIST SP 800-88 Rev. 1 “Purge” kategóriájának megfelelően. A Crypto Erase módszer szintén Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől fogva Full Disk Encryption volt aktív (self-encrypting drive esetén). Az SSD-törlési módszer megválasztása tehát az adott meghajtó típusától és korábbi titkosítási konfigurációjától függ.
Mobil eszközök
Okostelefonok és táblagépek esetén a Blancco a gyártói szintű törlési parancsok és szoftver által vezérelt folyamatok kombinációját alkalmazza iOS és Android platformokon egyaránt. A BYOD-programok, eszközflotta-rotációk és szervezeti átszervezések során a telefonok törlése az egyik leggyakrabban figyelmen kívül hagyott kockázatforrás.
Szerverek és tárolórendszerek
Blade szervereknél, NAS- és SAN-eszközöknél a Blancco képes tömegesen kezelni a meghajtókat, akár hálózaton keresztül futtatva boot image-ből, ami nagyobb infrastruktúrák selejtezésekor jelentősen csökkenti az üzemeltetési terhet és az átadási időt.
Mindegyik kategória esetén az eredmény ugyanolyan formátumú és hitelességű Blancco-tanúsítvány, ami lehetővé teszi, hogy vegyes eszközállomány selejtezésekor egyetlen egységes dokumentációs csomag keletkezzen.
Blancco és a megfelelési keretrendszerek
A tanúsított adattörlés nem önálló biztonsági intézkedés — hanem azonosítható kapocs a szabályozói elvárások és a tényleges folyamatok dokumentálható bizonyítéka között.
GDPR (5. cikk (1)(e) és 5. cikk (2) — tároláskorlátozás és elszámoltathatóság): A GDPR 5. cikk (1)(e) alapján a személyes adatokat csak a szükséges ideig szabad megőrizni. A 5. cikk (2) elszámoltathatósági elve ezt azzal egészíti ki, hogy az adatkezelőnek képesnek kell lennie igazolni a megfelelés tényét. A selejtezési folyamat dokumentált lezárása — amit a Blancco-tanúsítvány biztosít — az adatvédelmi felelős számára az adatkezelési nyilvántartás fontos bizonyítékeleme. Ha a Data Destroy Kft. végzi a törlést, a konkrét szerződéses és tényleges szerepkörtől függően jellemzően adatfeldolgozói minőségben jár el (GDPR 28. cikk), és a kiállított Blancco-tanúsítvány az adatkezelő felé az elvégzett törlési folyamat igazolásának egyik dokumentált elemeként szolgál.
NIS2 (21. cikk — kockázatkezelési intézkedések): A NIS2 irányelv 21. cikke kiberbiztonsági kockázatkezelési intézkedéseket ír elő, köztük az eszközkezelés és az infrastruktúra biztonságának területén. A selejtezési folyamat igazolható dokumentálása a 21. cikk szerinti eszközkezelési és kockázatkezelési kötelezettségek teljesítésének dokumentálható bizonyítéka — az adattörlési naplózás nem szerepel explicit módon az irányelvben, de a kockázatkezelési elvárások keretében elvárható kontrollnak minősül.
ISO 27001:2022 (A.7.10 és A.8.10 — adathordozók kezelése és adatok törlése): Az ISO 27001:2022 két kontrollban is érinti az adathordozók selejtezését. Az A.7.10 (“Storage media”) az adathordozók fizikai kezeléséről és biztonságos selejtezéséről rendelkezik. Az A.8.10 (“Information deletion”) önálló kontrollként rögzíti a szoftveres adattörlési módszerek alkalmazását és az igazolhatóság követelményét — ez a Blancco-alapú folyamat legdirektebb ISO 27001 kapcsolódási pontja. A Blancco-tanúsítvány mindkét kontroll teljesítésének egyik dokumentált bizonyítékeleme — a teljes megfelelés az eszköznyilvántartással, a selejtezési folyamat dokumentációjával és a jóváhagyási lánccal együttesen igazolható.
Ezek a megfelelési pontok nem új elvárások — az auditok azonban egyre inkább nem a szándékot, hanem a bizonyíthatóságot ellenőrzik. Egy belső auditor vagy egy akkreditált tanúsítási szervezet nem veszi át a szóbeli nyilatkozatot, hogy “mi töröltük”. Kéri a dokumentumot.
Mit jelent a Data Destroy Blancco-partnerség a gyakorlatban?
A Data Destroy Kft. Magyarország hivatalos Blancco-partnereként végez tanúsított szoftveres adattörlést közép- és nagyvállalati ügyfelek számára. Ez a partnerség konkrét tartalmat jelent, amelyet érdemes pontosan érteni.
A szoftvert a Data Destroy nem saját fejlesztésű megoldással, hanem az eredeti Blancco-szoftverrel futtatja, amely automatikusan a Blancco globális tanúsítási rendszerében regisztrált tanúsítványt állít ki minden törlésnél. Ezek a tanúsítványok ugyanolyan formátumban és hitelességi szinten érkeznek, mint bármely más Blancco-partner által kiállítottak — érthetők és elfogadottak minden olyan auditor vagy ügyfél számára, aki korábban már találkozott Blancco-dokumentációval.
A Data Destroy helyszíni törlési szolgáltatást kínál: a szoftver az ügyfél telephelyén fut, az eszközök nem hagyják el a szervezet területét mindaddig, amíg a törlés és a tanúsítvány kiállítása meg nem történt. Ez a modell különösen fontos azokban az esetekben, ahol az eszközöket szabályozói, adatvédelmi vagy biztosítói megfontolásból nem lehet elszállítani a törlés elvégzéséhez.
Az elvégzett törlésekről kiállított tanúsítványok tételesen, eszközazonosítóra (sorozatszámra) lebontva tartalmazzák a dokumentációt. Ez alkalmassá teszi az ügyfél compliance-csapatát, belső auditorait vagy külső vizsgálóit arra, hogy egyértelműen visszakövessék, melyik eszközön mikor, milyen módszerrel végezték el a törlést.
Ha szervezete közelgő IT-selejtezési projektet, auditot vagy eszközflotta-cserét tervez, a Data Destroy Kft. eszközlistára épülő megfelelési javaslattal és előzetes törlési dokumentációs tervvel tud segíteni — kérjen árajánlatot. Az igény az eszközök típusának és mennyiségének megadásával indul — az eredmény tételesen átadható Blancco-tanúsítványcsomag, amely a compliance-folyamat lezárásához szükséges dokumentáció egyik kulcsfontosságú, bizonyító erejű elemét képezi.
Gyakori kérdések
Mi a különbség a Blancco és egy egyszerű adattörlő szoftver között?
A Blancco elsődleges előnye nem a törlési sebesség, hanem a törlési folyamat digitálisan aláírt, automatizált dokumentálása: minden befejezett törléshez tanúsítvány generálódik, amelynek tartalma visszakövethetően azonosítja az eszközt, az alkalmazott módszert, a követett szabványt és az időpontot — auditorok és compliance-szervezetek által elfogadott formátumban.
Milyen eszköztípusokra alkalmazható a Blancco?
A Blancco kezeli a hagyományos merevlemezeket (HDD), SSD-ket (SATA, NVMe), mobil eszközöket (iOS, Android), szervereket és tárolórendszereket (NAS/SAN) — egyetlen egységes audit trail-lel, ami nagyobb, vegyes eszközállomány selejtezésekor különösen előnyös.
Elfogadják-e a Blancco-tanúsítványt a GDPR- és ISO 27001-auditokon?
A Blancco-tanúsítványokat az európai adatvédelmi és információbiztonsági auditok széles körben elfogadják mint a törlési folyamat igazolását, mivel a tanúsítvány tartalmazza az alkalmazott szabványt (pl. NIST SP 800-88 Rev. 1), a törlés időpontját, az eszköz sorozatszámát és az eredmény kriptográfiai visszaigazolását.
SSD törlésénél miért nem elég a hagyományos formázás?
Az SSD-k NAND flash memóriája wear-levelling mechanizmust alkalmaz, amelynek következtében a hagyományos felülírási módszerek nem érik el a tároló teljes fizikailag létező területét. A Blancco SSD-specifikus natív sanitize parancsokat alkalmaz (ATA Secure Erase, NVMe Sanitize), amelyek a NIST SP 800-88 Rev. 1 Purge szintjének felelnek meg. A Crypto Erase módszer Purge szintűnek minősül, amennyiben a meghajtón az adattárolás kezdetétől Full Disk Encryption volt aktív.
Hogyan történik a helyszíni törlés a Data Destroy Blancco-partnerségén keresztül?
A Data Destroy helyszíni Blancco-törlési szolgáltatása során a szoftver az ügyfél telephelyén fut, az eszközök szállítás nélkül kerülnek törlésre. A folyamat végén tételesen, eszközsorozatszámra lebontva kerülnek kiállításra a Blancco-tanúsítványok, amelyek közvetlenül átadhatók az ügyfél compliance- vagy audit-csapatának.
Mikor indokolt a Blancco-törlés helyett a fizikai megsemmisítés?
A Blancco-alapú szoftveres törlés akkor elegendő, ha az eszköz még működőképes és a tárolófelület épségéről meggyőződtek. Fizikailag sérült vagy meghibásodott meghajtó esetén, ahol a szoftver nem tud kapcsolódni a tároló összes területéhez, a fizikai megsemmisítés marad az egyetlen megbízható módszer — ezt a Data Destroy szintén kínálja.
A magyarok 37 százaléka megszabadul használt okostelefonjától, amikor beszerzi az újat. A legtöbben beszámíttatják vagy elajándékozzák korábbi mobiljukat, de akadnak olyanok is, akik egyszerűen kidobják a szemétbe. Az adatokat azonban csak nagyon kevesen törlik megfelelően a régi készülékről. Egy friss felmérés eredményeiből az derült ki, hogy a felhasználók 37 százalékával fordult már elő, hogy az addig használt mobiltelefonját eladta (19 százalék), elajándékozta (16 százalék) vagy visszaadta munkáltatójának (2 százalék).
Évente több százezer használt mobiltelefonkerül a GSM boltokba, amelyeken – azt mondhatjuk – tömegével maradnak akár otthon készült privát fotók, akár fontos céges dokumentumok. Ma már minden okostelefonban van kamera, továbbá ezek a készülékek alkalmasak arra, hogy a vállalati levelezésünkbe is belépjünk velük, még ha nem is mindenki használja ki ezt a funkciót.
Így hát nem meglepő, miért feszegeti a média egyre többször azt a témát, hogy a leselejtezett okostelefonjainkon vajon milyen érzékeny adataink maradnak rajta. (tovább…)
Tapasztalataim szerint a felhős adattárolással kapcsolatos kifogásokat soroló listákon mindenhol az első helyek egyikén szerepel az adatvédelem. Az egyik gyakran felmerülő kérdés: a szolgáltatók hogyan tudják biztosítani szolgáltatóváltáskor vagy eszközcserekor az ügyfél adatainak tökéletes, visszaállíthatatlan törlését? Nos, erre fejlesztett megoldást a Blancco.
Az adattörlés ma már egy olyan problémakör, amelyre Magyarországon is egyre több figyelmet fordítanak a cégek és szervezetek. Saját jól felfogott érdekükben is teszik ezt, hiszen például az Információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. immár fontos előírásokat tartalmaz, például a személyes adatok tekintetében. A törvény pontosan meghatározza az adattörlés fogalmát is: „az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges„.(tovább…)
