Что на самом деле является физическим уничтожением данных? Физическое уничтожение данных - это процесс уничтожения данных, хранящихся на лентах, жестких дисках и других видах электронных носителей таким образом, чтобы они были полностью нечитаемы и не могли быть доступны или использованы в несанкционированных целях. К сожалению, многие люди пренебрегают надлежащим физическим уничтожением, когда наступает время вывода из эксплуатации устройств хранения.
В свете весьма реальной опасности нарушения целостности данных, необходимо быть в высшей степени уверенным в безопасности наших цифровых отпечатков. В этой статье обсуждается важность физического уничтожения, лучшие практики уничтожения данных, а также потенциальные последствия, связанные с неспособностью физически уничтожить данные по окончании срока службы.
Уничтожение данных не является тем же самым, что и уничтожение носителей, на которых хранятся данные (физическое уничтожение). Когда устройство физически уничтожается, оно становится полностью непригодным для использования, чаще всего путем распада, измельчения или дробления носителей информации.
Для вращающихся жестких дисков (HDD) настоятельно рекомендуется размагничивать диск перед физическим уничтожением. Размагничивание позволяет устранить магнитные поля, присутствующие в жестких дисках, что делает диск полностью непригодным для использования. В новых и небольших устройствах обычно используются твердотельные накопители (SSD), которые представляют различную угрозу с точки зрения их физического разрушения.
Согласно исследованиям рынка твердотельных накопителей, мировой рынок твердотельных накопителей, как ожидается, достигнет 229,5 млрд долл. к 2022 году, а это означает, что очень важно понимать, какое физическое разрушение необходимо для этих накопителей по мере роста их использования. Размагничивание, например, неэффективно с твердотельными накопителями из-за того, что в них для хранения данных используются взаимосвязанные микросхемы флэш-памяти (интегральные схемы), а размагничивать можно только магнитные носители.
Многие организации также полагаются на стандартные измельчители жестких дисков для измельчения SSD. К сожалению, это небезопасная практика, так как эти машины создают большие размеры измельчителей и не могут полностью уничтожить данные на твердотельных чипах высокой плотности. В перспективе, Агентство национальной безопасности США (National Security Agency, NSA) требует, чтобы классифицированные твердотельные накопители были уничтожены до конечного размера частиц 2 мм, в то время как они требуют, чтобы жесткие диски были размагничены, а затем физически уничтожены, либо с помощью измельчителя, либо с помощью дробилки.
Эти две методики уничтожения находятся на расстоянии световых лет друг от друга, однако, согласно исследованиям, проведенным компанией Blancco, более трети (33%) предприятий в США и Канаде не имеют иного процесса обращения с твердотельными накопителями по сравнению с жесткими дисками!
Многие мировые компании используют ненадлежащие методы удаления данных или просто не имеют с ними дело вообще. Ранее в этом году исследование Blancco показало, что 80% американских и канадских респондентов из 1850 руководителей высшего звена в США, Канаде, Европе и Азиатско-Тихоокеанском регионе сообщили о том, что их устройства с истекшим сроком службы просто хранятся где-то в хранилище. Это составляет около 400 000 устройств, или около 272 на компанию.
Кроме того, 57% респондентов сообщили, что для удаления этих устройств, не говоря уже о физическом уничтожении, требуется более двух недель. Респонденты также утверждают, что около 18% устройств остаются "где-то" внутри компании без каких-либо действий. В исследовании Blancco они обнаружили, что две из пяти корпоративных организаций тратят более 100 000 долларов США в год на хранение неиспользуемого аппаратного обеспечения. Это огромные проблемы с безопасностью, которые представляют большие риски для соответствия нормативным требованиям, которые должны быть решены немедленно.
В Общем постановлении ЕС о защите данных (GDPR) изложены принципы защиты данных, которым должны следовать организации ЕС при сборе и хранении персональных данных физических лиц ЕС. Калифорнийский закон о защите частной жизни потребителей (CCPA), который вступил в силу 1 января 2020 года, приблизил США к GDPR. Несмотря на то, что CCPA - это всего лишь закон штата, на данный момент он также стал неформальным национальным стандартом.
Компании должны будут раскрывать клиентам в Калифорнии, какие данные о них были собраны, а также удалять их и прекращать продажу, если клиент попросит об этом. Штрафы легко складываются - $7500 за нарушение, если оно было преднамеренным, $2500 для тех, у кого нет намерения, и $750 на пострадавшего пользователя в случае гражданского ущерба. Потребители будут иметь больше власти, чем когда-либо, по мере того, как они будут знать, чего стоит их информация, и по мере того, как будет появляться все больше законов, благоприятствующих их частной жизни. По мере расширения использования данных становится все более важным понимать соответствующие методы уничтожения, которые как соответствуют запросам потребителей, так и защищают организацию от утечки или нарушения. Накопившиеся диски - это угроза безопасности.