четверг, 21 марта 2024 г.

Почему следует беспокоиться об уничтожении данных

Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 1 февраля 2024 года на блоге компании Formtek.

Уничтожение данных - это процесс удаления или стирания данных с цифровых устройств, таких как жесткие диски, флеш-накопители, компакт-диски, смартфоны и т.д. Этот процесс обеспечивает невозможность восстановления данных не неавторизованными сторонами, такими как хакеры, конкуренты или похитители персональных данных, - и является необходимой частью усилий по обеспечению безопасности данных и защиты персональных данных, поскольку он защищает чувствительныю информацию от попадания в «не те» руки.

Уничтожение данных может осуществляться различными способами, в зависимости от типа и степени конфиденциальности / чувствительности данных, от носителя данных и от существующих законодательно-нормативных требований. В числе распространённых методов уничтожения данных можно назвать:

  • Перезапись: Данный метод перезаписывает существующие данные случайными или бессмысленными данными, делая исходные данные нечитаемыми. Перезапись можно проводить несколько раз с целью повышения уровня безопасности.

    Мой комментарий:
    Данный метод хорошо работает лишь для носителей определённых видов, и то при условии использование специализированных средств, использующих низкоуровневый доступ. У данного метода часто есть проблемы с надёжностью.

  • Размагничивание: При использовании этого метода создаётся мощное магнитное поле, которое стирает магнитное поле устройства хранения, делая данные недоступными. Размагничивание эффективно для жёстких дисков, однако не пригодно для твердотельных накопителей (SSD) или флеш-памяти.

    Мой комментарий:
    Данный способ был популярен в эпоху дискет. Впоследствии по мере совершенствования жёстких дисков постоянно возрастала их устойчивость к воздействию магнитных полей.  После размагничивания жёсткие диски обязательно нужно проверять на читаемость, что увеличивает трудозатраты и расходы. Наконец, размагничивание обычно выводит жёсткие диски из строя, ввиду чего теряется смысл в этой операции – жёсткие диски всё равно приходится шредировать или физически уничтожать каким-либо иным способом.

  • Физическое уничтожение носителя. Данный метод предполагает уничтожение устройства хранения путем шредирования, дробления, расплавления или сжигания. Физическое уничтожение является наиболее безопасным способом уничтожения данных, но оно также делает устройство непригодным для использования и создает экологически-вредные отходы.

    Мой комментарий:
    На сегодняшний день это единственный способ, позволяющий (при условии применения адекватных конфиденциальности информации технических средств) надёжно и доказуемо уничтожить данные.

Мой комментарий: Автор рассмотрел только лишь методы уничтожения данных на съёмных носителях информации. Для уничтожения данных в информационных системах, в базах данных и в облачных хранилищах требуются иные подходы, в которых упор делается скорее на организационные, чем на технические меры – в том числе следует подумать об уничтожении всех имеющихся экземпляров и копий данных (в том числе в составе резервных и страховых копий).

В ряде случаев вместо уничтожения данных применяются меры, делающие данные недоступными (особенно если проведение уничтожения по каким-либо причинам оказывается невозможным). Популярным подходом является «криптографическое стирание», когда уничтожаются криптографические ключи, необходимые для доступа к информации.


Для многих организаций уничтожение данных - не просто хорошая практика, но и обязанность, вытекающая из их законодательно-нормативных требований и правовых обязательств. Законы и нормативные акты о защите персональных данных, такие как европейские «Общие правила защиты персональных данных» (General Data Protection Regulation, GDPR), закон штата Калифорния (США) о защите неприкосновенности частной жизни потребителей (California Consumer Privacy Act, CCPA) и американский закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA), требуют от организаций безопасно и ответственно уничтожать данные, когда они больше им не требуется или же по требованию субъекта персональных данных. Несоблюдение этих законов может привести к крупным штрафам, судебным искам, репутационному ущербу и потере доверия клиентов.

Поскольку объёмы создания и потребления данных продолжают расти в геометрической прогрессии, уничтожение данных становится всё более сложной и важной задачей. Организациям потребуется внедрить более продвинутые и эффективные методы уничтожения данных на основе таких технологий, как искусственный интеллект (ИИ), блокчейн и квантовые вычисления, чтобы справиться с растущими объемами и сложностью данных. Эти технологии способны обеспечить большую автоматизацию, точность и скорость уничтожения данных, а также большую прозрачность и подотчётность.

Мой комментарий: Мне трудно понять, чем могут помочь технологии блокчейна и квантовые вычисления в плане уничтожения данных. А вот проблемы с уничтожением данных те же технологии блокчейна точно создадут …

Уничтожение данных - нетривиальная задача. Это жизненно важный элемент стратегического и оперативного управления данными, который защищает целостность и конфиденциальность данных. Организации и физические лица должны осознавать важность и преимущества уничтожения данных, а также внедрять наилучшие практики и методы для обеспечения безопасности и конфиденциальности данных. Уничтожение данных - это не только необходимость, но также и возможность получения деловой отдачи и укрепления доверия в эпоху цифровых технологий.

Дик Вейсингер (Dick Weisinger)

Мой комментарий: В эпоху массового использования многообразных устройств, хранящих большие количества конфиденциальной информации, всё большее значение получает изначальное встраивание в эти устройства программных и аппаратных средств надёжного уничтожения данных, которыми могут воспользоваться не имеющие специальных знаний пользователи (например, для уничтожения данных на старом смартфоне). К сожалению, во многих случаях самостоятельно проверить надёжность уничтожения сложно, и остаётся лишь верить на слово производителям устройств …

Получается, что и в этом случае спокойствия ради проще физически уничтожить устройство – не забывая про то, что многие устройства также регулярно копируют часть данных в облако. Однако если легко можно уничтожить старый смартфон, то вот уничтожить современный автомобиль (который сейчас превратился в огромное по объёму хранилище высокочувствительных данных) уже куда проблематичнее :)

Источник: блог компании Formtek
https://formtek.com/blog/why-you-should-care-about-data-destruction/


Комментариев нет:

Отправить комментарий