Magyarországon is terjed az adattörlés gyakorlata, egyre több állami és piaci szervezet használ olyan speciális szoftvereket, amelyek segítségével a különböző adathordozókról nyom nélkül és visszaállíthatatlan módon törölni lehet az adatokat.
Tavaly májusban Ausztrália legnagyobb pénzintézete, a Commonwealth Bank a történelem egyik legnagyobb banki adatvesztését szenvedte el. Az informatikai részleg adatokat tartalmazó mágnesszalagokat kívánt leselejtezni, és ezeket a Fuji Xerox szállította el. A hibára akkor derült fény, amikor a bank nem találta a megsemmisítésről szóló jegyzőkönyvet. A pénzintézet 150 fős csoportot hozott létre az adatok megtalálására, valamint a KPMG-vel végeztetett auditot. A vizsgálat arra jutott, hogy a szalagok a nem megfelelő rögzítés miatt leeshettek a Fuji Xerox teherautóinak platójáról.
Ezzel párhuzamosan az is kiderült, hogy a különböző titkosítási eljárásokba is időről időre hiba csúszik. A Bitlocker például egy firmware-beli hiba miatt 2017-ben gyenge, könnyen feltörhető titkosító kulcspárokat generált. Mivel a kulcsokat egy TPM (Trusted Platform Module) chip generálja, ezért a hordozható számítógépekbe épített firmware-t nehéz frissíteni, és így a sérülékenység hosszabb távon veszélynek teheti ki a titkosított adatokat.
Az ilyen és hasonló esetek világszerte felhívták a vállalatok figyelmét arra, hogy a különböző adathordozók – számítógépek, merevlemezek, mobiltelefonok, mágnesszalagok és USB kulcsok – nem selejtezhetők le minősített és jegyzőkönyvezett adattörlés nélkül.
Az adattörlés során az adathordozók felületét (akár több alkalommal) különböző, meghatározott algoritmusokkal felülírják, egészen addig, amíg az eredetileg tárolt adatok véglegesen visszaállíthatatlanná válnak.
A feladatot jellemzően olyan szoftver segítségével végzik el, amely rendelkezik a megfelelő biztonsági minősítésekkel, és képes arra is, hogy az adattörlésről automatikusan jegyzőkönyvet hozzon létre, amelyet aztán digitális aláírással véd a hamisítás ellen. Ez az eljárás garantálja, hogy egyrészt semmilyen adat nem marad a leselejtezett vagy szervizbe adott adathordozón, másrészt pedig auditálhatóvá teszi az adattörlés folyamatát, így pedig segíti a vállalatot abban, hogy megfeleljen a szigorú GDPR-előírásoknak.
Magyarországon bankok és más pénzintézetek, valamint a különböző állami szervezetek ismerték fel elsőként az adattörlés fontosságát, és az adattörlési megoldásokat beépítették a különböző folyamataikba – emeli ki Petrányi-Széll András, a Blancco adattörlési megoldásait képviselő V-Detect Antivírus Kft. ügyvezetője.
Ma már magától értetődő, hogy ezek a szervezetek speciális adattörlő szoftver segítségével tisztítják meg az adathordozókat olyankor is, ha leselejtezik azokat, de akkor is, ha egy mobiltelefon vagy notebook egy másik munkatárshoz vagy szervizbe kerül.
Nem természetes még azonban az adattörlő szoftverek használata a mobilszolgáltatók, valamint a kis- és középvállalatok számára. Így például nem számíthatunk arra, hogy igazolást kapunk az adattörlésről, ha a mobilszolgáltatóhoz garanciális probléma miatt visszajuttatjuk a telefonunkat, és feltehetően a kisvállalatunk könyvelőirodája sem fog adattörlő szoftvert használni, ha leselejtezi a számítógépeit.
Ez pedig biztonsági problémát jelent, nagyobb vállalatok esetében pedig komoly bírságokat vonhat maga után. 2019-ben ezért a helyzetnek változnia kell: a nagyvállalatok és állami szervezetek mellett a közép- és kisvállalatoknak is el kell gondolkodniuk egy adattörlési megoldás bevezetésén.
(Cikkünk a Biztonságpiac 2019 évkönyvben jelent meg, tavaly februárban.)
