Biztonságos adattörlési eljárásokkal növelte biztonságát egy japán kormányzati szervezet

Miután 18 darab leselejtezésre szánt merevlemezt félúton elveszítettek, egy japán kormányzati szervezet felülvizsgálta az IT eszközök kezelésére vonatkozó eljárásait, hogy a jövőbeli adatszivárgásokat kivédjék.

A kormányzati szervezetek folyamatos célpontjai az adatszivárgásoknak, és itt nemcsak hackertámadás miatt bekövetkező adatvesztésre gondolunk, hanem elveszített adathordozók miatti problémákra is. Egyes esetekben az incidensek erősebb adatvédelmi szabályzatokhoz vezetnek. Így történt például Japánban, ahol a Kanagawa Prefektúránál példamutató szabályzatot dolgoztak ki a már nem szükséges adattárolókon lévő információk védelmére.

A japán nyelvű szabályzat szerint a megyei hatóságok komoly intézkedéseket vezettek be a hasonló esetek megelőzésére:

1. Minden eszközt minősített módon fertőtleníteni kell (törölni) az adatoktól az újrahasznosítás vagy a megsemmisítés előtt. Mielőtt a következő állomásra küldenék az eszközöket, a hivatal belső munkatársának – és nem egy szerződéses külső partnernek – a helyszínen minden adatot törölnie kell az eszközről.

• A nem bizalmas rendszereket, merevlemezeket és IT eszközöket a szoftveres törlés után újrahasznosíthatják. A bérelt eszközöket a prefektúra munkatársai és a bérbeadó cég egyaránt törlik, hogy mindkét fél megelőzze a jogvitákat.

• A bizalmas rendszerekből származó adathordozókat nem lehet újrahasznosítani. Előbb egy elfogadott szoftverrel kell törölni az adott eszközt, majd egy erre szakosodott vállalat fizikailag is megsemmisíti az eszközt.

• A kötelező szoftveres alapú törlés nem vonatkozik a HDD alapú szerverekre, ha a törlést mechanikai hiba, hibás merevlemez vagy egyéb hiba akadályozza, ezeket degausser berendezés segítségével demágnesezik. A demágnesezés után ezeket az eszközöket kötelező darabolással (is) megsemmisíteni.

• A mobil eszközöket is törlik, az NIST SP 800-88 kriptotörlés követelményei szerint.

2. Minden esetben a törlés, demágnesezés, megsemmisítés a prefektúra saját irodáiban történik. A törlést csak a prefektúra munkatársai végezhetik el.
3. A törlés felügyelet mellett, két vagy több belső munkatárs jelenlétében történhet, akiknek ellenőrizniük és dokumentálniuk kell a törlési és megsemmisítési eljárásokat.

A szabályzat azt is előírja, hogy ingyenes vagy nem bevizsgált szoftvereket nem használhatnak. Csak olyan megoldások jöhetnek szóba, melyeket előzetesen teszteltek és tanúsítottak, külső vagy belső szakértők. Ugyanakkor a hatékony szoftver alapú törlésre előírják:

• a megoldásnak felül kell írni az adatokat legalább egyszer (vagy csak egyszer, a NIST SP 800-88 javaslatnak megfelelően)
• ellenőriznie kell és dokumentálnia minden felülírást
• tanúsítványt kell generálnia minden egyes törölt eszköz esetében

A szoftver alapú törlés védi a kormányzati adatokat

A szoftveres, tanúsított adattörlés kötelezővé tételével, a törlési és eszközmegsemmisítési folyamatok helyben tartásával a Kanagawa Prefektúra megelőzi, hogy adatokat lehessen visszanyerni az életciklusuk végét elért eszközökről. Ez egy újabb rétegnyi biztonságot nyújt a lakosság adatainak védelmére, hiszen, ha egy ilyen eszközt ellopnak vagy elvesztenek, az adatok nincsenek rajta.

Hovatovább, a törlési folyamat minden lépésben történő felügyeletének elrendelésével a hivatal megszüntette a visszakövethetőségi problémákat, ami csökkenti ez eszközök ellopásának vagy elvesztésének kockázatát. Hiszen egy eszközt a törlési folyamat minden fázisában nyilvántartanak. A szoftver pedig egy jelentést generál, a törlési tanúsítványt digitális aláírással védik. És végső soron az adattörlés miatt csak olyan eszközöket tudnak újrahasznosítani, amelyeken biztosan nincsenek szenzitív adatok.

A Blancco a kormányzati merevlemezek, PC-k, szerverek és mobil eszközök számára is biztosít szoftveres alapú, biztonságos és hatékony minősített adattörlési megoldást, mely a globális iparági adattörlési 25+ szabványa szerint végzi a tesztelt és tanúsított törlést. A megoldás a meglévő IT rendszerekhez igazítható API integráció segítségével, így az eszközök menedzselése, a jelentések generálása és nyilvántartása egy központi helyről történhet.