Rovatok

Közösségi média

információtechnológia
Cloud computing
felhő
adattörlés
Becsült olvasási idő: 3 perc
Jog az elfelejtésre

Komoly veszélyforrást jelent a vállalatok számára, ha leselejtezett adathordozóik tartalma visszaállítható. Hasonlóan veszélyes, ha a szolgáltató a felhőben tárolt adatokat, igény esetén, nem garantáltan semmisíti meg. 

Manapság a vállalkozások többsége tárol adatokat a felhőben, hiszen weboldalát valamilyen külső szolgáltató szerverén üzemelteti. Ehhez kapcsolódóan sokszor nem csupán a cég saját adatai kerülnek fel a szerverre, hanem például a szolgáltatásaira regisztráló ügyfelek adatai is. A weboldalakon kívül más alkalmazások is egyre nagyobb számban vándorolnak a felhőbe.

Ebbe a körbe tartoznak a levelezőrendszerek, és találkozni már olyan vállalatokkal is, amelyek ezt a modellt választják a CRM, illetve a vállalatirányítási rendszerek esetén. A felhőalapú adattárolás terjedésével – európai szinten – óhatatlanul előtérbe kerülnek az adatvédelmi, -biztonsági kérdések, amelyeknek egy része már tisztázott, a többi még megoldásra vár. Rendkívül fontos kérdés például, hogy a felhőben tárolt adatok kinek a tulajdonát képezik, vagy mi a teendő a törlendő adatokkal.

A magyar jogszabályok kimondják, hogy az adatkezelésbe beletartozik az adatmegsemmisítés is. Ha tehát egy vállalatnak megszűnik az adatkezelésre való jogosultsága, kötelessége törölni az adatokat. A jogszabály azt is előírja, hogy az adatkezelésre a lehető legjobb módszert kell alkalmazni, kivéve, ha ez aránytalanul nagy terhet róna a vállalatra.

– Ezek alapján kimondhatjuk, hogy minden vállalatnak jogszabályi kötelessége törölni a leselejtezni kívánt adathordozókat. A törlési kötelezettség természetesen a felhőszolgáltatókra is vonatkozik: ha megszűnik a vállalat és a szolgáltató közti szerződés, a felhőszolgáltatónak kötelessége minősített módon törölni az adatokat. Az egyszerű fájltörlés, adott esetben a merevlemez átfúrása, megformázása vagy valamilyen speciális programmal történő törlése, esetleg a Windows újratelepítése mind olyan módszerek, amelyek informatikai oldalról nem kellően hatékonyak.

Bármelyik alkalmazása esetén vannak ugyanis olyan speciális eljárások, amelyekkel az adatokat vissza lehet nyerni. Könnyen sérülhetnek tehát a jogszabályi előírások, ugyanakkor a cég számára is veszélyt jelent, ha adatai az adathordozók leselejtezését vagy a felhőszolgáltatás megszüntetését követően illetéktelenek kezekbe jutnak – fogalmaz Petrányi-Széll András, a minősített adattörléssel foglalkozó finn Blancco céget képviselő V-Detect Antivírus Kft. ügyvezetője.

Elgondolkodtató adalék a témához a KPMG 2010-es felmérése. A tanulmányból kiderül, hogy míg az adatvédelmi incidensek 12 százaléka köszönhető a hekkertámadásoknak, addig a helytelen leselejtezési gyakorlat, tehát az adattörlés elmulasztása majdnem ugyanekkora – 10 százalékos – arányt képvisel. Szintén figyelemre méltó, hogy a hatalmas veszélyforrásnak tekintett vírusok az incidensek mindössze 3 százalékáért felelősek.

Fertőtlenítés garanciával

Az adatok megsemmisítésére a szakértő két hatékony megoldást javasol: a fertőtlenítést és az adathordozó fizikai megsemmisítését. A fertőtlenítést követően az adathordozó használható marad, legyen szó merevlemezről, memóriakártyáról vagy bármi másról. Ez különösen a drága szerverek esetében lehet fontos szempont, de akár az olcsóbb merevlemezeknél is érdemes megfontolni ezen szoftveres eljárás alkalmazását.

A fertőtlenítés olyan szoftverekkel történik, amelyek 100 százalékos eredményt garantálnak. Ez a különbség a fertőtlenítés és a puszta törlés között. A fertőtlenítést végző szoftverek három fő jellemzője, hogy minősítettek, jegyzőkönyvet vezetnek, továbbá technikailag a többi törlőszoftver fölött állnak. A minősítés úgy történik, hogy egy független szervezet, például a NATO vagy a Common Criteria átvizsgálja a szoftver forráskódját. Ellenőrzik, hogy a szoftver egyrészt elvégzi-e mindazt, amit ígér, másrészt nem csinál-e mást, mint amit ígér (tehát nincs-e benne szivárogtatás, back door stb.).

Ha a vizsgálat pozitív eredménnyel zárul, a szervezet kiadja a minősítést. Egy jól működő adathordozó-fertőtlenítő rendszer minden eseményről minősített, digitálisan aláírt, tehát a meghamisítás ellen védett jegyzőkönyvet tud kiállítani. E jegyzőkönyv, amely tartalmazza az adathordozó fizikai azonosítóit, egyértelműem bizonyítja, hogy ki, mikor, milyen módszerrel és milyen eredménnyel végezte el annak fertőtlenítését. A komoly fertőtlenítőrendszerek technikai „felsőbbrendűségét” az adja, hogy nem a gépen futó operációs rendszerből, hanem saját operációs rendszerből indítják az adattörlést. Ennek révén hozzáférnek a merevlemezek összes szektorához, beleértve az úgynevezett device configuration overlayt vagy a host protected areákat is, továbbá felismerik és kezelik a hibás szektorokat is.

A cikk folytatása a GyártásTrend Magazin 2014/3. számában olvasható.