A sorozat következő részében a végletes, helyreállíthatatlan adattörlést fogjuk kicsit közelebbről megnézni, azon belül egy kedves kis programot, a Jetico BCWipe alkalmazását.

Nézzük először a GDPR oldaláról, hogyan mit mond a rendelet az adattörlésekkel kapcsolatban.

Nem meglepően, technológiai oldalról egyáltalán nem beszél arról, hogyan kell nekünk törölni, nem beszél arról, hogy diszk wipe, file shredder vagy adatbázis szinten milyen alkalmazásokkal és funkciókkal kell nekünk törölni az adatokat.

Sokkal inkább arról beszél, hogy a magánszemélyeknek joga van töröltetni a róluk tárolt személyes adatokat (törléshez, elfeledtetéshez való jog), figyelembe véve a különféle jogalapok által előírt tárolási időket (hiszen vannak olyan személyes adatok, olyan adatkezelés, ahonnan akkor sem töröltethetünk adatot, ha földhöz verjük magunkat, ilyenek az egyéb, ágazati törvények által előírt adatkezelések és megőrzési idők, pl. nyugdíj, tb, stb.).

A 2011 óta hatályos Infotv. sokkal markánsabban beszél az adattörlés mivoltáról: kerek-perec kimondja, hogy az számít adattörlésnek, amely után az adat már nem helyreállítható többé – ez pedig igen erős célzás a végletes, helyreállíthatatlan adattörlés folyamatára.

A disk wipe és file shredder alkalmazások a fájlok, USB adathordozók vagy merevlemezek valamilyen biztonságos metódus szerinti adattörlését valósítják meg, olyan módon, hogy a fájlt vagy a merevlemezen tárolt összes adatot többszörösen, véletlenszerű vagy előre meghatározott adatmintákkal felülírják, ezáltal lehetetlenné teszik az adatok helyreállítását.

A következő videóban a Jetico BCWipe file shredder megoldását mutatjuk be, amely nem csak a fájlokat, könyvtárakat tudja biztonságosan törölni, de a böngészők és a Windows operációs rendszer „lábnyomait” is el tudja tüntetni – ezért nem csak vállalati célokra, de otthon is, a saját privacy terünknek védelmére is használható.

A videóban egyébként van egy még érdekesebb rész, hogyan, és mit lehet előkaparni egy felhasználó böngészési szokásaiból és adataiból (forensic).

Ha tetszik a videó és a sorozat, kérlek iratkozz fel a Jutub csatornánkra :) ITT

(Természetesen felmerül a kérdés, hogy mi van az adatbázisokkal, archivumokkal kapcsolatban, erre megpróbáltunk válaszolni a bevezető cikkben.)

HOGYAN VÁLASSZUNK ADATTÖRLŐ MEGOLDÁST?

Amikor megmutattam a videót néhány ismerősnek, felmerült a kérdés, hogy jó-jó, nagyon sok cég kínál helyreállíthatatlan adattörlésre alkalmas szoftvereket, sőt még brutál durva vinyó darálót is, de hogyan lehet kiválasztani, hogy melyiket használjuk?

Erre nehéz válaszolni, ha a jogi/compliance oldalt nézzük, akkor az itthon elterjedt Blancco pontosan ugyanolyan jó, mint az itthon még ismeretlenebb WhiteCanyon, vagy akár a Jetico HDD wipe-oló alkalmazása 

• A nap végén arról kell meggyőződnünk, hogy a kiválasztandó megoldás törlési metódusai megfelelnek-e az elvárásainknak, kellően biztonságosak-e, és rendelkeznek-e számunkra elfogadható nemzetközi minősítésekkel,
• Képesek hivatalos és auditálható törlési jegyzőkönyveket készíteni,
• És persze, valóban letörölik helyreállíthatatlanul az adatokat nem csak HDD, de SSD esetében is.

Szóval, ha a szoftver minősítései rendben vannak, jó és auditálható jegyzőkönyveket készít a törlésről, akkor nagyon melléfogni nem lehet, se a NAIH-ot, sem pedig más hivatalt nem fogja érdekelni, hogy Blancco-t vagy WhiteCanyont használunk: megnézik a törlési jegyzőkönyveket, riportokat, a törlési folyamat szabályozását – és ezzel kész, nekik teljesen mindegy milyen alkalmazást használtunk.

Ennek fényében azt kell megvásárolni, amely teljesíti az alapvető kritériumokat, és nem kerül rohadt sokba J

MI VAN AZ INGYENES DBAN-AL?

Korábban megkérdezték, hogy a DBAN (a Blancco ingyenes megoldása) alkalmazható-e a GDPR-érában a merevlemezek törlésére.

A DBAN baromi jó, és mivel ingyenes, olcsó megoldás J. Támogatja a nemzetközileg elfogadott DoD-5220.22-M szabvány szerinti törlési metódust (háromszoros felülírás, egy  bináris mintával, majd az első minta reversével, végül egy random mintával) , bár pl. az USA ezt a metódust már nem ajánlja, és kivette a biztonságos adattörlési metódusok közül.

Ettől függetlenül a legtöbb hazai vállalat (kivéve a nagyon speciális intézményeket) számára a DoD-5220.22-M szabvány szerinti törlési metódus teljesen elfogadható és vállalható – és tökéletesen megfelel a GDPR-ban nem leírt műszaki elvárásnak J.

A DBAN azonban más sebből vérzik: amellett, hogy nem tud UEFI-s rendszerrel dolgozni és nem támogatja az SSD-k biztonságos törlését, nem tud auditálható riportot és jegyzőkönyvet készíteni.

Mit lehet tenni? Mivel a GDPR igazából nem rendelkezik ezzel kapcsolatban, szerintem megfelelő kisvállalati megoldás, hogy a DBAN használatát némi adminisztratív funkcióval kiegészítve használjuk: készüljön fénykép a törlés sikeres befejezéséről (látszódjon a kezdés és vége dátum), valamint mentsük el a törlésről készült naplófájlt.

Ha elkészítünk egy saját jegyzőkönyvet, amelyben a naplófájl és a fotó is szerepel (a naplófájlban a törlés visszaellenőrzése is látszik), akkor ezt a jegyzőkönyvet, hacsak nem a TEK vagyunk vagy egy sokszáz/ezer fős bank – a Hatóság el fogja fogadni, mégpedig azért, mert a kockázatot figyelembe véve olyan megoldást alkalmaztunk, amely arányos a kockázatokkal ÉS figyelembe veszi az adott cég lehetőségét, erőforrásait.

Mert a GDPR egyik fontos elve, hogy nem vár el (többnyire) olyan védelmet, amely a kockázat és a költség, illetve más erőforrás tekintetében túlmutat az adott Szervezet lehetőségein.