NIST 800-88 e verifica della cancellazione dei dati
NIST 800-88 e
Le linee guida NIST 800-88 stabiliscono che, dopo la sanificazione dei dati, le organizzazioni o i fornitori devono verificare l’inaccessibilità dei dati e fornire una certificazione su richiesta. La sua azienda dovrebbe conservare una prova scritta della sanificazione dei dati.
The Register ha contattato DriveSavers per ottenere un commento da esperti su questo argomento.
Quando le organizzazioni dismettono laptop, server, hard disk o unità SSD, nella maggior parte dei casi credono di seguire le linee guida NIST 800-88 per la sanificazione dei dati per eliminare i rischi e garantire la conformità. Tuttavia, un caso di grande risonanza riportato in un articolo recente di The Register ha rivelato che un’azienda ha dovuto affrontare oltre 150 milioni di dollari in multe e risarcimenti, mettendo in evidenza una grave lacuna:
La cancellazione dei dati non garantisce che i dati siano effettivamente spariti.
Che si tratti di HDD, SSD, array RAID o sistemi autonomi, le moderne tecnologie di archiviazione possono lasciare dati recuperabili, anche dopo un'eliminazione "sicura". Il comportamento incoerente dei comandi, i settori nascosti, le stranezze a livello di firmware e i processi di sanificazione incompleti contribuiscono a un unico rischio: i dati che rimangono accessibili quando non dovrebbero.
Ecco perché la verifica della cancellazione dei dati è fondamentale.
In questo articolo analizzeremo cosa richiede realmente la norma NIST 800-88, perché i supporti di archiviazione di ogni tipo possono non comportarsi come previsto e come i servizi di verifica colmino il divario tra intenzione e garanzia.
Il Pubblicazione speciale NIST 800-88 Revisione 1 è la principale linea guida per la sanificazione dei dati utilizzata da agenzie federali, aziende e industrie regolamentate. Fornisce un quadro di riferimento flessibile ma rigoroso per determinare come cancellare in modo sicuro i dati da qualsiasi tipo di dispositivo di archiviazione - dai singoli dischi rigidi e SSD ai server, agli array di più dischi e ai supporti rimovibili.
Ma ecco cosa sfugge a molti:
La norma NIST 800-88 non prescrive strumenti specifici, ma definisce i risultati.
Per essere conforme, il vostro processo di sanificazione deve rendere i dati non recuperabile con alcun metodo forense conosciuto. Al NIST non interessa come ci si arriva, ma solo che lo si faccia.
I tre metodi di sanificazione
Il NIST delinea tre livelli di sanificazione dei datia seconda della sensibilità dei dati e della gestione successiva dei supporti:
Libero
Sovrascrive lo spazio di memoria con dati non sensibili utilizzando comandi standard di lettura/scrittura. Ciò può comportare la riformattazione, il reset di fabbrica o strumenti di sovrascrittura di base. Tuttavia, alcuni settori, in particolare quelli utilizzati per i registri di sistema o per la livellazione dell'usura, potrebbero non essere accessibili con questo metodo.
Epurazione
Utilizza tecniche più avanzate, come la cancellazione crittografica o i comandi di cancellazione sicura integrati nel firmware di archiviazione. Questo metodo si rivolge alle aree inaccessibili del dispositivo e fornisce una maggiore garanzia che i dati non possano essere recuperati, anche da settori nascosti o rimappati.
Distruggere
Danneggia fisicamente il supporto (ad esempio, triturazione, fusione, incenerimento) per impedirne il riutilizzo ed eliminare qualsiasi possibilità di recupero. Spesso viene utilizzato per dati altamente sensibili o quando un dispositivo esce dal controllo dell'organizzazione.
Perché è importante
Anche se il team IT o il fornitore esegue un wipe che sembra seguire queste categorie, la conformità NIST richiede che la prova che il risultato è stato raggiunto - non solo l'applicazione di un metodo.
Questa è la lacuna critica in termini di conformità che molte organizzazioni trascurano, e dove verifica della cancellazione dei dati diventa essenziale.
Seguire la norma NIST 800-88 è un passo fondamentale per lo smaltimento sicuro dei dati, ma anche quando le aziende applicano il metodo di sanificazione corretto (Clear, Purge o Destroy), questo non garantisce il risultato.
In condizioni reali, i dati possono rimanere recuperabili da un'ampia gamma di dispositivi di archiviazionetra cui le unità disco rigido (HDD), le unità a stato solido (SSD), i server aziendali e i sistemi di archiviazione a più unità. Questi rischi non derivano dalle intenzioni, ma dalla complessità tecnica e operativa dell'archiviazione moderna dei dati.
"Solo perché un'unità è stata 'cancellata' non sempre significa che i dati siano davvero spariti".
Mike Cobb
Direttore tecnico di DriveSavers, via The Register
Punti di errore comuni nei processi di cancellazione
Dati residui in aree inaccessibili
Molti dispositivi di archiviazione includono settori che gli strumenti di sovrascrittura standard non sono in grado di raggiungere, tra cui blocchi rimappati, settori danneggiati, spazio sovraprovisionato e regioni riservate al sistema. Negli HDD, questo può includere l'HPA (Host Protected Area); nelle SSD, il livellamento dell'usura e le riserve nascoste creano problemi simili.
Comportamento incoerente del firmware
I comandi di cancellazione sicura (compresi quelli integrati nel firmware delle unità) non sono implementati in modo coerente tra i vari fornitori. In alcuni casi, il comando può essere eseguito senza sanificare completamente tutte le aree logiche e fisiche del dispositivo.
Configurazioni complesse di server e RAID
Nei server e negli array di archiviazione, i dati possono essere sottoposti a mirroring, striping o cache su più unità, rendendo difficile verificare che ogni copia di ogni blocco sia stata completamente cancellata. Anche i volumi logici mal configurati o le istantanee residue possono persistere senza essere rilevate.
Crittografia ≠ Cancellazione
Sebbene la crittografia contribuisca a ridurre la recuperabilità, è efficace solo se le chiavi di crittografia vengono completamente distrutte. Se le chiavi sono archiviate in sistemi esterni (ad esempio, il recupero BitLocker basato su cloud), i dati crittografati potrebbero essere ancora vulnerabili.
Perché è un rischio di conformità
Da lontano, può sembrare che il processo di cancellazione sia stato completato con successo. Ma senza una convalida indipendente del risultato, le organizzazioni corrono il rischio di:
Perdita di dati sensibili attraverso dispositivi dismessi o rivenduti
Mancati audit per quadri normativi come HIPAA, GLBA o GDPR
Assumere la conformità NIST 800-88, senza ottenerla
Noi di DriveSavers abbiamo trovato dati su dispositivi che erano stati "cancellati" secondo le procedure standard, tra cui HDD aziendali, SSD crittografati e hardware di data center destinati al riciclaggio.
Il problema di solito non è cosa è stato fatto - è che nessuno ha verificato che il processo ha funzionato.
Le sviste tecniche nella sanificazione dei dati non sono solo rischi operativi, ma anche responsabilità legali. Quando i dati rimangono accessibili sui dispositivi dismessi, le organizzazioni possono trovarsi in violazione di norme sulla privacy, regole del settore o obblighi contrattualiindipendentemente dal fatto che il processo di cancellazione sia stato seguito in buona fede.
Gli organismi di regolamentazione e i tribunali non si limitano a chiedere quale metodo avete utilizzato - chiedono come si sa che ha funzionato.
Questo vale per tutti i tipi di supporti: HDD nei server, SSD nei laptop e unità estratte dagli array di archiviazione aziendali. Se un dispositivo contiene dati sensibili o regolamentati e in seguito si scopre che contiene informazioni recuperabili, la vostra organizzazione può essere ritenuta responsabile.
Regolamenti chiave che richiedono la distruzione verificata dei dati
HIPAA
(Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria).
Le organizzazioni sanitarie devono salvaguardare e smaltire correttamente le cartelle cliniche dei pazienti, comprese quelle archiviate su supporti elettronici.
GLBA
(Legge Gramm-Leach-Bliley)
Gli istituti finanziari sono tenuti a proteggere le informazioni sui clienti ai sensi della Safeguards Rule, anche attraverso lo smaltimento sicuro dei dati.
Regola di smaltimento della FTC
Richiede alle aziende di adottare "misure ragionevoli" per smaltire i dati dei consumatori memorizzati su supporti digitali - non solo di tentare di cancellarli.
CCPA E GDPR
Le leggi sulla privacy a livello globale richiedono sempre più spesso che i dati personali vengano cancellati in modo sicuro su richiesta o quando non sono più necessari, e che le organizzazioni dimostrare che è stato cancellato.
Il costo delle assunzioni: Un esempio del mondo reale
In un caso ampiamente riportato dal Il RegistroMorgan Stanley si è affidata a un fornitore terzo per lo smaltimento di vecchie apparecchiature di archiviazione. Tale fornitore ha venduto migliaia di dispositivi senza cancellare correttamente i dati, con conseguente esposizione di informazioni di identificazione personale (PII).
Nonostante l'esternalizzazione del lavoro, Morgan Stanley è stata comunque ritenuta responsabile:
$35 milioni di multa SEC
$60 milioni di euro dall'Ufficio del Controllore della Moneta
$60 milioni di dollari di risarcimento per un'azione collettiva
Totale passività: $155 milioni di euro
Il problema non è stato che i dati non dovevano essere cancellati, ma che nessuno ha verificato che lo era.
Perché la verifica è importante
Se la vostra organizzazione viene sottoposta a un audit, a un'azione legale o se vi viene chiesto di dimostrare la conformità, l'intento non può essere difeso senza prove. È qui che verifica della cancellazione diventa uno strumento essenziale di gestione del rischio e di tutela legale, non solo un passaggio tecnico.
Un certificato di distruzione o di verifica può fare la differenza tra una lacuna di conformità e una posizione difendibile.
Se la vostra organizzazione segue la norma NIST 800-88 e applica il metodo di cancellazione appropriato (Clear, Purge o Destroy), siete già sulla strada giusta. Ma negli ambienti regolamentati e ad alto rischio, questa è solo una parte dell'equazione.
Non perdete il passo che dimostra che ha funzionato.
Verifica della cancellazione è il livello finale di un processo completo di sanificazione dei dati, un metodo per garantire che i supporti di memorizzazione non contengano più dati recuperabili. e fornire documentazione per dimostrarlo.
Che cos'è la verifica della cancellazione?
La verifica della cancellazione è una processo di validazione forense che conferma se i dati sono stati completamente ed effettivamente rimossi da un dispositivo di archiviazione, utilizzando tecniche che vanno oltre ciò che gli strumenti di cancellazione standard o gli audit IT possono rilevare.
Il Servizio di verifica della cancellazione dei dati a DriveSaver è stato creato appositamente per aiutare le organizzazioni a colmare il divario di conformità e garanzia. Dopo decenni di recupero dei dati da dispositivi che si riteneva fossero puliti, abbiamo progettato un metodo per test per verificare l'insuccesso, prima che diventi una violazione.
Come si svolge il processo
1 Presentazione: L'utente fornisce i dispositivi da verificare: singole unità, interi server o inventario misto.
2 Analisi forense: I nostri ingegneri eseguono test di recupero dati utilizzando metodi standard e proprietari per rilevare i dati residui.
3 Rapporti dettagliati: Forniamo un rapporto che indica se sono stati trovati dati recuperabili, il tipo di dati e la loro posizione.
4 Certificato di verifica: Per i dispositivi che superano l'esame, rilasciamo una documentazione formale che conferma che il supporto soddisfa le aspettative di risultato NIST 800-88: un bene prezioso per gli audit e i registri interni.
La verifica non è necessaria per ogni dispositivo o scenario; tuttavia, nei casi che riguardano dati ad alto rischio, settori regolamentati o smantellamenti su larga scala, diventa essenziale. In queste situazioni, la differenza tra la presunta conformità e l'effettiva protezione si riduce alla prova.
Non si tratta solo di cancellare i dati, ma anche di dimostrare che è stato cancellato, su tutti i tipi di supporto e in ogni fase del processo di smaltimento.
Ecco i momenti più comuni - e più critici - in cui utilizzare un servizio di verifica della cancellazione dei dati.
Scenari chiave per la verifica della cancellazione
Ritiro del dispositivo
Lo smantellamento di computer portatili, server o apparecchiature dei data center degli utenti finali richiede una verifica per garantire l'efficacia degli sforzi di cancellazione, anche in caso di inventari di grandi dimensioni e tipi di dispositivi diversi.
Preparazione di audit normativi o interni
I settori vincolati da HIPAA, GLBA, GDPR o altre leggi sulla privacy spesso richiedono alle organizzazioni di dimostrare che i dispositivi sono stati sanificati correttamente. La verifica fornisce documentazione da mostrare ai revisori o i team legali, non solo i registri o le richieste dei fornitori.
Supervisione del fornitore e convalida della cancellazione
Se vi affidate a un fornitore di ITAD di terze parti, a un riciclatore o a un team IT interno, la verifica offre conferma oggettiva che il loro processo soddisfi le aspettative, prima che la responsabilità lasci le vostre mani.
Prima della rivendita, della donazione o del reimpiego
I dispositivi che lasceranno il controllo dell'organizzazione devono essere verificati dopo essere stati crittografati o cancellati. Una volta che un dispositivo non è più in vostro possesso, il rischio di recupero diventa la vostra responsabilità.
Testare nuovi strumenti o processi
State pensando di cambiare software di cancellazione, di aggiornare le SOP di sanificazione o di assumere un nuovo fornitore? La verifica vi permette di testare i risultati in un ambiente controllatoin modo da essere sicuri prima di andare in onda.
Un livello di garanzia pratico e difendibile
La verifica aiuta i responsabili IT a confermare il proprio lavoro, fornisce ai team di conformità una documentazione su cui basarsi e protegge l'azienda in caso di problemi.
Seguire la norma NIST 800-88, utilizzare strumenti di cancellazione sicura e rivolgersi a fornitori qualificati sono tutti passi importanti per la protezione dei dati, ma nessuno di questi è in grado di garantire la sicurezza dei dati. garanzia che il lavoro è stato completato.
La presunzione non è una garanzia, sia che si tratti di sanificare laptop, HDD nei server, SSD nelle workstation o array di storage nel data center.
In ambienti ad alto rischio e regolamentati, ci si aspetta che le organizzazioni facciano di più che agire in buona fede: ci si aspetta che forniscano prova. La prova non è incorporata nel processo di cancellazione stesso. La prova è data dalla verifica indipendente che i dati sono stati cancellati e dalla documentazione a sostegno di tale affermazione.
Ecco perché la verifica della cancellazione è importante:
Supporta la vostra strategia di conformità
Protegge il vostro audit trail
Rafforza la fiducia nei vostri processi
E riduce il rischio che una mancanza di oggi diventi una responsabilità di domani.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)