NIST 800-88 i weryfikacja usunięcia danych
NIST 800-88 i
Wytyczne NIST 800-88 wymagają, aby po przeprowadzeniu czyszczenia danych organizacje lub wykonawcy zweryfikowali brak dostępu do danych i w razie potrzeby wystawili certyfikat. Twoja firma powinna zachować pisemny dowód przeprowadzenia czyszczenia danych.
The Register skontaktował się z firmą DriveSavers, aby uzyskać ekspercki komentarz w tej sprawie.
Gdy organizacje wycofują z użytku laptopy, serwery, dyski twarde lub nośniki SSD, większość z nich uważa, że postępuje zgodnie z wytycznymi NIST 800-88 dotyczącymi czyszczenia danych, aby wyeliminować ryzyko i zapewnić zgodność. Jednak w głośnej sprawie opisanej w niedawnym artykule The Register ujawniono, że pewna firma musiała zapłacić ponad 150 milionów dolarów kar i ugód – co wskazuje na krytyczne przeoczenie:
Usunięcie danych nie gwarantuje, że dane zostały całkowicie wyeliminowane.
Niezależnie od tego, czy masz do czynienia z dyskami HDD, SSD, macierzami RAID czy samodzielnymi systemami, nowoczesne technologie pamięci masowej mogą pozostawiać możliwe do odzyskania dane - nawet po "bezpiecznym" usunięciu. Niespójne zachowanie poleceń, ukryte sektory, dziwactwa na poziomie oprogramowania układowego i niekompletne procesy oczyszczania przyczyniają się do jednego ryzyka: dane pozostają dostępne, gdy nie powinny.
Dlatego weryfikacja usunięcia danych jest tak istotna.
W tym artykule wyjaśniamy, czego naprawdę wymaga norma NIST 800-88, dlaczego nośniki danych każdego typu mogą nie spełniać oczekiwań oraz jak usługi weryfikacji niwelują lukę między zamiarem a pewnością.
The Publikacja specjalna NIST 800-88, wersja 1 to wiodące wytyczne dotyczące sanityzacji danych stosowane przez agencje federalne, korporacje i branże regulowane. Zapewnia elastyczne, ale rygorystyczne ramy do określania Jak bezpiecznie usunąć dane z dowolnego urządzenia pamięci masowej - od pojedynczych dysków twardych i SSD po serwery, macierze wielodyskowe i nośniki wymienne.
Jest jednak coś, co wielu osobom umyka:
NIST 800-88 nie określa konkretnych narzędzi - definiuje wyniki.
Aby zachować zgodność, proces sanityzacji musi renderować dane niemożliwe do odzyskania żadną znaną metodą kryminalistyczną. NIST nie dba o to, jak się tam dostaniesz - tylko o to, że to zrobisz.
Trzy metody odkażania
NIST przedstawia trzy poziomy sanityzacji danychw zależności od wrażliwości danych i sposobu późniejszego obchodzenia się z nośnikiem:
Wyczyść
Nadpisuje przestrzeń dyskową niewrażliwymi danymi przy użyciu standardowych poleceń odczytu/zapisu. Może to obejmować ponowne formatowanie, przywracanie ustawień fabrycznych lub podstawowe narzędzia do nadpisywania. Jednak niektóre sektory - zwłaszcza te używane do dzienników systemowych lub poziomowania zużycia - mogą być niedostępne przy użyciu tej metody.
Oczyszczenie
Wykorzystuje bardziej zaawansowane techniki, takie jak wymazywanie kryptograficzne lub polecenia bezpiecznego wymazywania wbudowane w oprogramowanie układowe pamięci masowej. Metoda ta jest ukierunkowana na niedostępne obszary urządzenia i zapewnia większą pewność, że dane nie zostaną odzyskane - nawet z ukrytych lub przemapowanych sektorów.
Zniszczenie
Fizyczne uszkodzenie nośnika (np. rozdrobnienie, stopienie, spalenie) w celu uniemożliwienia ponownego użycia i wyeliminowania możliwości odzyskania danych. Często stosowane w przypadku bardzo wrażliwych danych lub gdy urządzenie opuszcza kontrolę organizacyjną.
Dlaczego to ma znaczenie
Nawet jeśli zespół IT lub dostawca przeprowadza czyszczenie, które wydaje się być zgodne z tymi kategoriami, zgodność z NIST wymaga dowody na to, że wynik został osiągnięty - a nie tylko, że metoda została zastosowana.
Jest to krytyczna luka w zakresie zgodności, którą wiele organizacji pomija - i gdzie weryfikacja usuwania danych staje się niezbędna.
Postępowanie zgodnie z NIST 800-88 jest krytycznym krokiem w bezpiecznym usuwaniu danych - ale nawet jeśli organizacje zastosują odpowiednią metodę sanityzacji (Clear, Purge lub Destroy), nie gwarantuje to rezultatu.
W rzeczywistych warunkach dane można odzyskać z szeroki zakres urządzeń pamięci masowejw tym dyski twarde (HDD), dyski półprzewodnikowe (SSD), serwery korporacyjne i wielodyskowe systemy pamięci masowej. Zagrożenia te nie wynikają z intencji, ale z złożoność techniczna i operacyjna nowoczesnego przechowywania danych.
"Tylko dlatego, że dysk został "wymazany", nie zawsze oznacza, że dane naprawdę zniknęły".
Mike Cobb
Dyrektor ds. inżynierii w DriveSavers, za pośrednictwem The Register
Typowe punkty awarii w procesach wymazywania danych
Dane szczątkowe w obszarach niedostępnych
Wiele urządzeń pamięci masowej zawiera sektory, do których standardowe narzędzia do nadpisywania nie mogą dotrzeć - w tym przemapowane bloki, uszkodzone sektory, nadmiarową przestrzeń i regiony zarezerwowane przez system. Na dyskach HDD może to obejmować HPA (Host Protected Area); na dyskach SSD poziom zużycia i ukryte rezerwy stwarzają podobne wyzwania.
Niespójne zachowanie oprogramowania sprzętowego
Polecenia bezpiecznego wymazywania danych (w tym te wbudowane w oprogramowanie sprzętowe dysków) nie są konsekwentnie wdrażane przez różnych producentów. W niektórych przypadkach polecenie może zostać wykonane bez pełnego oczyszczenia wszystkich logicznych i fizycznych obszarów urządzenia.
Złożone konfiguracje serwerów i macierzy RAID
W serwerach i macierzach pamięci masowej dane mogą być dublowane, paskowane lub buforowane na wielu dyskach, co utrudnia sprawdzenie, czy każda kopia każdego bloku została w pełni usunięta. Błędnie skonfigurowane woluminy logiczne lub pozostałości migawek mogą również przetrwać bez wykrycia.
Szyfrowanie ≠ Wymazywanie
Szyfrowanie pomaga ograniczyć możliwość odzyskania danych, ale jest skuteczne tylko wtedy, gdy klucze szyfrowania zostaną całkowicie zniszczone. Jeśli klucze są przechowywane w systemach zewnętrznych (np. odzyskiwanie BitLocker w chmurze), zaszyfrowane dane mogą być nadal podatne na ataki.
Dlaczego stanowi zagrożenie dla zgodności
Z daleka może się wydawać, że proces usuwania danych zakończył się pomyślnie. Jednak bez niezależnej walidacji wyniku, organizacje narażają się na ryzyko:
Wyciek poufnych danych za pośrednictwem wycofanych z eksploatacji lub odsprzedanych urządzeń
Nieudane audyty pod kątem ram regulacyjnych, takich jak HIPAA, GLBA lub RODO.
Zakładanie zgodności z NIST 800-88 - bez jej osiągnięcia
W DriveSavers znaleźliśmy dane na urządzeniach, które zostały "wyczyszczone" zgodnie ze standardowymi procedurami - w tym na korporacyjnych dyskach twardych, zaszyfrowanych dyskach SSD i sprzęcie centrum danych przeznaczonym do recyklingu.
Problemem nie jest zazwyczaj co zostało zrobione - to jest to nikt nie zweryfikował że proces zadziałał.
Niedopatrzenia techniczne w zakresie sanityzacji danych to nie tylko ryzyko operacyjne - to także zobowiązania prawne. Gdy dane pozostają dostępne na wycofanych z eksploatacji urządzeniach, organizacje mogą naruszyć następujące przepisy przepisy dotyczące prywatności, zasady branżowe lub zobowiązania umowneniezależnie od tego, czy proces usuwania został przeprowadzony w dobrej wierze.
Organy regulacyjne i sądy nie tylko pytają jakiej metody użyłeś - pytają Skąd wiadomo, że zadziałało.
Dotyczy to wszystkich typów nośników: dysków twardych w serwerach, dysków SSD w laptopach i dysków wyciągniętych z macierzy pamięci masowej przedsiębiorstwa. Jeśli urządzenie przechowywało dane wrażliwe lub podlegające regulacjom, a później okaże się, że zawiera informacje możliwe do odzyskania, organizacja może zostać pociągnięta do odpowiedzialności.
Kluczowe przepisy wymagające zweryfikowanego niszczenia danych
HIPAA
(Ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych)
Organizacje opieki zdrowotnej muszą zabezpieczać i prawidłowo usuwać dokumentację pacjentów, w tym dokumentację przechowywaną na nośnikach elektronicznych.
GLBA
(Ustawa Gramm-Leach-Bliley)
Instytucje finansowe są zobowiązane do ochrony informacji o klientach zgodnie z zasadą bezpieczeństwa - w tym poprzez bezpieczne usuwanie danych.
Zasada FTC dotycząca usuwania odpadów
Wymaga od firm podjęcia "rozsądnych środków" w celu pozbycia się danych konsumentów przechowywanych na nośnikach cyfrowych - a nie tylko próby ich usunięcia.
CCPA I RODO
Globalne przepisy dotyczące prywatności coraz częściej wymagają, aby dane osobowe były bezpiecznie usuwane na żądanie lub gdy nie są już potrzebne - oraz aby organizacje udowodnić, że został usunięty.
Koszt założenia: Przykład z prawdziwego świata
W szeroko opisywanym przez RejestrFirma Morgan Stanley polegała na zewnętrznym dostawcy, który zajmował się utylizacją starego sprzętu do przechowywania danych. Sprzedawca ten sprzedał tysiące urządzeń bez odpowiedniego wyczyszczenia danych, co doprowadziło do ujawnienia informacji umożliwiających identyfikację osób (PII).
Pomimo outsourcingu pracy, Morgan Stanley nadal ponosił odpowiedzialność:
$35 milionów grzywny nałożonej przez SEC
$60 milionów od Urzędu Kontrolera Waluty
$60 milionowa ugoda w sprawie pozwu zbiorowego
Całkowite zobowiązanie: $155 milionów
Awaria nie polegała na tym, że dane nie miały zostać usunięte - chodziło o to, że nikt nie zweryfikował że tak było.
Dlaczego weryfikacja ma znaczenie
Jeśli organizacja zostanie poddana audytowi, pozwana lub poproszona o wykazanie zgodności z przepisami, bez dowodu nie da się obronić intencji. W tym miejscu Weryfikacja wymazywania staje się istotnym narzędziem zarządzania ryzykiem i ochrony prawnej - a nie tylko krokiem technicznym.
Certyfikat zniszczenia lub weryfikacji może stanowić różnicę między luką w zgodności a możliwą do obrony pozycją.
Jeśli Twoja organizacja postępuje zgodnie z NIST 800-88 i stosuje odpowiednią metodę usuwania danych - Clear, Purge lub Destroy - jesteś już na dobrej drodze. Ale w środowiskach regulowanych i wysokiego ryzyka to tylko część równania.
Nie przegap kroku, który dowodzi, że to zadziałało.
Weryfikacja wymazywania jest ostatnią warstwą w kompleksowym procesie sanityzacji danych, metodą zapewniającą, że nośniki pamięci nie zawierają już danych możliwych do odzyskania oraz zapewniać ddokumentacja, aby to udowodnić.
Czym jest weryfikacja wymazywania?
Weryfikacja wymazywania to proces walidacji kryminalistycznej która potwierdza, czy dane zostały w pełni i skutecznie usunięte z urządzenia pamięci masowej - przy użyciu technik wykraczających poza to, co mogą wykryć standardowe narzędzia do usuwania danych lub audyty IT.
The Usługa weryfikacji usuwania danych na DriveSavers została stworzona specjalnie po to, aby pomóc organizacjom wypełnić lukę w zakresie zgodności i bezpieczeństwa. Po dziesięcioleciach odzyskiwania danych z urządzeń uznawanych za czyste, opracowaliśmy sposób na test na awarię - zanim stanie się naruszeniem.
Jak wygląda proces
1 Zgłoszenie: Użytkownik dostarcza urządzenia do weryfikacji - pojedyncze dyski, całe serwery lub zasoby mieszane.
2 Analiza kryminalistyczna: Nasi inżynierowie przeprowadzają testy odzyskiwania danych przy użyciu zarówno standardowych, jak i zastrzeżonych metod wykrywania pozostałości danych.
3 Szczegółowe raportowanie: Dostarczamy raport wskazujący, czy znaleziono jakiekolwiek możliwe do odzyskania dane, ich typ i lokalizację.
4 Certyfikat weryfikacji: W przypadku urządzeń, które przejdą pomyślnie test, wystawiamy formalną dokumentację potwierdzającą, że nośnik spełnia oczekiwania NIST 800-88 - jest to cenny zasób na potrzeby audytów i dokumentacji wewnętrznej.
Weryfikacja nie jest konieczna w przypadku każdego urządzenia lub scenariusza; jednak w przypadkach związanych z danymi wysokiego ryzyka, branżami regulowanymi lub likwidacją na dużą skalę staje się niezbędna. W takich sytuacjach różnica między zakładaną zgodnością a rzeczywistą ochroną może sprowadzać się do dowodu.
Nie chodzi tylko o usuwanie danych - chodzi o udowadniając, że zostały usunięte - na wszystkich typach nośników, na każdym etapie procesu usuwania.
Oto najczęstsze - i najbardziej krytyczne - momenty korzystania z usługi weryfikacji usuwania danych.
Kluczowe scenariusze weryfikacji wymazywania
Wycofanie urządzenia
Likwidacja laptopów użytkowników końcowych, serwerów lub sprzętu centrum danych wymaga weryfikacji, aby upewnić się, że wysiłki związane z usuwaniem danych są skuteczne - nawet w przypadku dużych zapasów i różnych typów urządzeń.
Przygotowanie do audytu regulacyjnego lub wewnętrznego
Branże związane z HIPAA, GLBA, RODO lub innymi przepisami dotyczącymi prywatności często wymagają od organizacji wykazania, że urządzenia zostały odpowiednio zdezynfekowane. Weryfikacja zapewnia dokumentacja, którą można pokazać audytorom lub zespoły prawne - nie tylko dzienniki lub roszczenia dostawców.
Nadzór nad dostawcami i weryfikacja wymazywania
Jeśli polegasz na zewnętrznym dostawcy ITAD, firmie zajmującej się recyklingiem lub wewnętrznym zespole IT, weryfikacja oferuje obiektywne potwierdzenie że ich proces spełnia oczekiwania - zanim odpowiedzialność opuści Twoje ręce.
Przed odsprzedażą, darowizną lub ponownym wdrożeniem
Urządzenia, które opuszczą kontrolę organizacyjną, powinny zostać zweryfikowane po ich zaszyfrowaniu lub wyczyszczeniu. Gdy urządzenie znajdzie się poza twoją kontrolą, ryzyko odzyskania staje się odpowiedzialność.
Testowanie nowych narzędzi lub procesów
Planujesz zmienić oprogramowanie do usuwania danych, zaktualizować procedury SOP sanityzacji lub wdrożyć nowego dostawcę? Weryfikacja pozwala na wyniki testów w kontrolowanych warunkach, abyś był pewny siebie przed rozpoczęciem transmisji na żywo.
Praktyczna, możliwa do obrony warstwa zabezpieczeń
Weryfikacja pomaga liderom IT potwierdzić ich pracę, zapewnia zespołom ds. zgodności dokumentację, na której można się oprzeć, i chroni firmę w przypadku wystąpienia problemu.
Postępowanie zgodnie z NIST 800-88, korzystanie z bezpiecznych narzędzi do usuwania danych i angażowanie wykwalifikowanych dostawców to ważne kroki w zakresie ochrony danych - ale żaden z nich nie jest ważny. gwarancja że zadanie zostało zakończone.
Założenie to nie pewność, niezależnie od tego, czy chodzi o odkażanie laptopów, dysków twardych w serwerach, dysków SSD w stacjach roboczych, czy macierzy pamięci masowej w centrum danych.
W środowiskach wysokiego ryzyka i podlegających regulacjom prawnym od organizacji oczekuje się czegoś więcej niż tylko działania w dobrej wierze - oczekuje się od nich zapewnienia dowód. Dowód ten nie jest wbudowany w sam proces usuwania danych. Pochodzi on z niezależnej weryfikacji, że dane zostały usunięte i posiadania dokumentacji potwierdzającej to twierdzenie.
Dlatego tak ważna jest weryfikacja wymazywania danych:
Wspiera strategię zgodności z przepisami
Chroni ścieżkę audytu
Wzmacnia to zaufanie do procesów
Zmniejsza to ryzyko, że coś pominiętego dzisiaj stanie się jutrzejszym zobowiązaniem
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)