Likvidace nosičů dat a jejich obsahu v teorii a praxi, část I.

Likvidace nosičů dat a jejich obsahu v teorii a praxi, část I.

V době, kdy se pozornost v oblasti bezpečnosti IS/IT obrací na různé sofistikované metody a nástroje pro zajišťování a zvyšování bezpečnosti v procesu od návrhu až po užívání IS, o nichž se píše v minulých ročnících DSM, se poněkud na okraji zájmu ocitla problematika ochrany obsahu fyzických nosičů dat, a to zejména v souvislosti s ukončením jejich užívání. Článek se proto věnuje v prvním dílu teoretickým požadavkům i praktickým zkušenostem v oblasti likvidace nosičů dat a jejich obsahu. Ve druhém dílu budou čtenáři seznámeni s výsledkem průzkumu, který uskutečnila redakce DSM, a z toho plynoucími závěry a doporučeními.

 

nosiče dat          likvidace nosičů dat           likvidace informací           technické normy            zákon o kybernetické bezpečnosti

 Část I.

Úvod

Podle informací autora není ve velkém množství organizací této problematice věnována dostatečná pozornost. V minulosti se vyskytly případy, kdy i tajné služby nebo policie prodávaly počítače či disky obsahující citlivá data do bazarů. 1,2,3 Podle jiného zdroje 42 % použitých pevných disků prodávaných na eBay obsahuje citlivá data.4 U nás se používají místo eBay převážně bazary a obchody s použitými počítači, případně dochází k darům nejrůznějším neziskovým organizacím, ale výsledek by asi mohl být podobný.

Různé právní a technické předpisy a normy se problematikou likvidace nosičů dat a jejich obsahu zabývají. Nicméně je třeba předpokládat, že šedivá je teorie a zelený je strom života. Proto se v rámci přípravy tohoto příspěvku uskutečnil průzkum, jak je prováděna tato likvidace v různých organizacích. Začněme ale teorií neboli právní a normativní úpravou likvidace nosičů dat a jejich obsahu.

Likvidace nosičů s utajovanými informacemi

Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (UtInfZ)

Zařízení fyzického ničení nosičů informací spadají podle tohoto zákona do oblasti fyzické bezpečnosti jako tzv. technické prostředky. Tyto prostředky jsou bodově hodnoceny v závislosti na vyhodnocení rizik a mohou být certifikovány podle § 46 odst. 1 písm. a) zákona. Upřesnění nalezneme ve vyhlášce č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků (viz Příloha č. 1, část 9). U zařízení fyzického ničení nosičů informací nebo dat se v závislosti na typu (od 0 do 4) upravuje požadovaná maximální velikost odpadních částic a jejich provedení pro tyto nosiče:

  1. papír, film z polyesteru s uložením informace v originální velikosti, kov, umělá hmota, identifikační karty, magnetické pásky, pevné disky, diskety, kompaktní disky a obdobné nosiče,
  2. film z polyesteru s uložením informace ve zmenšené velikosti – mikrofilm, čipové karty, paměťové čipy a obdobné nosiče,
  3. umělá hmota, např. identifikační karty.

Tomu odpovídá i použitelnost pro jednotlivé stupně utajení.

V principu jde o to, že některé varianty jsou plošky o extrémně malých rozměrech (dokonce až ≤ 0,2 mm2), někdy jde o pruhy s přímým nebo křížovým řezem, ale někdy je možná velikost plochy částic nastavena až do 320 mm2. Samostatnou kategorií je zařízení fyzického ničení nosičů informací typu 0 pro ničení utajovaných informací stupně utajení přísně tajné nebo nižší, kde se předpokládá spálení nebo roztavení nosičů, přičemž teplota, které budou vystaveny, a doba jejího působení musí vést k jejich úplnému zničení. Odpovědná nebo pověřená osoba, která provádí vyřazování utajované informace, zajistí, že použitím metody spálení nebo roztavení dojde k úplnému zničení nosiče a nemožnosti obnovení utajované informace.

Podle názoru autora článku je tato metoda velmi účinná; problémem je nutnost fyzické přítomnosti osoby při tomto procesu, přičemž míst, kde lze takové spálení realizovat, není příliš mnoho. Zatímco vysokých pecí, kde dříve byla prováděna likvidace utajovaných informací státními orgány i socialistickými podniky, již je v ČR naprosté minimum, máme ale k dispozici spalovny odpadu. Spalovat lze nejen běžný komunální odpad, ale také průmyslový a zdravotnický odpad nebo čistírenské kaly. Komunální odpad je spalován nízkoteplotně při teplotách 800–900 °C. Ke spalování nebezpečných odpadů se používá vysokoteplotní spalování v rotačních cementových pecích při teplotách 1 200 –1 500 °C.5 Zpracování komunálního odpadu je možné v Praze, Plzni, Liberci, Brně; zpracování průmyslového a zdravotnického odpadu – Praha – FN Motol, Kralupy nad Vltavou, Kolín, nemocnice Benešov, Strakonice, Plzeň, Trmice, Jablonec nad Nisou, FN Hradec Králové, léčebna Luže, nemocnice Pardubice, Nové Město na Moravě, Jihlava, Pustiměř, Prostějov, Valašské Meziříčí, Ostrava.6 Zkoumat možnosti jejich využití (obchodní podmínky) je již nad rámec tohoto článku, nicméně autor se domnívá, že zásadním bezpečnostním rizikem z hlediska likvidace nosičů bude nemožnost přítomnosti odpovědné osoby při vlastním spálení nosičů dat.

Druhou variantou je řešení svépomocí, což lze uskutečnit v poměrně širokém rozmezí: od ohníčku na zahradě až po použití průmyslové pece. Problémem bude nicméně prokazatelné dosažení stavu požadovaného vyhláškou, tj. „úplné zničení nosiče a nemožnost obnovení utajované informace“.

Zvlášť je v zákonu upravena bezpečnost informačních a komunikačních systémů, kam jsou podle § 34 zahrnuty i prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací. Další upřesnění je ponecháno na prováděcích předpisech. Tím je vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor. V ní stanoví § 15 Požadavky na bezpečnost nosičů utajovaných informací, přičemž platí:

(6) Vymazání utajované informace z nosiče utajovaných informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby utajovaná informace uložená na nosiči během jeho dosavadního životního cyklu byla obtížně zjistitelná i při použití laboratorních metod. Podmínky a postupy bezpečného vymazání stanoví Úřad v bezpečnostním standardu, postup musí být uveden v provozní bezpečnostní dokumentaci certifikovaného informačního systému a schválen v rámci jeho certifikace.

(7) Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby se znemožnilo utajovanou informaci z něho opětovně získat.

NBÚ uveřejnil v dubnu 2007 metodický pokyn „Používání FireWire a USB portu a bezpečnostní aspekty pamětí typu flash“.7 Zde se uvádí v částech 6.3 a 6.4 pro oblast IS nakládajících s utajovanými informacemi (viz Box 1 a 2).

Screenshot 2020 10 05 at 13.17.58

Screenshot 2020 10 05 at 13.18.12

Autorovi se díky ochotě pracovníků NÚKIB podařilo zjistit, že NBÚ vydalo v roce 2012 bezpečnostní standard k provedení § 15 odst. 6 vyhlášky, jehož prosazování přešlo z důvodu delimitace na NÚKIB. Jedná se o BEZPEČNOSTNÍ STANDARD NBÚ 1/2012 – Bezpečné vymazání informací z nosiče utajovaných informací, které umožňuje opětovné užití, snížení a zrušení stupně utajení nosiče.

Podle NÚKIB: „Tento standard stanoví podmínky a postupy bezpečného vymazání a bezpečnostní zásady pro ochranu utajované informace v komunikačních a informačních systémech včetně mobilních a přenosných informačních systémů a zařízení, která nejsou součástí informačního nebo komunikačního systému, za splnění podmínek důvěrnosti a nepopiratelnosti. Standard upravuje postupy při zvládání bezpečnostních rizik spojených se zajištěním důvěrnosti informací, která mohou vyvstat při nakládání s nosiči utajovaných informací, která jsou uvolněna pro opětovné užití v rámci bezpečného prostředí nebo jsou uvolněna do méně bezpečného prostředí (např. z důvodu opravy, výměny, opětovného užití atd.).“

Podle sdělení NÚKIB se jedná o utajovaný standard stupně utajení Vyhrazené a je poskytován pouze oprávněným provozovatelům certifikovaných systémů. Úřad pouze uvedl, že standard vycházel z mezinárodně platných směrnic EU a NATO a dalších zdrojů (viz Použité zdroje).

V závěru konstatoval: „V oblasti související se ZKB je na toto téma zaměřena příloha č. 4 k vyhlášce č. 82/2018 Sb. Jiná doporučení v současné době neexistují.“

Likvidace dat podle ZKB

Podle zákona o kybernetické bezpečnosti, resp. prováděcí vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, § 4 odst. 1 písm. j) povinná osoba v rámci řízení aktiv určí způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv v souladu s přílohou č. 4 k této vyhlášce. Úrovní aktiv se myslí hodnocení důležitosti aktiv podle přílohy č. 1 vyhlášky, přičemž podle stupnice pro hodnocení důvěrnosti se vyžaduje likvidace/mazání aktiva na úrovních Nízká, Střední, Vysoká a Kritická dle stejnojmenné požadované úrovně důvěrnosti.

V obecné rovině odst. 2 Přílohy č. 4 vyhlášky č. 82/2018 Sb. uvádí: „Jednotliví správci informačního a komunikačního systému si stanoví pravidla pro mazání dat a likvidaci technických nosičů dat v souladu s touto přílohou. Tím nejsou dotčeny povinnosti podle jiných právních předpisů. Je nutné zvolit adekvátní úroveň služby nabízející přiměřená bezpečnostní opatření včetně adekvátních pravidel pro mazání dat a likvidaci technických nosičů dat vzhledem k hodnotě a důležitosti aktiv.

Co se týká sdělení, že tím nejsou dotčeny povinnosti podle jiných právních předpisů, pak zcela jistě půjde o povinnosti podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti podle přímo působících předpisů EU nebo NATO apod., viz výše. V dalším se již požaduje vlastní úvaha a rozhodnutí povinné osoby, která má zvolit adekvátní úroveň služby nabízející přiměřená bezpečnostní opatření včetně adekvátních pravidel. Škála možností je poměrně široká – můžeme se pohybovat od absolutní bezstarostnosti až po totální paranoiu. Všichni ale víme, že jen paranoidní přežívají, a tak je lépe více než méně.

Screenshot 2020 10 05 at 13.17.29

Jistým vodítkem u těchto úvah může být odst. 3 (viz Box 3). V odst. 4 jsou rozlišovány tyto způsoby likvidace technických nosičů informace a informací (dat) samotných:

  1. odstranění (např. odstranění datového souboru, vyhození tištěného dokumentu do odpadu) – pro úroveň důvěrnosti aktiva Nízká,
  2. přepsání (informace nahodilými hodnotami) – pro úroveň důvěrnosti aktiva Nízká až Kritická (je zřejmé, že tento postup bude nutno vzhledem k „rozkročení“ metody podrobit analýze, viz dále),
  3. fyzická likvidace nosiče informace – jde o nejbezpečnější metodu likvidace dat, pokud máme nad ní dostatečnou kontrolu, pak je použitelná pro úroveň důvěrnosti aktiva Střední až Kritická.

Příklad možných způsobů likvidace podle úrovně důvěrnosti aktiva je uveden v Příloze č. 4 vyhlášky (viz Tab. 1).

Screenshot 2020 10 05 at 13.16.59

Technické normy

Norem pro bezpečné odstranění obsahu nosičů dat je mnoho (viz také sdělení NÚKIB výše):

Většina organizací, které nabízejí dodávky zařízení nebo služby likvidace nosičů dat, se v ČR odkazuje na normu DIN 66399, některé ještě uvádějí bez dalšího upřesnění např. „sjednoceno s normou: ISO/IEC 21964“. Norma definuje tři úrovně ochrany podle citlivosti dat, sedm stupňů bezpečnosti dokumentů a šest typů datových nosičů. Čím vyšší je stupeň bezpečnosti, tím větší jsou požadavky na ochranu dat a tím jsou skartované částice menší (viz Box 4).

Screenshot 2020 10 05 at 13.17.44

Screenshot 2020 10 05 at 13.26.18

O obsahu normy DIN 66399 lze nejlépe získat představu z Obr. 118.

Zatímco v oblasti skartovaček, a to i takových, které se snadno vypořádají s „měkkými“ nosiči dat (diskety, CD/DVD, čipové karty apod.), existuje široká nabídka, jak je již zmíněno výše, likvidace pevných disků zůstává pravděpodobně největším problémem dneška.

Screenshot 2020 10 05 at 13.16.27

Poznámky pod čarou:

  1. Pevný disk s kapacitou 20 GB, který si student z Postupimi koupil na internetové aukci eBay za 20 €, obsahoval citlivá data policejního oddělení v Brandenburgu. Na disku byly dokumenty s postupy při specifických incidentech, jako jsou únosy nebo záchrana rukojmí, i s kontakty na lidi z krizových štábů, taktickými rozkazy a analýzou bezpečnostních situací. Zdroj: https://www.zive.cz/bleskovky/student-koupil-na-ebay-disk-s-tajnymi- -informacemi-nemecke-policie/sc-4-a-123921/default.aspx.
  2. V Oklahomě jistý muž koupil v bazaru MP3 přehrávač s velmi citlivými daty americké armády včetně osobních údajů vojáků sloužících v Iráku či v Afghánistánu, které zahrnovaly i čísla sociálního pojištění. Zdroj: https://www.lupa.cz/clanky/disky-z-ebay-casto-obsahuji-citlive-informace/.
  3. Na pevném disku použitého počítače zakoupeného na eBay byly nalezeny citlivé údaje, které podrobně uvádějí spouštěcí postupy pro vojenský protiraketový obranný systém USA. Zdroj: https://www.telegraph.co.uk/news/worldnews/northamerica/usa/5289638/Sensitive-US-missile-defence- data-found-on-computer-disk-bought-on-eBay.html.
  4. Truta, F. 42 % of used drives sold on eBay hold sensitive data, researchers find. Zdroj: https://hotforsecurity.bitdefender.com/blog/42-of-used- -drives-sold-on-ebay-hold-sensitive-data-researchers-find-21118.html.
  5. https://www.siegl.cz/blog/likvidace/jak-funguji-spalovny-odpadu-a-kde-je-v-cr-najdete
  6.  http://portal.chmi.cz/files/portal/docs/uoco/oez/emise/spalovny/spalovny.xls
  7. NBÚ. Používání FireWire a USB portu a bezpečnostní aspekty pamětí typu „flash“. Metodický pokyn, verze 1, duben 2007. Dostupný na https://www.nukib.cz/download/bezpecnost-informacnich-systemu/IS/metodicky-pokyn-firewire-a-usb-portu.pdf.
  8. Asi nepůjde o hořák kuchyňský, ale autogen v úvahu připadá. Podle různých zdrojů směs acetylénu a kyslíku umožňuje dosáhnout teploty plamene až okolo 3 200 °C, jako hořlavý plyn lze využít i vodík nebo propan, ale teplota plamene je nižší (max. 2 500 °C). To stačí ke svařování kovů s nižším bodem tavení, jako je hliník, hořčík nebo olovo, ale není dostatečné pro sváření oceli.
  9. Multitenantní aplikace umožňuje zákazníkům (tenantům) sdílet stejné hardwarové zdroje prostřednictvím poskytování sdílené aplikace a databáze, kdy jednotliví zákazníci používají jednu instanci aplikace a databáze. Tím dochází ke sdílení nosičů dat. U přístupu vyhrazeného (dedikovaného) by se tak stát nemělo, ale dle názoru autora pouze varianta izolovaného prostředí může toto spolehlivě zaručit.
  10. https://www.office2000.cz/clanek/55-stupne-utajeni-podle-normy- -din-66399
  11. Strašlivý termín „sanitizace“ pravděpodobně pochází z bezpečnostního standardu PCI DSS (Payment Card Industry Data Security Standard), který je postaven na normách řady ISMS ISO/IEC 27000 se zaměřením na bezpečnost platebních karet a transakcí.
  12. PCI DSS (Payment Card Industry Data Security Standard). Requirements and Security Assessment Procedures. Version 3.2.1, May 2018
  13. Department of Defense (DoD) 5220.22-M, Change 2, National Industrial Security Program Operating Manual, May 18, 2016
  14. Kissel, R., Regenscheid, A., Scholl, M., Stine, K. NIST Special Publication 800-88. Revision 1. Guidelines for Media Sanitization. National Institute of Standards and Technology (NIST), December 2014. Dostupné na http://dx.doi.org/10.6028/NIST.SP.800-88r1
  15. HMG IA/IS 5 Secure Sanitisation of Protectively Marked Information or Sensitive Information. https://www.ncsc.gov.uk/guidance/secure-sanitisation- storage-media
  16. British Standards Institution 2020 17 https://din66399.de/ 18 https://www.univox.cz/jak-si-vybrat-skartovacku/t-257/

Použité zdroje:

[ 1 ] Information Assurance Security Guidelines on Reuse, Downgrading and Declassification of Computer Storage Media, IASG BP-09, Draft, Version 0.07, 7 February 2011

[ 2 ] NIST 800-88 – Guidelines for Media Sanitization; National Institute of Standards and Technology, September 2006

[ 3 ] HMG IA Standard No. 5 Secure Sanitisation of Protectively Marked or Sensitive Information, Issue No: 2.1, October 2008

[ 4 ] AC/322(SC/4-AHWG/2)WP(2009)0001 (INV), Technical and Implementation Directive on Downgrading, Declassification and Destruction of System Equipment Storage Media, 27 March 2009

Vytisknout