Likvidace nosičů dat a jejich obsahu v teorii a praxi, část II.

Likvidace nosičů dat a jejich obsahu v teorii a praxi, část II.

Tento text navazuje na první část, v níž byly popsány teoretické návody na likvidaci nosičů dat a jejich obsahu. V této druhé části se nacházejí výsledky průzkumu, který uskutečnila redakce DSM, jakož i zkušenosti z praxe a z toho plynoucí závěry a doporučení.

nosiče dat         likvidace nosičů dat       likvidace informací       technické normy zákon o kybernetické bezpečnosti

Část II.

Úvod

V tomto příspěvku se nachází výsledky průzkumu, který provedla redakce DSM v odborných kruzích. Podařilo se získat celkem 48 zcela či částečně vyplněných dotazníků, což při počtu 366 osob, které si dotazník otevřely, představuje výtěžnost 13,1 %. Z hlediska statistického je to již nicméně číslo, se kterým lze pracovat, jakkoli si je redakce vědoma toho, že největší „průšviháři“ se asi nebudou doznávat, byť formou anonymního dotazníku. Takže výsledky, byť nejsou příliš oslnivé, lze považovat za „lesklejší stranu mince“. Závěry přesto nejsou příliš optimistické a článek by měl být jistou výstrahou, jak lehkomyslně se k likvidaci nosičů dat přistupuje a jak nevhodné či nejasné postupy nabízejí komerční „likvidátoři“.

Výsledky dotazníkového průzkumu

1. Klasifikace dat (informací)

Úvodní otázka byla jistým „lakmusovým papírkem“ – měla zjistit, zda u respondenta proběhla klasifikace dat (informací). Jedná se o jeden z nejzákladnějších bezpečnostních požadavků a těžko si lze představit, že kdo neví, jak důležitá data vlastní, se bude starat o jejich ochranu, natož likvidaci. Odpověď vyzněla kladně, byť ne úplně: pouze 64 % respondentů má klasifikaci provedenu. Zajímavé je členění používaných kategorií (viz Obr. 1).

Screenshot 2020 11 30 at 11.10.57Obr. 1: Četnost používání klasifikačních kategorií

Co se týká nejzávažnější kategorie ad f) – dokumenty obsahující utajované informace podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, nebo podle Rozhodnutí Rady č. 2013/488/EU, o bezpečnostních pravidlech na ochranu utajovaných informací EU, nebo podle předpisů NATO, pak rozdělení podle stupně utajení je u respondentů, kterých bylo celkem 27 % (viz Obr. 2).

Screenshot 2020 12 13 at 21.05.50Obr. 2: Zastoupení jednotlivých druhů utajovaných informací

Respondenti pracující s utajovanými informacemi jsou rozděleni napříč všemi kategoriemi rovnoměrněji, než by se dalo očekávat. Autor předpokládal jednostranné normální rozdělení, případně rozdělení s vyšší statistickou špičatostí (špičatost porovnává koncentraci hodnot blízko průměru a dále od něho).

2. Nosiče dat

Z hlediska výskytu jednotlivých typů nosičů dat uvedli respondenti jejich širokou škálu (viz Obr. 3).

Ani jeden druh nosičů dat nelze podle výsledků považovat za nevýznamný, jakkoli s počtem výskytů nad 66 % (tj. nad 2/3) se nacházejí podle očekávání pevné disky, USB disky a čipové karty, kompletní počítače a mobilní telefony. Co je na počátku 21. století smutné, je vysoký výskyt listin (analogových dokumentů); potěšitelné může snad být, že si vlastníci uvědomují jejich existenci coby nosičů důvěrných dat (těžko ovšem říci, zda k tomu nepřispěla návodnost otázky). A poměrně překvapivý je nízký počet odpovědí vztahující se k datům nacházejícím se u externích dodavatelů, např. v cloudu, což nemusí odpovídat realitě.

Screenshot 2020 12 13 at 21.06.26Obr. 3: Zastoupení jednotlivých druhů nosičů dat

3. Nosiče dat zahrnuty do likvidace

Na otázku, u kterých nosičů dat je zajišťována jejich likvidace, odpověděli respondenti, jak je znázorněno na Obr. 4.

Z výše uvedené statistiky lze dovodit, že i přes zohlednění obvyklého zastoupení používaných nosičů nejsou některé nosiče dat dostatečně zastoupeny. Platí to zejména pro tablety, skenery, kopírky, síťové prvky a data nacházející se u externích dodavatelů.

4. Způsoby likvidace nosičů dat

Variabilita až „lidová tvořivost“ v odpovědích, jak probíhá likvidace nosičů dat, neumožňuje přehlednější statistické zpracování. Lze nicméně vydedukovat následující závěry.

Screenshot 2020 12 13 at 21.06.42Obr. 4: Likvidování jednotlivých druhů nosičů dat

Listiny a jiné analogové nosiče dat, optické nosiče dat (CD, DVD)

U listin a optických nosičů dat (CD, DVD) uvádí většina odpovědí obecně „skartaci“, aniž by bylo uvedeno, jak doopravdy probíhá. Přitom skartace je obecný termín vyplývající ze zákona č. 499/2004 Sb., o archivnictví a spisové službě, kde z definice „Skartační řízení je postup, při kterém se vyřazují dokumenty, jimž uplynuly skartační lhůty a jež jsou nadále nepotřebné pro činnost původce“ nijak nevyplývá, jak by ono vyřazení mělo proběhnout. Pouze se uvádí, že některé dokumenty jsou v rámci skartačního řízení předány příslušnému archivu a některé mají být zničeny. Prováděcí předpis, kterým je vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby, pouze říká „Veřejnoprávní původce postupuje při zničení dokumentů, které nebyly vybrány za archiválie, a úředních razítek, která nebyla vybrána za archiválie, tak, že dokumenty v analogové podobě nebo úřední razítka znehodnotí do podoby znemožňující jejich rekonstrukci a identifikaci obsahu“.

Takže budeme vycházet z požadavku právního předpisu, že má dojít k znehodnocení do podoby znemožňující jejich rekonstrukci a identifikaci obsahu, což ovšem musí být naplněno konkrétním postupem. Je otázkou, zda si to účastníci ankety používající blíže nespecifikovaný pojem „skartace“ dokážou nějak konkretizovat. Zcela výjimečně to někteří respondenti specifikují:

  • fyzické zničení (bez dalších podrobností nebo naopak s podrobnostmi spíše úsměvnými – roztrhání do koše),
  • skartace v souladu s vyhláškou NBÚ 528/2008 (taková vyhláška neexistuje, ale díky za alespoň takový odkaz; pravděpodobně se myslí vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, kde v Příloze č. 1 nalezneme klasifikaci zařízení fyzického ničení nosičů informací nebo dat),
  • vhození do uzamčené bedny a poté zlikvidování odpovědnou firmou.

Pevné disky, ostatní elektronické nosiče dat (USB disky, čipové karty apod.)

Zde se vyskytuje ještě větší variabilita odpovědí:

  • bezpečné mazání, bezpečné přepsání, speciální nástroj – přepis informací, kompletní zápis nul + znehodnocení ploten, shredding, „magnetická pec“,
  • fyzická likvidace, destrukce, kladivo, vrtačka v dílně,
  • likvidace šifrovacího klíče,
  • přeinstalace nebo formátování,
  • svozem do sběrného dvoru,
  • má na starosti IT oddělení nebo profesionální firma,
  • uschování (nespecifikováno),
  • skartace (nespecifikováno),
  • smazání dat (nespecifikováno).

Obdobné odpovědi nalezneme i u kompletních zařízení (serverů, PC, notebooků), kde se většina odpovědí soustřeďuje pouze na pevné disky, výjimkou je jeden respondent, který uvádí kromě toho i „zlomení RAM“.

Zarážející je poměrně vysoký počet odpovědí uvádějících pouze formátování disků a zcela bizarní „odvoz do sběrného dvora“. Je ovšem možné, že někteří respondenti vycházejí z vyhl. č. 259/2012 Sb., o podrobnostech výkonu spisové služby („V případě dokumentů v digitální podobě veřejnoprávní původce provede jejich zničení smazáním z elektronického systému spisové služby a dalších úložišť.“), což nelze považovat za konkrétní návod ani omylem.

Tablety a mobily

Zde se kromě „klasických“ odpovědí typu fyzická likvidace nebo (opět nespecifikované) vymazání dat objevují další návrhy: factory reset neboli tovární nastavení, kompletní smazání pomocí (nespecifikovaných) nástrojů Apple a konečně poměrně pythická odpověď: „IT, cizí člověk telefon není schopný odblokovat než IT.“ Podle názoru autora je tomu spíše naopak.

Když k tomu připočítáme vyšší počet odpovědí typu „postará se o to IT oddělení nebo expertní firma“, je zřejmé, že postupy okolo mobilních zařízení, které dnes přitom mohou představovat stejně výkonný nástroj pro uchovávání dat jako PC, nejsou zdaleka tak vyjasněny.

Kompletní skenery a kopírky, síťová zařízení

U těchto druhů zařízení odpovídal nejmenší počet respondentů (cca 25 %) a ani zde nejsou odpovědi příliš konzistentní. Od chybného předpokladu u kopírek (že nemají úložiště) přes nespecifikovanou fyzickou likvidaci a smazání dat až po komplexní pojetí „likvidace komponent, lámání a odevzdání do sběrného místa“.

Data nacházející se u externích dodavatelů

Ani zde se nesešlo více než 25 % odpovědí, a to přesto, že autor je přesvědčen, že většina organizací dnes má – v té či oné podobě – svá data (také) u externích poskytovatelů služeb. Odpovědi zahrnovaly řešení prostřednictvím smluv a politikou zabezpečení dat, šifrováním a opět naším oblíbeným vymazáním bez jakékoli bližší specifikace.

Screenshot 2020 12 13 at 21.06.57Obr. 5: Likvidování nosičů vlastními silami

5. Vlastní zajištění vs. externí dodavatelé

Co se týká provádění likvidace vlastními silami vs. využívání externích dodavatelů, pak s výjimkou kompletních skenerů a kopírek, síťových zařízení a dat na externích úložištích převažuje vlastní činnost.

U externích dodavatelů (likvidátorů) nicméně respondenti pouze v méně než 50 % uvedli, že dodavatel je držitelem nějaké certifikace, a pouze 20 % bylo schopno uvést, o jakou se jedná (vždy to bylo ISO, případně konkrétně ISO 27000).

Jedním z klíčových a značně neuralgických bodů likvidace nosičů je, jakým způsobem ji externí dodavatel zajišťuje. Jak vyplývá z nabídek specializovaných firem (viz dále), až na naprosté výjimky převažuje heslo „Přijedeme – odvezeme“, což nelze považovat za skutečně bezpečné řešení. Podle průzkumu cca 50 % odpovědí uvádí tento postup, tj. likvidace u dodavatele bez přítomnosti (dohledu) vlastníků nosičů. Pouze jedna odpověď k tomu přistupuje promyšleněji, byť nevíme, jak to je realizováno: „U nás jsou data zabezpečena, aby je likvidátor nemohl zneužít.“

Protokol o likvidaci obdrží respondenti v 70 % případů, přičemž pouze v jednom případě lze obsah považovat za akceptovatelný: „stanovený postup, měrné jednotky odpadu, fotodokumentace“.

6. Počet případů likvidace za rok

Poskytnuté údaje mají natolik velký rozptyl, že nejsou zobecnitelné. Nicméně lze konstatovat, že u jednotlivých nosičů to je v tomto rozmezí (viz Tab. 1). 

Screenshot 2020 12 13 at 21.07.14Tab. 1: Roční objemy likvidovaných nosičů dat

7. Kdo za likvidaci dat a nosičů odpovídá

Překvapivě i zde existuje velký rozptyl v odpovědích a v řadě případů to zjevně není metodicky správně (viz Obr. 6).

Screenshot 2020 12 13 at 21.07.28Obr. 6: Kdo odpovídá za likvidaci

8. Závěry vyplývající z průzkumu

Celkově vzato nejsou výsledky průzkumu nijak optimistické. Za klíčové poznatky lze považovat tyto:

  • pouze 64 % respondentů má provedenu klasifikaci informací,
  • přestože 27 % z nich zpracovává dokumenty obsahující utajované informace podle zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti všech kategorií (od V až po PT), odpovědi nenasvědčují tomu, že by se požadavky vyplývající z tohoto zákona a ze zákona o kybernetické bezpečnosti nějak intenzivně promítaly do odpovědí (a tedy zřejmě i do reálné praxe),
  • likvidace některých nosičů informací, jako jsou tablety, skenery, kopírky, síťové prvky, a dat nacházejících se u externích dodavatelů stojí na okraji pozornosti,
  • respondenti se při zajišťování likvidace externím dodavatelem spokojí v naprosté většině případů s odvozem nosičů bez kontroly nad jejich dalším osudem.

Nabídky na trhu (služby firem zajišťujících likvidaci)

Autor provedl průzkum nabídek firem zajišťujících likvidaci nosičů dat, jež byly vyhledány na Internetu. Celkem zkoumal nabídky 21 firem s různou právní formou – fyzické i právnické osoby různého typu. Zjistil následující skutečnosti:

  • Až na výjimky většina firem nabízí likvidaci jak listin a dalších podobných nosičů (CD, DVD, fotografie, filmy), tak pevných disků. Jen ¼ firem se specializuje na elektronické nosiče dat.
  • Způsob poskytování služby převažuje zmíněným stylem „Přijedeme – odvezeme“; ani jednou se nenabízí provedení likvidace u zákazníka; výjimkou je firma, která nabízí zapůjčení zařízení (viz Obr. 8).
  • Pouze 62 % firem udává, že mají nějakou certifikaci, přičemž uváděny jsou následující certifikáty (viz Obr. 7).
  • Ani jedna z firem neuvádí, že by byla pojištěna z hlediska odpovědnosti za škodu.

Screenshot 2020 12 13 at 21.07.44Obr. 7: Druhy certifikátů

Screenshot 2020 12 13 at 21.07.58Obr. 8: Místo poskytování služby

Souhrnně lze konstatovat, že nabídky jsou až na naprosté výjimky výrazně marketingového charakteru, někdy značně nepřehledné, postrádající důležité profesionální informace. Společnosti buď nemají, nebo neuvádějí žádnou certifikaci a až na výjimky nabízejí formu poskytnutí služby vlastním, výjimečně pak zákazníkovým odvozem. To, že se tak v některých případech má odehrávat v zapečetěném kontejneru, nic neřeší a neprokazuje.

Screenshot 2020 12 13 at 21.08.19Příklad nakonec

Autor se rozhodl zlikvidovat několik pevných disků a mobilních telefonů. Za tímto účelem si našel geograficky blízkého dodavatele a projevil zájem o poskytnutí služby, přičemž vyžadoval osobní účast při likvidaci. Dodavatel s tím neměl problém (ačkoli tuto možnost neinzeroval) a likvidace proběhla s využitím zařízení Destroyer ProDevice MMD360, což je manuální zařízení velmi podobné ručním nůžkám na plech.

Zde je instalovaný bodec ze speciální vysokojakostní oceli, který perforuje HDD a fyzicky ho zdeformuje tak, že z něj nejdou obnovit data. Ocelový bodec je schopný vyvinout tlak 4,5 tun, což je dostatečná síla pro znehodnocení všech běžných 2,5" a 3,5" HHD a SSD disků. Výrobce (ProDevice, Polsko) uvádí, že zařízení odpovídá normám DIN66399:H3 a DMS 2008: level A for physical HDD destruction.1 Poskytovatel služby pronajímá zařízení, které váží 30 kg, zákazníkům na likvidaci v jejich sídle. Výsledky jsou následující (viz Obr. 10).

Screenshot 2020 12 13 at 21.08.41

U klasických 3,5" disků o výšce 19,9 mm jde otvor skrz celý disk, u serverových disků o větší výšce nedojde k průniku až na zadní stranu. V protokolu, který autor obdržel, se píše: „Fyzická likvidace (destroying) byla provedena profesionálním destroyerem ProDevice MMD360. Tento způsob znehodnocení pevného disku (HDD) je plně v souladu s bezpečnostními pokyny normy DIN66399: H3 platné v EU od roku 2014. Použitím destroyeru Pro- Device MMD360 dochází k poškození mechanických částí pevného disku i jeho základní desky s řídící elektronikou a pevný disk již není dále provozuschopný. Potvrzujeme, že data, která byla případně na shora uvedených nosičích přítomna, nebyla nijak kopírována ani jinak zpřístupněna třetí osobě. Zacházení s médii i jejich obsahem plně respektuje Obchodní zákoník č. 90/2012 v aktuálním znění a NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 (GDPR).

Z normy DIN66399: H3 vyplývá, že se jedná o data na pevných discích (HD), úroveň ochrany 3, která je určena pro osobní a citlivá data (obchodní nabídky, obecné ceníky), nikoli však již pro obzvlášť citlivá a osobní data (cenové nabídky, obchodní výsledky, zdravotní dokumentace), která požadují úroveň H4. Likvidace typu H3 je definována v normě pouze jako deformace na rozdíl od H4 (rozdělení či deformace na částice max. 2 000 mm2).2 Proč se dokument odkazuje na (již sedm let neplatný) obchodní zákoník, přičemž podle čísla jde o zákon č. 90/2012, o obchodních společnostech a družstvech, těžko říci, neboť k tomu není žádný důvod.

Autor po konfrontaci způsobu provedení likvidace s normami vzhledem k vysoce důvěrnému charakteru ukládaných informací naznal, že tento způsob likvidace nelze považovat za dostatečný, a zvolil výrazně pracnější způsob fyzické likvidace pomocí rozbrušovačky. Je si nicméně vědom toho, že v případě likvidace většího množství disků toto není racionální cesta a doporučuje použití spalovny, případně demagnetizaci (degaussing) za použití speciálního zařízení, které je také nazýváno lidově „magnetická pec“. I zde je nicméně třeba sledovat, jakou hustotu magnetického pole zařízení generuje – dostupné údaje se liší až cca pětinásobně (obvykle 2 500 až 12 000 gaussů) a zda a kým je certifikováno.

Závěr

Informace získané autorem potvrzují předpoklady, že problematice likvidace nosičů dat a informací je obecně věnována malá pozornost. Hlavním principem je přístup „on to někdo zajistí“. Jeho součástí je i nedůvodná důvěra, že externí dodavatelé (např. cloudových služeb) zajistí nevratné vymazání dat, neboť „přece je na to smlouva“. Jediným správným přístupem je všechna citlivá data, která opouštějí perimetr svého vlastníka, důsledně šifrovat a nespoléhat na třetí osoby.

Screenshot 2020 12 13 at 21.08.53Vladimír Smejkal
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou:

  1. https://prodevice.eu/media-destroyers-shredders/media-destroyer/
  2. Pro ilustraci 2 000 mm2 představuje čtverec o stranách cca 44 mm, což je stále docela dost. Podstatně přísnější požadavky jsou nastaveny v Příloze č. 1 k vyhlášce č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů.

Vytisknout