A német GDATA biztonsági oldal közölt egy érdekes cikket. A cég szakértői egy olyan kiselejtezett német laptopot vásároltak eBay-en, amiről kiderült, hogy korábban valószínűleg a német hadsereg használta (a kivitelből már előre sejteni lehetett). Miután megérkezett, alaposan megvizsgálták és találtak is rajta oda nem illő dolgokat.
Miután a megfelelő előkészületeket megtették, elindították a 600 MHz Pentium III-as processzorral ellátott laptopot, amin gond nélkül bebootolt a Windows 2000, bármiféle jelszavas védelem nélkül. A gépen első ránézésre nem találtak érdekeset, majd belefutottak a MODIS nevű szoftverbe, amelybe – gyenge jelszavának hála – könnyedén beléptek.
A szoftverben nem mást találtak, mint a német légvédelmi Ozelot rendszer technikai dokumentációját (TDv 1425/027-18). Ez a dokumentáció természetesen nem nyilvános, hanem minősített adatnak (Classified: Official Use only) minősül.
A tanulság, hogy eladás előtt érdemes megfelelő módon törölni az adathordozókat, leselejtezéskor pedig megsemmisíteni a szó drasztikusabb értelmében. Előbbire a cég egyébként a Darik’s Boon and Nuke (DBAN) megoldást ajánlja.
A fenti eset kapcsán írnék arról az egyébként meglehetősen régi NAIH állásfoglalásról, miszerint személyes adatok törlésénél az adatkezelőnek olyan módon kell törölnie az érintett személyes adatát, hogy annak helyreállítása a továbbiakban ne legyen lehetséges.
„A fentiekre tekintettel nem elegendő a merevlemezek, illetve más informatikai adathordozók „egyszerű formázása”. A beadványban említett ingyenes szoftver (DBAN) vagy bármely más „HDD wipe” jellegű szoftver is megfelelhet ennek a célnak” – olvasható a NAIH állásfoglalásban.
Az adathordozók megsemmisítéséről pedig azt a tájékoztatást adta a NAIH hogy az adathordozók szakszerű megsemmisítésével egyébként többen is foglalkoznak a piaci szektorban.
„A szakszerűség garantálása szempontjából fontos lehet, hogy a cég rendelkezzen olyan tanúsítvánnyal, ami ilyen jellegű profillal kapcsolatos, illetve, hogy a folyamat végén kapjon róla egy hivatalos megsemmisítési jegyzőkönyvet. Ezzel bármikor tudja igazolni mind a hatóságok, mind az érintettek felé, hogy az adathordozó, illetve a rajta tárolt adatok megsemmisítésre kerültek.”
Bár a német esetben nem személyes, hanem minősített adatról van szó, de jól látszik, hogy a követendő eljárás mindkét esetben az adatok megfelelő módon történő törlése, vagy az adathordozó végleges megsemmisítése lett volna.
Ez pedig végső soron ajánlott mindenki számára, aki ilyen, korábban magánhasználatú eszközöket szeretne értékesíteni, legyen az akár egy komplett számítógép, akár egy adathordozó, vagy épp a megunt telefonja.
Más kérdés, hogy az egyedi adattörlésen túlmenően egyébként tovább működő, komplex rendszerekben egy-egy személyes adat törlése hogyan lehet kivitelezhető formázás, vagy ahogy az állásfoglalás inkább javasolja, DBAN jellegű megoldások segítségével.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: