Datasletning 101:

Hvad er datasletning?

Hvad er datasletning?

Datasletning er forsøget på at fjerne data på datacenterhardware, PC og laptops, mobiler, tablets og printere. Et tryk på slet-knappen er ikke nok, da det svarer til at rive indholdsfortegnelsen ud af en bog. En standard formatering er heller ikke nok, da data nemt kan genskabes med frit tilgængeligt gratis software.

Hvorfor skal jeg slette data?

Data på dit IT-udstyr kan indeholde person- og virksomhedsfølsomt data, som ikke skal ende i de forkerte hænder. Sikker datasletning fører til beskyttelse mod:

  • Identitetstyveri
  • Stjålne bank- og kortoplysninger
  • Afpresning
  • Virksomhedsspionage
  • Hacks
  • PR-skandaler
  • Bøder fra Datatilsynet

Udstyret kan indeholde personfølsomme såvel som virksomhedsfølsomme data, hvorfra man kan uddrage data, der kan bruges til identitetstyveri, misbrug af kort- og bankoplysninger, afpresning og videresalg af forretningskritisk information. Kriminelle går langt for at tilegne sig adgang til følsomme data fra IT-udstyr, der er endt på en losseplads. Udstyr sendt til skrot ender ofte på lossepladser i lande med manglende miljøbestemmelser, hvor tyve roder skraldet igennem for at finde diske med datarester. Det sker også, at tyve udgiver sig for at være IT-genbrugsvirksomheder, som egentlig bare er ude efter personfølsomt data.

Til sidst er der Datatilsynet at forholde sig til. Den nye Persondatalov § 5, Stk. 5 siger:
”Indsamlede oplysninger må ikke opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.”

Når man udskifter det gamle IT-udstyr, skal det i følge Datatilsynet “slettes forsvarligt” med henvisning til National Institute of Standards and Technologys guidelines for datasletning.

Et tryk på slet-knappen er ikke nok

Filer smidt i papirkurven eksisterer stadig på harddisken. At flytte virksomhedens fortrolige filer til papirkurven for derefter at slette papirkurvens indhold kan som allerede nævnt sammenlignes med at rive omslaget af en bog. Bogens sider består – og det samme gør din virksomheds data – lagret i harddiskens hukommelse. Det er heller ikke nok blot at gøre brug af de standardfunktioner, der er til rådighed på en computer.

Vi oplever, at mange virksomheder er usikre på, hvornår data er helt slettet. Datasletning skal gerne ende med, at ingen data er tilbage, og at det gamle ikke kan genskabes. Der er flere måder, hvorpå man forsøger at opnå dette.

  • Fysisk destruktion: Der findes mange metoder til fysisk at destruere harddiske. Det kan f.eks. være shredding, pulverisering, brug af hammer, boremaskine eller på forskellig vis at bukke drevet.
  • Degaussing: En meget kraftig magnet bruges til at forstyrre harddiskens magnetiske felt og arrangerer data i et nyt tilfældigt mønster.
  • Dataoverskrivning: Sletning af data ved at overskrive med nyt data – f.eks. et tilfældig mønster eller rene 0er.

Problemerne ved fysisk destruktion

  • Harddisken ødelægges, så den ikke kan genbruges internt, videresælges eller doneres til velgørende formål. Det er dårligt for miljøet, og man går glip af den gensalgsværdi, som IT-udstyr ofte har.
  • Afhængigt af hvor grundigt, man destruerer udstyret, kan data ofte stadig genskabes af specialister i et laboratorium, som kigger på diskens chips med et mikroskop. Her er det ligemeget, om disken har strøm eller overhovedet virker.
  • Det kan være svært at dokumentere, at data er blevet slettet. Det er dels fordi, at udstyret er ødelagt, så man ikke kan verificere, om der ligger data, og fordi det kan være besværligt at skulle filme hver destruktion og gemme al relevant information. Dokumentation er et krav med de nye regler fra Datatilsynet.
  • En udfordring kan også være den sikkerheds- og sundhedsrisiko, der er for personen, som destruerer udstyret. Eller at der ofte er flere personer, som skal håndtere udstyret i udskiftningsprocessen – især hvis man bruger eksterne serviceudbydere.

Problemerne ved degaussing

Der er mange af de samme problemer som ved fysisk destruktion. Derudover virker degaussing kun på magnetiske diske og altså ikke på SSD og andre flashdiske.

Problemerne ved dataoverskrivning

Mange løsninger til softwarebaseret datasletning giver ikke en garanti for, at data ikke kan genskabes. Det gør sig især gældende for gratis softwareløsninger, man kan finde på nettet. Der findes ikke en gratisløsning, som giver en certificeret garanti for, at data ikke kan genskabes. Mange forskellige standarder eksisterer, hvor softwareløsninger går gennem grundige tests. De mest omfattende er blandt andre Common Criteria EAL, NIST 800-88r1, US DoD 5220.22-M og NATO NIAPC.

Den højeste standard lige nu er fra National Institute of Standards and Technology, som definerer henholdsvis Purge og Clear. Det er også dette regulativ, som Datatilsynet henviser til. Når man overskriver med NIST 800-88, så når en datasletning standarden, Clear, hvis den ikke kan genskabes med software. Hvis data så heller ikke kan genskabes fysisk i et laboratorium, når datasletningen standarden, Purge. Der findes hermed ikke en bedre garanti for, at data ikke kan genskabes.

En blindtest blev for nylig foretaget af WipeDrive og det nærmeste alternativ. Her nåede konkurrenten Purge på 61% af diskene og WipeDrive Purge på 83% af diskene. Amazon og Apple, som er pionerer på området, sender udstyr til fysisk destruktion oveni, hvis det kun når Clear – og videresælger trygt udstyret, hvis datasletningen når Purge. Det er mange drev, som kan genbruges frem for at ende til skrot.

Hvilken metode bør jeg bruge?

Man bør uanset hvad bruge certificeret datasletningssoftware. Her bør man bestræbe sig på at bruge software, der så vidt muligt kan purge dataen. Derudover kan man overveje, om man vil have yderligere sikkerhed ved f.eks. også at kryptere dataen, hvis enheden supporterer kryptering. Nogle vælger også at destruere udstyret, efter de har slettet med software. I så fald bør man bruge en degausser, hvis der er tale om en magnetisk disk (altså ikke flashbaserede drev såsom SSD eller de nye NVMe-drev). Kan man ikke bruge en degausser, er den næstbedste metode til fysisk destruktion shredding. Her kan man finde eksterne serviceudbydere eller købe en maskine selv afhængigt af behov.

WhiteCanyon WipeDrive krypterer, purger og igen krypterer data på udstyret. Det er det højest certificerede datasletningssoftware på markedet. Det er ikke en tilfældighed, at NASA, NSA og det amerikanske forsvar samt 20 af Fortune 40-virksomhederne bruger WipeDrive. Med denne løsning får man den bedste garanti for, at data ikke kan genskabes. Med det sagt er det langt fra den dyreste løsning på markedet og også den optimale løsning for små og mellemstore virksomheder.

Man får automatisk en certificeret rapport med bevis for, at ens IT-udstyr er dataslettet. Denne kan man vise til Datatilsynet. Man henter softwaret gratis og betaler licenser per enhed, man sletter. Det kan være alle slags datacenterhardware, PC og laptops, mobiler, tablets og printere. Derefter kan man frit videresælge udstyret.

Hent WipeDrive PDF

Certificeret Datasletning

WhiteCanyon Software

WipeDrive sikker datasletning