Certificeret sletning af data

WhiteCanyon™ Software

Scandic Services er eksklusiv distributør

WipeDrive sikker datasletning
WhiteCanyon sikker datasletning
Anmod om en gratis startpakke

Sletning af data

Udskiftning af gammelt IT er en nødvendig men ofte overset del af en virksomheds plan for datasikkerhed. Mange virksomheder springer hurtigt over denne del og efterlader sikkerhedshuller, der kan have store konsekvenser. Heldigvis er disse huller nemme at fikse, når man forstår problemet og kender til de rigtige værktøjer.

5 sikkerhedshuller

  1. Utilstrækkelig rapportering

Sikker og omfattende rapportering bør være en central del af jeres plan for udskiftning af IT. Uden ordentlig rapportering hæfter I potentielt for databrud. For helt at beskytte virksomheden, bør I have sikre og godkendte rapporter.

Fysisk destruktion af harddiske tillader ikke i nem grad at have en sådan dokumentation. Dokumentation for fysisk destruering kan ofte være fake, manipuleret eller udsat for menneskefejl.

Gratis datasletningssoftware er også problematiske, fordi de netop ikke har denne robuste og reviderbare rapportering. Du kan ikke opbevare rapporter i jeres database eller importere rapporteringsdata til et tredjepartstrackingværktøj.

Heldigvis er der datasletningssoftware, som sikkert og permanent sletter data fra harddiske og samtidigt sørger for denne rapportering, som vi gennemgår længere nede.

2. Fjernlokationer

Afskaffelse af udtjent IT fra hovedkontoret er forholdsvist simpelt. Jeres in-house IT-medarbejdere kan sikkert transportere udstyret og slette sensitiv data. Men når det kommer til fjernlokatoner, mister man meget af denne kontrol. Fjerne lokationer har måske ikke dedikerede IT-medarbejdere eller værktøjerne til at dataslette jeres hardware on-site. Det er muligt at transportere udstyret til hovedkontoret, men det er dyrt og er ikke uden risiko. Der er ofte ingen mulighed for at holde øje med, hvad der sker med en computer i tiden, hvor det er koblet fra men venter på at blive sendt. Medarbejdere og andre ved den fjerne lokation har måske stadig adgang til data på computeren i denne periode. Derudover kan det være dyrt at fragte i en toldplomberet lastbil, som endda stadig har potentielle sikkerhedshuller.

3. Svag intern chain of custody

Intern risiko opstår, når processen for chain of custody ikke er solid eller ikke blive håndhævet. Det kan f.eks. være, at hardwaren ikke bliver hentet med det samme efter, at det er koblet fra, eller at have en høj “touch count” (for mange mennesker kommer i kontakt med udstyret). Det kan også ske, at hardware bliver efterladt steder, hvor det ikke er sikret, eller at adgang dertil ikke er overvåget.

4. Svage eksterne processer

Der er outsourcing-risiko, når man bruger eksterne serviceudbydere. Mange er ikke klar over, at det ofte er midlertidige ansatte, der håndterer udstyret, når man bruger en ekstern serviceudbydere. Selvom disse udbydere måske ser ud til at tilbyde en “sikker chain of custody”, er man stadig afhængig af integriteten af medarbejderne – og med antagelse af at de er ordentligt oplært.

5. Kryptering som det eneste

En ny trend er, at fabrikanter i højere grad gør drev krypteret som en standardfeature. Idéen er, at hvis du skal af med dit gamle drev, så skal du bare slette krypteringsnøglen, og så er din data sikret. Selvom det kan være sandt, at ens data ikke kan tilgås rent praktisk, så er det stadig på drevet, og det repræsenterer en sikkerhedsrisiko i det lange løb. Krypteringsteknologi ændrer sig hele tiden, man bliver bedre og bedre til at dekryptere. Krypteringsteknologien fra 10 eller endda 5 år siden er relativt nemt at bryde igennem i dag. Så selvom krypteringsnøglerne ikke kan crackes i dag, risikerer man, at det er simpelt i fremtiden, som man kan ende med at hæfte for. Hertil skal tillægge, at services om Amazons computing cloud gør computing power tilgængelig for den gennemsnitlige person i stor skala. Det giver ekstra ammunition til dem, som forsøger at bryde igennem krypteringer.

Et andet problem med udelukkende at satse på kryptering er, at hackere som forsøger at brute force et crack måske kan være heldige at finde en korrekt nøgle med mindre end den typiske tid og energi.

Sådan fikser du dine sikkerhedshuller

Der er flere sikkerhedsforanstaltninger, du kan gøre dig for at sikre udskiftningen af gammelt IT. De følgende anbefalinger vil hjælpe dig til at fjerne de 5 sikkerhedshuller ovenfor og styrke datasikkerheden.

Sørg for at bruge flere løsninger

En del af løsningen til høj sikkerhed, når man datasletter, er redundans. Det gælder gerne om at have flere datasletningsmetoder. Ofte sletter store virksomheder og offentlige organisationer både med et softwareværktøj og ved hjælp af metoder til fysisk destruering.

Når man bruger to former for datasletning, bør man bruge den metode, som er hurtigst og mest pålidelig først. Det er typisk et softwareslet, eftersom det kan gøres hurtigt og uden at være on-site.

Når en harddisk er slettet, kan det transporteres eller i det hele taget håndteres med langt mindre risiko. Ved at bruge et certificeret datasletningsværktøj, burde man ikke have risiko for datalæk derefter. Så kan man fysisk destruere drevet og transportere det til en genbrugsplads, hvor metaller og andet kan genbruges på en miljømæssig forsvarlig måde.

En anden måde at introducere redundans er at holde øje med interne processer, som vi kommer ind på længere nede. For at kunne gøre det, er det afgørende at have omfattende og sikker rapportering.

Reducér antallet af kritiske “touch points”

Risikoen stiger naturligvis jo flere mennesker, som skal håndtere udstyret. Et kritisk tidspunkt er håndteringen af udstyr, som er afkoblet men stadig indeholder data. Når data er slettet fra drevet, flere “touch points” øger ikke risikoen – kun omkostninger. Ved at bruge et ordentlig datasletningsværktøj burde det være muligt at reducere antallet af touch points til 1-2 maks. Næsten alle computere kan slettes af en IT-medarbejder, der enten er til stede eller gør det med fjernkontrol ved brug af det software, som har de muligheder.

Reducér tiden mellem demontering og datasletning

En computer skal helst slettes og sendes videre den samme dag, som det bliver afmonteret. Ellers risikerer man, at uautoriseret personale får adgang til computeren og det sensitive data, der ligger derpå. Fjernstyret datasletningssoftware eller on-site sletning er det mest effektive, det hurtigst og den billigste løsning. Disse metoder kan køres hurtigt og kan med 100% garanti fjerne al data og give fuld sikkerhed, selvom udstyret ikke kan sendes videre i systemet med det samme.

Opbevar udstyret sikkert

Når computere eller harddiske afmonteres til udskiftning, er det vigtigt at opbevare dem i en sikker lokation – især hvis dataen ikke er blevet slettet. Nogle virksomheder dedikerer et sikkert lokale til at lave PXE softwarebaseret datasletning i stor skala af autoriseret personale.

Brug certificeret softwarebaseret datasletning

Softwarebaseret datasletning med de høje certificeringer er den mest effektive måde at lave datasletning i dag. Med det ordentligt certificerede software er det bevist af National Security Agency i USA, at data er umulig at genskabe. En betydelig fordel ved softwarebaseret datasletning i forhold til fysisk destruering er muligheden for at generere logs. Disse logs kan verificeres og er umulige at manipulere. De er helt og aldeles immune over for menneskelige fejl. Den slags garanti er en værdifuld beskyttelse mod bøder fra Datatilsynet eller anden økonomisk hæftelse som følge af søgsmål. Det giver ro i maven for ejere og aktionærer, som ønsker at de rigtige sikkerhedsforanstaltninger bliver taget.

Sørg for at tjekke serviceudbydere ordentligt

Når man outsourcer datasletning til eksterne serviceudbydere, så bør man stille specifikke spørgsmål omkring deres processer for at være sikker på, at de bruger de bedste praksisser. Her er et par spørgsmål, man kan spørge:

  1. Hvem håndterer hardwaren fysisk, og hvordan er de oplært? Det bedste er ordentligt trænet og certificerede teknikere i stedet for billig, midlertidig arbejdskraft. Som en opfølgning, kan man spørge, hvilke certificeringer, de har.
  2. Er jeres datasletningsrapporter idiotsikre? Kan de ende med at være ukorrekte som følge af manipulation eller menneskelige fejl? Nogle serviceudbydere kan have specielle processer til at sikre, at rapporterne er præcise og sikre.
  3. Hvor mange mennesker har fysisk adgang til drevet, inden det bliver ødelagt? Det bør være så få som muligt og helst kun én person.
  4. Hvilke metoder til datasletning bruger I? Fysisk datasletning er ofte dyrere og mindre sikkert. Softwarebaseret datasletning er foretrukket, men kun hvis de bruger certificerede værktøjer. NIAP-certificeret software er ideelt.

Hold øje med interne processer

Find en ekstern part til at vurdere jeres nuværende procedurer for at håndtere udtjente computere og harddiske. Prøv at måle, hvor lang tid det tager for en computer at blive dataslettet efter den er færdigtjent. Observer hvor og hvor længe computere kan tilgås af andre medarbejdere, efter de er færdigtjent. Hvordan sikres det, at computeren ryger videre i processen? Er datasletningsområdet sikkert og lukket for ikke-autoriseret medarbejdere? Bliver processer overholdt og fulgt præcist eller løst? Et tjek fra eksterne parter viser ofte interessante insights og kan vise sig at være en effektiv og overbevisende måde at få opgraderet ens retningslinjer og sikre, at de bliver bedre fulgt.

Konklusion

Ved at tage nogle få skridt mod at bruge de rigtige værktøjer kan du sikre dig mod mange af sikkerhedshullerne forbundet med udskiftning af gammelt IT. Data er nemmere end nogensinde at få fat i og transportere. Derfor bør organisationer være grundige i udskiftningen af det udtjente IT-udstyr. Ved at følge vores anbefalinger ovenfor, så er det muligt helt at lukke disse huller.

Kontakt os

Produkter

Scandic Services som distributør men også som ansvarlig for datasletningen

WipeDrive til sikker og permanent sletning af data fra harddiske

WipeDrive

Rengør din pc ved at slette private data men beholde dine programmer

SystemSaver

Et tune-up værktøj designet til at holde computeren sikker og hurtig

SecureClean

Kontroller uafhængigt, at alle data er blevet slettet fra dine diske

VeriDrive

WhiteCanyon™ kunder

Certificeret Datasletning

WhiteCanyon™ Software

WipeDrive sikker datasletning