Czy norma DIN 66399 spełnia wymagania polskiego prawa?

90% danych, w tym informacji wrażliwych przetwarzana jest za pomocą systemów teleinformatycznych w formie elektronicznej.

Możliwość bezpiecznej, a przede wszystkim skutecznej utylizacji niepotrzebnych nośników danych stała się pilną potrzebą zarówno służb mundurowych, administracji państwowej i samorządowej, wszystkich organizacji gromadzących dane osobowe, a także firm.

Do października 2012 r nie było normy określającej standard zniszczenia nośników danych innych niż papierowe. Jako punkt odniesienia stosowano więc m.in. niemiecką normę DIN 32757, oryginalnie stosowaną do dokumentów papierowych.

Wymagania normy DIN 32757

Norma DIN 32757 definiowała 5 poziomów bezpieczeństwa:

• poziom 1, dokumenty ogólnego użytku, paski o szerokości mniejszej niż 12 mm lub całkowita powierzchnia ścinka mniejsza niż 2000 mm²;
• poziom 2, dokumenty wewnętrzne, paski o szerokości mniejszej niż 6 mm lub całkowita powierzchnia ścinka mniejsza niż 800 mm²;
• poziom 3, dokumenty poufne, paski o szerokości mniejszej niż 2 mm lub ścinki o powierzchni mniejszej niż 320 mm², szerokości mniejszej niż 4 mm, długości mniejszej niż 80 mm;
• poziom 4, dokumenty tajne, ścinki o powierzchni mniejszej niż 30 mm², szerokości mniejszej niż 2 mm, długości mniejszej niż 15 mm;
• poziom 5, dokumenty ściśle tajne, ścinki o powierzchni mniejszej niż 10mm², szerokości mniejszej niż 0,8 mm, długości mniejszej niż 13 mm;

Wymagania normy DIN 66399

Od październiku 2012 r w Niemczech obowiązuje jej następca - norma DIN 66399, która uwzględniła dokumenty elektroniczne i zrewidowała wymagania normy DIN 32757.

Dokument wyodrębnia sześć kategorii nośników danych: dokumenty papierowe, płyty CD/DVD, dyski twarde, karty pamięci, karty chipowe i karty z taśmą magnetyczną. Urządzenia są sklasyfikowane według stopnia niszczenia i przeznaczenia dla konkretnego nośnika danych. DIN 66399 wskazuje trzy klasy ochrony i siedem poziomów bezpieczeństwa.

• Klasa ochrony 1 – standardowa ochrona danych. Dokumenty dostępne dla większych grup osób.
• Klasa ochrony 2 – zwiększona potrzeba ochrony danych poufnych. Dokumenty dostępne dla wąskich grup osób.
• Klasa ochrony 3 – bardzo wysoka potrzeba ochrony poufnych i tajnych danych, których ujawnienie mogłoby się wiązać z poważnymi konsekwencjami dla firmy.

Porównanie stopni bezpieczeństwa w różnych klasach ochrony wg normy DIN 66399

Wady normy DIN 66399

Norma DIN 66399 jest ważnym punktem odniesienia, szczególnie gdy nie ma krajowych, polskich norm regulujących niezbędny stopień zniszczenia nośników aby mogły zostać uznane za skutecznie zniszczone. Poza zaletami należy zauważyć też jej rozmaite wady, m.in.:

1. Uwzględnianie tylko jednej z wielu metod niszczenia danych: W pracach nad normą brały udział wyłącznie firmy tworzące urządzenia do mechanicznego rozdrabniania nośników – z niezrozumiałych względów nie uwzględniono innych (skuteczniejszych?) metod niszczenia nośników.
2. Zmniejszone zamiast zwiększone bezpieczeństwo: Nowa norma zmniejszyła wymagania co do stopnia rozdrobnienia nośników elektronicznych w stosunku do stopnia rozdrobnienia dokumentów papierowych.
3. Brak 100% skuteczności: Mechaniczne rozdrobnienie nawet w największym dostępnym aktualnie stopniu nie jest wystarczające do skutecznego zniszczenia danych.
4. Niezgodność z polskim prawem: Polskie prawo mówi wyraźnie, że nośniki przeznaczone do likwidacji powinny być uszkodzone w sposób uniemożliwiający odczytanie zapisanych danych – co za tym idzie norma DIN 66399 nie spełnia wymagań polskiego prawa.

1. Uwzględnianie tylko jednej z wielu metod niszczenia danych

Oprócz niszczenia mechanicznego są dostępne inne metody usuwania danych:

• programowe
• magnetyczne (degaussing)
• chemiczne
• termiczne
• pirotechniczne
• radioaktywne
• programowe (logiczne)

Ich skuteczność jest różna (zobacz też: więcej o wadach i zaletach poszczególnych metod), ale dziwi brak jakiegokolwiek uwzględnienia faktu ich istnienia w normie DIN 66399, mimo, że większość jest od dawna znana i stosowana.

Być może wyjaśnia to fakt, że w pracach nad normą DIN 66399 brali udział wyłącznie producenci niszczarek mechanicznych, tacy jak np. HSM, którzy zresztą oficjalnie przyznają na swoich stronach, że znacząco przyczynili się do aktualnego kształtu normy DIN 66399.

2. Zmniejszone zamiast zwiększone bezpieczeństwo

Wiórki niszczone zgodnie z normą DIN 32757, odnoszącą się do dokumentów papierowych, a nie elektronicznych, zgodnie z klasą 4 „ściśle tajne” mogły mieć nie więcej niż 30 mm² powierzchni.

Norma DIN 66399, która uwzględniła dokumenty elektroniczne i zrewidowała powyższe wymagania, określiła, że wystarczy, iż wiórki dla takiego samego poziomu bezpieczeństwa (klasa H-5) będą miały nie więcej niż 320 mm² powierzchni.

Na skrawku papieru o wielkości 30 mm² nie zmieści się wiele liter, ale ile danych może pozostać na takim skrawku dysku?

„Od 2005 r. bity są zapisywane na talerzach dysków twardych pionowo. Proces pionowego zapisu pozwala na zachowanie do 155 Gb (ok. 19 GB) na powierzchni jednego centymetra kwadratowego.”

- Ekspert z magazynu CHIP, Andrzej Zdziałek,
artykuł na portalu „Trochę techniki” 15.09.2011

Skoro 1 cm² = 100 mm² = 19 GB danych, to
DIN 32757, klasa 4: 30 mm² = 5,7 GB danych
DIN 66399, klasa H-5: 320 mm² = 60,8 GB danych
DIN 66399, klasa H-7 (przewidziana dla najtajniejszych danych i niedostępna komercyjnie): 5 mm² = 0,95 GB danych
na jednym wiórku o takiej powierzchni!

3. Brak 100% skuteczności (rozdrobnienie nie wyklucza odzyskania danych)

„Średnia światowa skuteczność odzyskiwania danych w profesjonalnym laboratorium wynosi obecnie około 80%! Na ten wynik składają się również najcięższe przypadki, w których nośniki celowo zostały fizycznie zniszczone, spalone, roztrzaskane czy zalane. W większości tego typu przypadków dane można odzyskać”

Wypowiedź Pawła Odora z firmy Kroll Ontrack dla
IT Professional – listopad 2011

Dla przykładu - DIN 66399, klasa H-4 (dla nośników z danymi szczególnie chronionymi i poufnymi) wymaga rozdrobnienia do ścinków o powierzchni mniejszej niż 2000 mm².

Co to w rzeczywistości oznacza?

Standardowe wymiary powierzchni dysków twardych:

3,5” wraz z obudową = 101,6 mm x 146 mm = 14833,6 mm²
2,5” wraz z obudową = 69,85 mm x 100 mm = 6985 mm²
1,8” wraz z obudową = 54 mm x 71 mm = 3834 mm²

Bez obudowy, sam talerz + wrzeciono:
3,5” ≈ 8,89 cm średnicy ≈ 6204,02 mm² <- talerz w ok. 3 kawałkach
2,5” ≈ 6,35 cm średnicy ≈ 3165,316 mm² <- talerz przecięty na pół
1,8” ≈ 4,572 cm średnicy ≈ 1640,9 mm² <- talerz w całości

Dyski zwiórkowane za pomocą przemysłowej niszczarki
jeden z talerzy został zaledwie przecięty na pół

Czy dane z tak zniszczonych dysków można odzyskać?

Podczas ataku na World Trade Center, 11 września 2001 roku, tysiące ton ciężaru z zawalonych budynków, które sprasowały, połamały na fragmenty, pogniotły wszystko co znajdowało się w środku - w tym także komputery i znajdujące się w nich dyski twarde; wysoka temperatura pożarów, woda, którą je gaszono, oraz wszechobecny pył, który został wręcz wprasowany w powierzchnię talerzy dysków. Jednak nie przeszkodziło to w odzyskaniu tych danych, które uznano za wartościowe - i to jeszcze w 2001 roku.

Użyto do tego technologii laserowego skanowania – ze zniszczonych nośników po prostu przeniesiono dane na nośniki sprawne…

Więcej: Odzyskano dane z katastrofy w WTC
Więcej: Dyski z WTC - mechaniczne zniszczenie nie przeszkodziło w odzyskaniu danych

Zdjęcia niektórych spośród ponad 400 dysków, z których udało się odzyskać dane po katastrofie w World Trade Center (»Źródło: CONVAR - Die Datenretter»)

„(…) są one spalone, zanieczyszczone, częściowo zatopione w betonie, ale jestem pewny, że możemy je naprawić (…)"

Wypowiedź przedstawiciela firmy CONVAR dla Heute Journal, 3/11/2002

W ciągu 6 miesięcy odzyskano dane z ponad 400 tak bardzo zniszczonych w tej katastrofie dysków, co daje średnią prędkość odzyskiwania danych wynoszącą ponad 2 dyski dziennie.

Inne potwierdzenia, że można odzyskać dane z nośników zniszczonych mechanicznie:

• Profesor Gordon F. Hughes, Associate Director, University of California, San Diego, Center for Magnetic Recording Research, już w październiku 2004 r. wskazywał, że można odzyskiwać dane ze znacznie mniejszych ścinków – według niego odzyskanie danych ze ścinka o powierzchni np. 0,2 mm² zajęłoby w jego laboratorium około godzinę
• "(...) - Kilka lat temu pewien inżynier pokazał publiczności pocięty dysk twardy, którego kawałki wyglądały jak nitki, i okazało się, że z jednej takiej nitki da się uratować około 2 GB danych, czyli tyle, ile mieści się na pendrivie. Można więc zmielić sprzęt na drobny wiór czy pociąć w niteczki, ale jak komuś będzie zależało na odzyskaniu zapisanych w nim danych, to i tak mu się uda.(…)” - dr Cezary Iwan z Wrocławskiego Centrum Badań EIT+, wypowiedź dla money.pl, 15.05.2012 r.
• Przykłady odzyskania utraconych danych

4. Niezgodność z polskim prawem

Polskie prawo nie precyzuje metody jaką nośniki powinny być niszczone, ale precyzuje, że dane muszą zostać zniszczone w sposób uniemożliwiający ich odzyskanie.

• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r (Dz. U. 2004 nr 100 poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych:

Środki bezpieczeństwa na poziomie podstawowym:
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
1) likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn. 5 września 2007 r. (Dz. U. z dnia 19 września 2007 r.) w sprawie przetwarzania przez Policję informacji o osobach:

Art. 11.
4. Informacje znajdujące się w systemach informatycznych i na informatycznych nośnikach danych usuwa się w sposób uniemożliwiający odtworzenie usuniętych informacji:

1. przy użyciu technik programowych lub sprzętowych;
2. poprzez zniszczenie nośników zawierających informacje przeznaczone do usunięcia, jeżeli usunięcie danych technikami określonymi w pkt 1 nie jest możliwe.

• Rozporządzenie Ministra Pracy i Polityki Społecznej z dnia 28.11.2007 r. (Dz. U. 2007  nr 228 poz. 1681) w sprawie warunków, sposobu oraz trybu gromadzenia i usuwania danych w ramach Elektronicznego Krajowego Systemu Monitoringu Orzekania o Niepełnosprawności:

Art. 14
Urządzenia lub elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do usunięcia z systemu, pozbawia się zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza w sposób uniemożliwiający ich odczytanie.

• Więcej przykładów takich rozporządzeń

Ponieważ z dysków zniszczonych mechanicznie istnieje możliwość odzyskania danych, ta metoda niszczenia danych i norma DIN 66399 nie spełniają wymagań polskiego prawa.

Jakie mogą być konsekwencje nie dostosowania się do wymogów polskiego prawa?

Ustawa o ochronie danych osobowych (z dn. 29 sierpnia 1997 r. Dz. U. Nr 133, poz. 883 z późn. zm.)

Art. 51.

1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.