26.11.2013

Bezpieczeństwo w trakcie niszczenia danych

W trakcie II Krajowych Warsztatów Bezpieczeństwa Informacji, które odbyły się w dniu 20 listopada 2013 roku w Ryni, Rafał Iwaniec, Wiceprezes BOSSG Data Security Sp. z o.o. zapoznał wszystkich z możliwymi scenariuszami związanymi z naruszeniem bezpieczeństwa w trakcie przeprowadzania usługi niszczenia informacji z elektronicznych nośników. W spotkaniu uczestniczyli: przedstawiciele Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego, zajmujący się problematyką ochrony informacji niejawnych i bezpieczeństwa teleinformatycznego, przedstawiciele Kancelarii Prezesa Rady Ministrów i Ministerstwa Obrony Narodowej, przedstawiciele stowarzyszeń oraz firm zainteresowanych ochroną informacji niejawnych i bezpieczeństwem teleinformatycznym. 

Prezes Zarządu Krajowego Stowarzyszenia Bezpieczeństwa Teleinformatycznego i Ochrony Informacji Niejawnych - Marek SobczakPoruszane podczas spotkania tematy dotyczyły nie tylko bezpieczeństwa danych, ale także sposobów praktycznej realizacji procesów zarządzania obiegiem informacji niejawnej w jednostce organizacyjnej oraz oceny poziomu zagrożeń dla obiektów przetwarzających informacje niejawne. W poszczególnych tematach przedstawione zostały zadania Kierownika Jednostki Organizacyjnej w kontekście funkcjonowania Kancelarii Tajnej i nadzoru nad jej działalnością, zagrożenia w cyberprzestrzeni i ich wpływ na ochronę informacji, wymagania w zakresie wyposażenia i zabezpieczenia kancelarii tajnej przechowującej narodowe informacje niejawne (wraz z doświadczeniami z wymiany międzynarodowej), oraz wykorzystywanej na potrzeby resortu obrony narodowej. W kolejnych wystąpieniach zaprezentowano dostępne rozwiązania w zakresie ochrony informacji na nośnikach wymiennych, kontenerową kancelarię tajną, system depozytorów kluczy, rozwiązania w zakresie bezpieczeństwa teleinformatycznego WiFi, narzędzia i urządzenia służące do budowy systemów technicznych i fizycznych zabezpieczeń pomieszczeń przeznaczonych do przetwarzania informacji niejawnych, oraz zagadnienia związane z archiwizacją dokumentów niejawnych.

Jedną z ciekawszych informacji przedstawioną przez prelegentów było wskazanie, że w przypadku fizycznego dostępu do komputera, z którego pochodzi nośnik danych szyfrowanie nośnika NIE MA ZNACZENIA, ponieważ wtedy dane zaszyfrowane nawet najsilniejszymi algorytmami w 98% sytuacji są do odczytania w bardzo krótkim okresie czasu i ze sporą dozą łatwości.

Tematem prezentacji BOSSG Data Security były możliwe scenariusze związane z naruszeniami bezpieczeństwa w trakcie przeprowadzania usługi niszczenia informacji z elektronicznych nośników. Dotyczyły one między innymi problemów związanych z nadmiarowością danych (i regulacjach prawnych odnoszących się do tej kwestii), związanych z właściwą identyfikacją i weryfikacją nośników, upewnianiem się, że niszczone są właściwe nośniki danych i to w całości - nie tylko talerze dysków, ale także ich elektronika. Poruszono także kwestie czynnika ludzkiego oraz wskazano na potrzebę specjalnego podejścia do procesu niszczenia w przypadku nośników zawierających informacje niejawne.

Uczestnicy II Krajowych Warsztatów Bezpieczeństwa Informacji

Rafał Iwaniec wskazywał także na zagrożenia wynikające z cedowania odpowiedzialności na firmę niszczącą bez audytowania procesu niszczenia (osobistego lub elektronicznego nadzoru). Obecność GPSu w samochodzie transportującym nośniki nie jest przecież żadną gwarancją, że dyski nie zostaną poddane analizie. Dodatkowo ostatnio "modne" wśród firm niszczących nośniki, jest wywożenie np. dysków twardych do zniszczenia poza granicami Polski, przy czym cena dla klienta chcącego zniszczyć dane jest absurdalnie niska. Na czym polega zysk takiej firmy niszczącej? Na odsprzedaży nośników kolejnym pośrednikom - w cenie obecnych w dyskach surowców wtórnych, lub nawet już uwzględniającej odzyskanie danych z nośników, z których będzie to możliwe. W takim przypadku bezpieczeństwo po prostu nie istnieje - nigdy nie wiadomo, czy gdzieś poza granicami kraju - w Szwecji, Niemczech, Rosji czy Chinach ktoś nie odzyska najpierw informacji, a dopiero później zajmie się procesem recyklingu materiałów z takiego nośnika.

Firma BOSSG Data Security otrzymała także podziękowanie za działalność wspierającą propagowanie ochrony informacji, w tym także bezpieczeństwa teleinformatycznego.

Certyfikowany Instytut Niszczenia Danych Sp. z o.o.
ul. Stanów Zjednoczonych 4, 54-403 Wrocław
Al. 1 Maja 87, 90-755 Łódź

bok@niszczenie.pl
+48 717 237 000