13.02.2014

Komu dane firmowe? Tanio sprzedam! cz. 2

Serwis zaufanatrzeciastrona.pl donosi, że mimo obietnicy złożonej przez PKO BP "Po zakończeniu ustaleń PKO Bank Polski podejmie dalsze skuteczne działania w celu wyeliminowania możliwości zaistnienia podobnych przypadków w przyszłości" w dalszym ciągu w serwisach aukcyjnych wciąż można kupić urządzenia tego banku. Problem z kontrolą nad utylizowanymi sprzętami ma jednak także wiele innych firm na świecie. Jak informują internauci "Nawet korporacje z FTSE zlecają utylizacje sprzętu komputerowego zewnętrznym firmom, firmy te zabierają sprzęt, a potem pojawia się on … [na przykład] na polskim Allegro".

W sierpniu 2013 informowaliśmy o ciekawym znalezisku osoby, która za bardzo niską cenę kupiła w serwisie aukcyjnym używany i uszkodzony ruter Cisco, który, jak się potem okazało, należał do PKO BP. Co prawda pliki obecne na nim były nieaktualne i niewiele warte dla osób postronnych (chyba, że chciałyby po włamaniu do sieci banku poznać ją trochę lepiej i być może wykorzystać w niecnych celach), i bank obiecał, że podejmie skuteczne działania w kierunku zabezpieczenia procesu utylizacji, ale najwyraźniej efekty tych działań jeszcze nie nadeszły, ponieważ niedawno na kolejnej aukcji znaleziono ruter z dwa lata młodszą konfiguracją (z 2011 roku zamiast z 2009).

Tak, czy inaczej, pojawienie się w sprzedaży tego rutera pobudziło internautów do podzielenia się pewnymi, bardzo ciekawymi historiami, które chcemy przytoczyć:

"Radbard: Norma – kiedyś wygrałem przetarg na „zużyte” komputery szpitala miejskiego….nawet im (informatykom) się nie chciało wyjmować dysków czy choćby formata walnąć. Miałem dostęp do wszystkich danych na dyskach (daty zabiegów, wyniki badań, karty pacjentów)."

"Dinth: Za granica nie jest inaczej. Nawet korporacje z FTSE zlecają utylizacje sprzętu komputerowego zewnętrznym firmom, firmy te zabierają sprzęt, a potem pojawia się on … na polskim Allegro."

Jak to się dzieje, że zewnętrzne firmy, które mają utylizować sprzęt, sprzedają go?

Z naszego doświadczenia wynika, że są ku temu trzy główne powody:

  • czas
  • koszty
  • brak świadomości

Aby być pewnym, że na pewno zniszczono właściwe nośniki trzeba poświęcić dość sporo czasu. Po pierwsze: trzeba przygotować listę niszczonych nośników, spisać ich dane identyfikacyjne (z natury, lub z wewnętrznych dokumentów) i przynajmniej zebrać je w jedno miejsce. To wszystko zajmuje dość dużo czasu, szczególnie, jeśli nośników do zniszczenia jest kilkaset lub kilka tysięcy (i, wbrew pozorom nie są to jakieś wyjątkowe przypadki, ale dość standardowa sytuacja). Po stronie firmy utylizującej powinna natomiast być weryfikacja danych identyfikacyjnych (czyli np. numerów seryjnych) otrzymanych nośników - żeby klient miał zewnętrzne potwierdzenie, że zniszczono właściwe nośniki. Weryfikacja, jakkolwiek zwykle mniej absorbująca czasowo niż inwentaryzacja, również czasem potrafi zająć kilka lub kilkanaście godzin.

To wszystko sprawia, że czasami pracownicy nie posiadający odpowiedniej świadomości ważności tych kroków ("w końcu co może się stać? to tylko komputerowy złom") rezygnują z wykonywania tych kroków. Oszczędzają dzięki temu i czas i środki - firmy utylizacyjne w momencie, gdy mogą po prostu odebrać nośniki, ewentualnie tylko je przeliczając, są w stanie zaoferować naprawdę niskie ceny utylizacji. Tylko co dzieje się dalej?

http://zaufanatrzeciastrona.pl/ cytuje dalej osobę, która ponoć od podszewki zna proceder odsprzedawania używanego sprzętu bez odpowiedniego usunięcia z niego informacji. Informacje przekazane przez niego są zatrważające, ale jednocześnie - bardzo prawdopodobne.

"Bank ogłasza przetarg na utylizację sprzętu komputerowego. Jedna z dużych polskich firm o obco brzmiącej nazwie, zajmujących się tą działalnością, wygrywa przetarg. Firma posiada wszystkie niezbędne kwalifikacje i zezwolenia na przewóz odpadów, ich składowanie, utylizację i recykling. Według umowy firma ma dokonać utylizacji i recyklingu, czyli sprzęt rozebrać na części, podzielić na materiały i zmielić, by odzyskać metale kolorowe. W rzeczywistości jednak firma utylizacyjna odsprzedaje część towaru, nadającą się do dalszej obróbki, firmie Infodruk z Białegostoku. Wybrane palety ze sprzętem jadą następnie do Białegostoku, gdzie pracownicy firmy dokonują segregacji asortymentu. Oddzielane są urządzenia działające, które trzeba tylko przed sprzedażą oczyścić od takich, które wymagają naprawy lub skompletowania jednego działającego z trzech zepsutych. Ze sprzętu precyzyjnie usuwane są naklejki czy inne znaki świadczące o poprzednim posiadaczu. Jeszcze jakiś czas temu firma zatrudniała osobę, której zadaniem było wyczyszczenie wszystkich danych ze sprzedawanych urządzeń, jednak obecnie ten etap przygotowania do sprzedaży jest pomijany. Gotowy sprzęt ląduje na Allegro a firma zaczyna się modlić, by podziałał od 3 do 6 miesięcy (bo na tyle z reguły udziela gwarancji). W ten sposób w ręce internautów trafiały już nie tylko rutery czy inne urządzenia sieciowe, ale także drukarki i ksera, których dyski twarde zawierały skany dowodów lub umów a nawet całe komputery z dyskami zawierającymi wszystkie możliwe dane. Cały proceder toczy się w niezakłócony sposób od co najmniej 10 lat."

Obudowy dysków po wymontowaniu talerzyWarto zwrócić uwagę, że mówienie o dysku twardym jako o nośniku, jest tylko skrótem myślowym. Tak naprawdę nośnikami danych w dysku twardym są talerze (i, ewentualnie, kości pamięci) - i to właśnie je należy zniszczyć, aby usunąć dane. Aluminiowa obudowa, magnesy, śrubki, przewody, czy plastiki obecne w obudowie, są natomiast materiałami znakomicie nadającymi się do recyklingu. Odzysk takich materiałów jest ze wszech miar godny uznania - w obliczu zmniejszających się dostępnych na świecie metali ziem rzadkich, jest to dobry sposób na odzyskanie cennych pierwiastków. Ponadto - jeżeli można naprawić jakieś jedno urządzenie kompletując je z trzech, czy czterech innych - to również trudno dopatrywać się tutaj czegoś ujemnego - jest to wypełnienie idei utylizacji. 

Jeżeli jednak przy kompletowaniu sprzętu wykorzystuje się nośnik, który zobowiązało się zniszczyć - to jest to zupełnie inna kwestia. Jest to nie tylko jawne wykroczenie przeciwko przepisom polskiego prawa, wymagającego nieodwracalności zniszczenia danych, ale także nadużycie zaufania klienta i potwierdzenie nieprawdy (na Protokole i/lub Certyfikacie Zniszczenia).

Co więc można zrobić, aby możliwie jak najlepiej zabezpieczyć się przed utratą danych podczas utylizacji? Należy nie zadowalać się tylko poprawnością od strony dokumentacyjnej, ale sprawdzać każdy etap usługi i maksymalnie ograniczać szanse wystąpienia nadużyć. Warto też wybrać metodę, która pozwoli całkowicie zniszczyć nawet najmniejszy fragment nośnika - w świetle coraz większych możliwości odzyskiwania danych, nawet z maleńkich fragmentów dysku, jest to coraz bardziej właściwy wybór. Jedną z takich metod wykorzystuje technologia LiquiDATA, która sprawia, że niszczone nośniki rozpuszczają się w pozbawioną właściwości magnetycznych, ekologiczną ciecz, z której niemożliwe jest odzyskanie jakichkolwiek danych. Jest to też jedyna aktualnie dostępna całkowicie skuteczna technologia niszczenia danych, która pozwala uniknąć ryzyka transportu – cały proces niszczenia może odbyć się w siedzibie klienta.

źródło zdjęcia na początku artykułu: angielska Wikipedia, autor: Coolcaesar

Certyfikowany Instytut Niszczenia Danych Sp. z o.o.
ul. Stanów Zjednoczonych 4, 54-403 Wrocław
Al. 1 Maja 87, 90-755 Łódź

bok@niszczenie.pl
+48 717 237 000