Poistaminen ja hävittäminen saattavat kuulostaa samalta, mutta näitä kahta termiä ei pidä missään nimessä sekoittaa keskenään. Tietojen poistaminen jättää tiedot palautettaviksi, kun taas tietojen hävittäminen on pysyvää. Varsinkin yrityksille näiden kahden termin sekoittaminen voi aiheuttaa merkittäviä ongelmia.

Tietojen hävittämisen määritelmä aiheuttaa paljon sekaannusta. Suurimmaksi osaksi se johtuu siitä, että ajatellaan formatoinnin ja “delete” -painikkeen painamisen olevan turvallisia ja pysyviä tiedonhävitysmenetelmiä - näin ei kuitenkaan missään nimessä ole!

Edelleen suurin osa yritysten työntekijöistä uskoo näiden menetelmien olevan luotettavia. Sen seurauksena organisaation arkaluonteiset tiedot jäävät alttiiksi mahdollisille tietoturvarikkomuksille.

Enemmän dataa kuin koskaan ennen

Yrityksissä luodaan, tallennetaan ja lähetetään enemmän dataa kuin koskaan ennen. Vuonna 2018 tallennetun datan kokonaismäärä oli 33 tsettatavua (ZB). Vuoteen 2025 mennessä IDC ennustaa, että luku kasvaa maailmanlaajuisesti 175 tsettatavuun. Yritysdatalla on suuri arvo, mutta siihen liittyy myös suuri riski. Mitä enemmän dataa yrityksessänne käsitellään, sitä suurempi on altistumisen riski.

Minkä tyyppistä dataa on olemassa?

Asiakastiedot - Tähän sisältyy henkilökohtaisia tietoja (PII). Asiakastietojen avulla voi tunnistaa henkilön nimen, osoitteen, tilinumeron, taloudelliset tiedot ja sosiaaliturvatunnuksen. Se kattaa myös suojatut terveystiedot (PHI), kuten sairauskertomukset tai niihin liittyvät maksutiedot.

Työntekijöiden tiedot – Tämä on sama kuin asiakastiedot, mutta sisältää myös palkka- ja muita työhön liittyviä tietoja.

Yritystiedot – Tähän voivat kuulua mm. immateriaalioikeudet, tutkimus- ja kehitystiedot, markkinointitiedot, yrityskauppaa koskevat tiedot, taloudelliset tulokset, sisäinen viestintä sekä operatiiviset tiedot.

Myytävä tieto

Äskettäin tekemämme tutkimuksen tulosten mukaan vaara poistamisen ja hävittämisen sekoittamiseen keskenään on ilmeinen. Yhteistyössä Blancco Technologiesin kanssa ostimme 159 käytettyä levyasemaa (kiintolevyjä ja SSD-levyjä) eBaysta ja Amazonista niiden mahdollisesti sisältämän tiedon analysoimiseksi.

Havaitsimme, että 42 % laitteista sisälsi arkaluonteisia tietoja, 15 % sisälsi henkilön tunnistetietoja (PII, personally identifiable information). Toisin sanoen, kolme kahtakymmentä analysoitua levyasemaa kohden sisälsi henkilön tunnistetietoja.

Jotkut henkilön tunnistetiedot (PII) sisälsivät:

• Ohjelmistokehittäjän levyasemassa oli tietoja hallituksen korkean tason turvallisuusselvityksistä (security clearance), skannatut kuvat perheen passeista ja syntymätodistuksista, ansioluettelot sekä perheen taloustietoja
• Yliopiston opiskelijatietoja ja niihin liittyviä sähköpostiosoitteita
• Suuren matkatoimiston arkistoituja sisäisiä sähköposteja 5 GB
• Kuljetusyhtiön tietoja 3 GB, sisältäen tietoja kuljetusten yksityiskohdista, aikatauluja ja kuorma-autojen rekisteröintitietoja
• Musiikkikaupan yritystietoja, mukaan lukien 32 000 valokuvaa
• Koulutietoja, joissa oppilaiden valokuvia, nimet ja arvosanat

Yksi tutkimuksen kannalta merkittävimmistä huolenaiheista on se, että jokainen tutkimukseemme levyasemia myynyt myyjä vakuutti, että niistä oli hävitetty tiedot asianmukaisesti. Tulokset osoittavat, että näin ei ollut. Vaikka ihmiset tiedostavat tietojen luotettavan hävittämisen tärkeyden, heidän käyttämänsä menetelmät ovat riittämättömiä.

Formatointi ja deletointi

Formatointi

On yleinen harhaluulo, että kovalevyn formatointi (alustus) on turvallinen tapa poistaa tietoja. Se on varmasti parempi toimenpide kuin yksinkertainen tiedostojen deletointi (poistaminen, roskakoriin vetäminen ja tyhjentäminen), mutta formatointikaan ei hävitä tiedostoja. Formatointi merkitsee tiedostot poistetuiksi ja vapauttaa levyaseman muistitilan käytettäväksi uudelleen. Et näe kuvaruudulla mitään, mutta alkuperäiset tiedostot on edelleen mahdollista palauttaa.

Roskakori

Yksi poistomenetelmä, joka usein sekoitetaan tietojen lopulliseen hävittämiseen on roskakorin käyttö kannettavassa tai pöytätietokoneessa. Roskakoriin siirretyt tiedostot ovat edelleen kiintolevyllä vielä roskakorin tyhjentämisenkin jälkeen. Tiedostot eivät ole näkyvissä, mutta suurin osa tiedonpalautusohjelmista pystyy palauttamaan kyseiset tiedostot nopeasti.

Työkalut tietojen hävittämiseen

Tiedonhävitysohjelmat

Tiedonhävitysohjelma hävittää tiedot pysyvästi kaikista IT-laitteista, mukaan lukien tietokoneet, kiintolevyt, palvelimet, levyjärjestelmät ja älypuhelimet. Ohjelma hävittää tiedot ylikirjoittamalla alkuperäisten tiedostojen päälle ”puppua”. Laitteet säilyvät toimintakuntoisina, joten yrityksenne voi turvallisesti kierrättää, myydä tai ottaa uudelleen käyttöön tällä menetelmällä tyhjennetyt tallennusvälineet.

Magnetointilaite

Magnetointilaite (degausser) on kokonaisvaltainen tiedonhävitysratkaisu sähkömagneettisille tallennusvälineille. Laite altistaa tallennusvälineen huippuvoimakkuudeltaan 18 000 gaussin magneettikentälle, joka hävittää tiedot 100 % varmasti vain sekunneissa. Näin voimakas magneettikenttä riittää tallennusvälineiden erilaisille oersted-arvoille ja ylittää valmistajien suosittelemat gaussitasot tallennusvälineiden turvalliseen tyhjentämiseen.

Murskaimet

Murskain ovat turvallinen ja tehokas tapa tuhota kiintolevyjä, SSD-levyjä, älypuhelimia, minitabletteja ja muistitikkuja. Murskain silppuaa tallennusvälineen pieniksi paloiksi, jonka jälkeen ne ovat luonnollisesti käyttökelvottomia. Korkeimmalle turvatasolle sertifioidut murskaimet ovat tehokas tapa tuhota määrätyn laiset tallennusvälineet nopeasti ja turvallisesti.

Sertifioitu tietojen hävittäminen

On tärkeää varmistaa, että yrityksissä noudatetaan vaadittavia tietoturvastandardeja. Erittäin säännellyillä aloilla toimiville organisaatioille sertifioitu tietojen hävittäminen on välttämättömyys. Tiedonhävityssertifikaatit ja tiedonhävitysstandardit eivät ole sama asia. Tiedonhävitysstandardi on viranomaisten määrittämä tapa, miten tallennusväline tulee tyhjentää. Mikä tahansa organisaatio voi noudattaa standardin ohjeita, mutta se ei tarkoita, että itse organisaatio olisi sertifioitu täyttämään viranomaisten tiukat vaatimukset. Tiedonhävityssertifikaatit korostavat tiedonhävitysmenetelmien kykyä vastata kaikkein tiukimmin säänneltyjen toimialojen tarpeisiin. Sertifioidut tiedonhävitysmenetelmät tuottavat yritykselle tietojen hävittämisestä auditointikelpoisen todistuksen, jota ei voi väärentää. Todistuksella voidaan helpommin osoittaa, että täytetään viranomaisten vaatimukset.

Tunnista erot

Yksityishenkilöiden ja yritysten on tärkeä ymmärtää tietojen poistamisen ja hävittämisen välinen ero kun suojataan arkaluonteisia tietoja. Se voi tuntua yksinkertaiselta asialta, mutta vielä tänäkin päivänä sattuu paljon sekaannuksia, jotka liittyvät oikeiden ja turvallisten tiedonhävitysmenetelmien valintaan. Jos olet epävarma, ota aina yhteyttä asiantuntijaan – arkaluonteisten tietojen vuotaminen vääriin käsiin ei ole riskin arvoista!

Tarjoamme erilaisia tiedonhävityspalveluita erilaisille tallennusvälineille ja erilaisiin tarpeisiin – itse tai yhdessä yhteistyökumppaniemme kanssa. Lisätietoa saat ottamalla yhteyttä asiantuntijoihimme.