Betrouwbaarheid

Waarom je altijd je eigen gegevens moet vernietigen

IN HET KORT

Het beveiligen van gegevens betekent soms het verwijderen ervan en het vernietigen van het apparaat waarop het is opgeslagen. Misschien contra-intuïtief, maar vaak noodzakelijk. We gaan dieper in op waarom je zorgvuldig moet omgaan met het vernietigen van gegevens en de verschillende manieren waarop je hiermee om kunt gaan.

Je beschikt over technologische verdedigingsmechanismen, robuuste IT-governance en cyberbewust personeel. Je gegevens worden beschermd, gerepliceerd en geback-upt. Dat is geweldig, maar er is nog één ding dat je moet weten: Waarom je je eigen gegevens zou moeten vernietigen.

Waarom je je eigen gegevens zou moeten vernietigen

Gezien de inspanningen die we verrichten om gegevens te beschermen en om te voldoen aan de schijnbare dichotomie om ervoor te zorgen dat ze zowel toegankelijk als veilig zijn, is het contra-intuïtief om de moedwillige vernietiging van gegevens niet alleen als een vereiste, maar als een noodzaak te beschouwen.

Er zijn verschillende redenen waarom je dit zou moeten doen.

Hardware vervangen

Hardware veroudert en heeft net als alle machines een eindige levensduur. Wanneer servers, desktopcomputers, laptops, Network Attached Storage-apparaten en mobiele apparaten zoals mobiele telefoons en tablets overbodig zijn, moeten ze worden weggegooid.

Het apparaat kan worden vervangen als gevolg van een hardwarefout. Sommige bedrijven wachten niet op een defect, maar beheren proactief het buiten gebruik stellen van hardware om onvoorziene downtime te voorkomen. Verschillende klassen van apparaten krijgen een gebruiksduur toegewezen en zodra ze die leeftijd bereiken, worden ze vervangen.

Apparaatvervangingen kunnen ook worden gedreven door externe factoren, zoals de release van een nieuwe versie van Microsoft Windows. Als je oude hardware niet de kracht heeft om het nieuwe besturingssysteem te draaien, zal het vervangen moeten worden.

Hergebruik van hardware

Als iemand zijn functie verlaat en zijn laptop of desktop opnieuw wordt ingezet voor zijn vervanger, moet je het apparaat veilig wissen voordat je het aan de nieuwe medewerker geeft.

Wetgevende of nalevingsredenen

Wetgeving zoals de Algemene Verordening Gegevensbescherming dwingt organisaties om publiekelijk aan te geven (meestal in hun online Privacybeleid) hoe lang ze persoonlijk identificeerbare informatie – persoonsgegevens – zullen bewaren. Dit wordt de bewaartermijn genoemd.

Het bewaren van gegevens langer dan de aangegeven bewaartermijn kan leiden tot ernstige overtredingen van het gegevensbeschermings- en privacybeleid en ongewenste aandacht van de betreffende toezichthoudende autoriteit. Om nog maar te zwijgen van ongewenste kosten en reputatieschade.

Alles weggeven

Er wordt veel moeite gedaan om te voorkomen dat bedreigers uw gegevens in handen krijgen. Als je oude hardware weggooit zonder goed na te denken over de gegevens die erop staan, geef je die gegevens rechtstreeks aan de slechteriken.

Gevoelige papieren documenten gooi je niet bij het gewone huisvuil. Je versnippert ze om ze ontoegankelijk en onleesbaar te maken. Je moet de gegevens ook veilig van oude hardware wissen.

Afgezien van de commerciële gevolgen van het uitlekken van gevoelige bedrijfsinformatie, geldt het in Europa als een datalek waartegen actie kan worden ondernomen als er persoonlijk identificeerbare informatie in de gegevens is opgenomen.

Harde schijven veilig wissen

Er zijn maar een paar manieren om je gegevens veilig van een harde schijf te verwijderen of de harde schijf onleesbaar te maken. U kunt:

  • De gegevens overschrijven
  • De schijven degausseren
  • De schijven fysiek beschadigen of vernietigen

Elk van deze technieken heeft voor- en nadelen en sommige bedrijven gebruiken er meer dan één tegelijk.

Gegevens overschrijven

Wanneer een besturingssysteem een bestand verwijdert, verwijdert het de naam van het bestand uit de lijst met bestanden op de harde schijf en markeert het de ruimte op de harde schijf waar het bestand was opgeslagen als beschikbaar voor hergebruik.

Uiteindelijk zal dat gebied van de harde schijf worden overschreven door een ander bestand. Als dat gebied van de harde schijf niet overschreven is, is het triviaal om de gegevens van het verwijderde bestand terug te halen daar op de harde schijf waar het was. Het verwijderen van alle bestanden voordat je een oude harde schijf of computer weggooit is bij lange na niet genoeg om onbevoegde toegang tot de verwijderde gegevens te voorkomen. Ze moeten doelbewust worden overschreven.

Specialistische softwarepakketten kunnen worden gebruikt om gegevenswaarden naar elk mogelijk gegevenspunt op een harde schijf te schrijven, waardoor alles wat er eerder op was opgeslagen wordt gewist. Overschrijven gaat echter langzaam, vooral als je harde schijven met een hoge capaciteit moet wissen of een grote stapel schijven moet doorwerken.

Overschrijfsoftware is geen onfeilbare manier om een Solid-State Drive (SSD) veilig te wissen. Je moet de website van de fabrikant raadplegen en het merkspecifieke hulpprogramma verkrijgen om een SSD volledig te wissen.

Het overschrijven van gegevens op een fysieke schijf of het volledig wissen van een SSD beschadigt de schijf zelf niet. De schijf kan opnieuw worden gebruikt. Als je een machine schoonmaakt om door te geven aan een andere werknemer of te doneren aan een goed doel, is dit een goede methode om te gebruiken.

Degaussing

Traditionele fysieke harde schijven slaan hun gegevens op als magnetische patronen op de draaiende platters. Degaussing, of demagnetisering, gebruikt sterke magnetische velden om deze patronen te verstoren, waardoor de hele harde schijf wordt gewist.

Degaussing is niet selectief, je kunt de platters niet zelf degausseren – in plaats daarvan wordt het hele mechanisme van de harde schijf beschadigd. Dat betekent dat het vaak de firmwaregegevens van de servocontroller wist, waardoor de schijf onbruikbaar wordt. Dit verkleint de kans dat iemand ooit gegevens van die schijf leest.

Als je echter van plan was om de schijf opnieuw te gebruiken nadat deze was gewist, dan is degaussing niet de juiste manier. Zelfs als de schijf nog werkt na degaussing, hebt u een schijf waarvan de levensduur twijfelachtig is – en u hebt zojuist uw garantie vernietigd.

Degaussing machines zijn duur. Er zijn goedkopere degaussingstokken verkrijgbaar, maar voor gegarandeerde vernietiging moet je een krachtig desktopapparaat gebruiken. En omdat SSD’s geen magnetisme gebruiken om hun gegevens op te slaan, werkt degaussing niet op SSD’s.

Fysieke vernietiging van schijven

Als dit goed wordt gedaan, werkt het gegarandeerd. Vernietiging van de harde schijf verwijdert alle kansen om gegevens terug te halen.

Om een mechanische harde schijf grondig te vernietigen kun je er een serie gaten doorheen boren op verspringende afstanden naar buiten toe, dicht bij het midden. Je kunt dit heel eenvoudig doen met een hamer en een aantal spijkers die je erin slaat. Zet de schijf op een houten blok en sla een paar spijkers door de platen, waardoor ze verbrijzelen.

Er zijn ook shredders waar je een harde schijf in kunt laten vallen. Deze verpulveren de schijf dan. Ze kosten wel een fortuin en maken enorm veel geluid. Hetgeen waar je bij zulke shredders op moet letten is de helling van de versnipperingswielen. Ze staan meestal ongeveer 2,5 cm uit elkaar. Sommige chips in SSD’s zijn kleiner dan dat, dus herwonnen chips kunnen uit de spaanders worden gehaald, in donoreenheden worden getransplanteerd en weer tot leven worden gewekt.

Voor schijfvernietiging heb ik zelfs gehoord van organisaties die deals sloten met metaalterugwinningsfabrieken die de schijven gratis voor hen smolten en het metaal recycleerden. Naast het aanpakken van het probleem van gegevensvernietiging, hielp dit ook bij het duurzaamheidsprogramma en de groene doelstellingen van de organisatie.

De cloud en Software-as-a-Service

Met de massale opkomst van cloud-opslag hoeft u zich niet alleen zorgen te maken over lokale harde schijven. Uw gegevens staan nu op de harde schijven van iemand anders. Een datacenter bewaakt de gezondheid van zijn harde schijven en vervangt ze bij het eerste teken van een naderend probleem. Hoe verwijderen ze hun oude schijven en uw gegevens? En in elk geval, hoe zullen ze uw gegevens wissen als u naar een andere cloudprovider verhuist?

Dezelfde overwegingen moeten worden gemaakt voor SaaS-aanbieders (Software-as-a-Service). Een traditioneel datacenter is meestal contractueel verplicht om gegevens aan het einde van een contract veilig te vernietigen en een schriftelijke bevestiging te geven dat dit is gebeurd. Dat soort striktheid is veel zeldzamer bij SaaS-aanbieders.

Zorg ervoor dat gegevensvernietiging deel uitmaakt van je contract of overeenkomst voordat je met hen in zee gaat. Laat het schriftelijk vastleggen en zorg ervoor dat een verklaring of certificaat van veilige gegevensvernietiging een overeengekomen resultaat is.

Niet alleen harde schijven

Alles waar je gegevens op kunt opslaan moet worden vernietigd of gewist voordat het wordt weggegooid of hergebruikt. Dat betekent:

  • CD’s
  • DVD’s
  • Back-up banden
  • Externe harde schijven
  • USB-geheugensticks

Mobiele telefoons zijn een andere belangrijke categorie die een zorgvuldige gegevensvernietiging vereisen. Een eenvoudige fabrieksreset is vaak niet goed genoeg omdat tools voor gegevensherstel deze maatregel kunnen omzeilen.

Voor een veiligere verwijdering gebruik je gespecialiseerde software die is ontworpen voor mobiele apparaten of raadpleeg je de richtlijnen van de fabrikant van je telefoon.

Zelfs apparaten zoals multifunctionele printers kunnen enorme hoeveelheden informatie vasthouden wanneer documenten worden ingevoerd om gekopieerd, geprint of gescand te worden.

Vind een betrouwbare partner

Recyclingbedrijven bieden soms certificaten van veilige gegevensvernietiging aan voor computers en andere gegevensverwerkende apparatuur die ze bij u ophalen. Een goed bedrijf zal aantonen dat het proces end-to-end rigoureus is.

  • Apparatuur wordt bestickerd met een streepjescode wanneer deze wordt opgehaald.
  • Er moet een verzamelmanifest van de ingezamelde apparatuur worden verstrekt met daarop de barcode en de tag of het serienummer van het apparaat dat die sticker heeft gekregen.
  • Ze hebben trackers in hun bestelwagens zodat ze kunnen zien dat de chauffeur niet is afgeweken van de ophaalroute voor die dag.
  • Het papierwerk na de inzameling omvat een certificaat van veilige gegevensvernietiging voor elk apparaat, waarin de sticker met streepjescode wordt gekoppeld aan het serienummer van het apparaat en het serienummer van de harde schijven in het apparaat.
  • Ze zullen een lijst geven van de normen waaraan ze zich houden en de certificeringen die ze hebben, die betrekking moeten hebben op onderwerpen als kwaliteitsbeheer, milieubeheer, informatiebeveiligingsbeheer en veilige vernietiging van vertrouwelijk materiaal.

Het is vrij eenvoudig om een bedrijf te vinden dat deze diensten zonder directe kosten voor je uitvoert, zolang ze winst mogen maken met het recyclen van elektronische apparaten.

Van wieg tot graf

De beveiliging van gegevens begint op het moment dat gegevens voor het eerst worden geschreven naar of gemaakt op een apparaat en duurt totdat dat apparaat uit actieve dienst wordt genomen en de gegevens ondubbelzinnig gegarandeerd van het apparaat zijn verwijderd.

Conclusie

Je gegevens bevatten zoveel sleutels tot een deel van je leven en de vernietiging ervan moet met evenveel zorg worden behandeld als de bescherming ervan zolang het een doel dient.

Gelukkig zijn er veel methoden om veilig te blijven en de vernietiging van je gegevens te garanderen. Vertrouw alleen niet op “alles naar de prullenbak” – dat is net zo waardevol als je voordeursleutel onder een bloempot laten liggen.

Gerelateerde begrippen

Marshall Gunnell
Technologisch Schrijver

Marshall is een technologisch schrijver uit Tokio en is een groot fan van videogames. Hij bezit professionele kennis van de kunst en heeft onder andere geschreven voor VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier en nog veel meer.