Duomenų kapinynas: CISO vadovas reikalavimus atitinkančiam ir audituojamam duomenų sunaikinimui

Maria, sparčiai augančios finansinių technologijų įmonės CISO, pajuto pažįstamą įtampą skrandyje. Iki išorinio GDPR audito buvo likusios šešios savaitės, o įprasta turto apskaitos patikra ką tik iškėlė įmonės praeities šešėlį: užrakintą sandėliavimo patalpą senajame biuro pastate, pilną iš eksploatacijos išimtų serverių, dulkėtų atsarginių kopijų juostų ir krūvų senų darbuotojų nešiojamųjų kompiuterių. „Duomenų kapinynas“, kaip niūriai jį vadino jos komanda, nebebuvo pamiršta problema. Tai buvo tiksinti atitikties bomba.

Kokie jautrūs klientų duomenys, intelektinė nuosavybė ar asmens identifikavimo informacija (PII) slypėjo tuose diskuose? Ar bent dalis jų buvo tinkamai išvalyta? Ar apskritai buvo įrašų, kurie tai patvirtintų? Atsakymų nebuvimas ir buvo tikroji grėsmė. Informacijos saugumo srityje tai, ko nežinote, gali jums pakenkti – ir dažnai pakenkia.

Šis scenarijus nėra būdingas tik Marijai. Daugeliui CISO, atitikties vadovų ir verslo savininkų senieji duomenys reiškia didelę, neįvertintą riziką. Tai tylus rizikos šaltinis, didinantis jūsų atakos paviršių, apsunkinantis duomenų subjektų prašymų vykdymą ir sukuriantis minų lauką auditoriams. Esminis klausimas paprastas, bet itin sudėtingas: ką daryti su jautriais duomenimis, kurių nebereikia? Atsakymas nėra vien paspausti „delete“. Reikia sukurti pagrindžiamą, pakartojamą ir audituojamą informacijos gyvavimo ciklo valdymo procesą – nuo sukūrimo iki saugaus sunaikinimo.

Didelė duomenų kaupimo kaina

Duomenų saugojimas amžinai „dėl visa ko“ yra praeities reliktas. Šiandien tai akivaizdžiai pavojinga strategija. Jautrūs duomenys, išliekantys ilgiau nei jų naudingo arba privalomo saugojimo laikotarpis, kelia organizacijai daugybę grėsmių – nuo atitikties sankcijų ir privatumo pažeidimų iki atsitiktinio nutekėjimo ir net išpirkos reikalaujančios programinės įrangos šantažo.

Duomenų laikymas pasibaigus jų saugojimo terminui sukuria kelias kritines rizikas:

• Atitikties pažeidimas: priežiūros institucijos vis griežčiau vertina nepagrįstą duomenų saugojimą. Duomenų kapinynas yra tiesioginis privatumo principų pažeidimas ir gali lemti reikšmingas baudas.
• Padidėjęs saugumo pažeidimo poveikis: įvykus pažeidimui, kiekvienas saugomas senųjų duomenų vienetas tampa rizika. Įsilaužėlio eksfiltruoti penkerių metų senumo klientų duomenys padaro nepalyginamai didesnę žalą nei vienerių metų duomenų nutekėjimas.
• Veiklos neefektyvumas: nereikalingų duomenų masyvų valdymas, saugojimas ir paieška eikvoja išteklius, lėtina sistemas ir beveik neįmanomu paverčia GDPR numatytos teisės reikalauti ištrinti duomenis įgyvendinimą.

Daugelis organizacijų klaidingai mano, kad paspaudus „delete“ arba pašalinus įrašą iš duomenų bazės duomenys išnyksta. Dažniausiai taip nėra – likutiniai duomenys lieka fizinėse, virtualiose ir debesijos aplinkose.

Reglamentavimo reikalavimai: „saugoti amžinai“ eros pabaiga

Taisyklės pasikeitė. Pasaulinių reglamentų konvergencija aiškiai reikalauja, kad asmens duomenys ir jautri informacija būtų saugomi tik tiek, kiek būtina, ir saugiai ištrinami pasibaigus šiam laikotarpiui. Tai nėra rekomendacija; tai teisinis ir veiklos reikalavimas.

Clarysec Zenith Blueprint: auditoriui skirtas 30 žingsnių veiksmų planas apibendrina kelių reglamentavimo sričių saugaus duomenų sunaikinimo imperatyvą:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): reikalaujama, kad asmens duomenys nebūtų saugomi ilgiau nei būtina, palaikoma teisė reikalauti ištrinti duomenis („teisė būti pamirštam“) ir įpareigojama saugiai ištrinti duomenis, kai jų nebereikia.
✓ NIS2 Article 21(2)(a, d): reikalaujama rizika grindžiamų techninių ir organizacinių priemonių, užtikrinančių saugų duomenų ištrynimą, kai jų nebereikia.
✓ DORA Article 9(2)(a–c): reikalaujama apsaugoti jautrią informaciją per visą jos gyvavimo ciklą, įskaitant saugų sunaikinimą.
✓ COBIT 2019 – DSS01.05 & DSS05.07: apima saugų duomenų ištrynimą, laikmenų sunaikinimą ir informacijos išteklių pašalinimą pasibaigus jų eksploatavimo laikui.
✓ ITAF 4th Edition – Domain 2.1.6: reikalaujama saugaus duomenų sunaikinimo ir pašalinimo įrodymų pagal teisinius ir reguliacinius įpareigojimus.

Tai reiškia, kad organizacija privalo turėti dokumentuotus, įgyvendintus ir audituojamus duomenų ištrynimo procesus. Tai taikoma ne tik popieriniams įrašams ar kietiesiems diskams, bet kiekvienai skaitmeninės aplinkos daliai, įskaitant debesijos saugyklą, atsargines kopijas, taikomųjų programų duomenis ir trečiųjų šalių tiekėjus.

Nuo chaoso prie kontrolės: politika grindžiamos sunaikinimo programos kūrimas

Pirmasis žingsnis neutralizuojant duomenų kapinyno bombą – nustatyti aiškią ir įpareigojančią sistemą. Tvirta sunaikinimo programa prasideda ne nuo dokumentų naikiklių ir išmagnetinimo įrenginių, o nuo aiškiai apibrėžtos politikos. Šis dokumentas tampa vieninteliu patikimu informacijos šaltiniu visai organizacijai, suderindamas verslo, teisės ir IT komandas dėl to, kaip duomenys valdomi ir sunaikinami.

Clarysec Duomenų saugojimo ir sunaikinimo politika pateikia tam skirtą struktūrą. Vienas pagrindinių jos tikslų aiškiai nurodytas politikos 3.1 punkte:

„Užtikrinti, kad duomenys būtų saugomi tik tiek laiko, kiek būtina pagal teisės aktus, sutartinius įsipareigojimus arba veiklos poreikius, ir saugiai sunaikinami, kai jų nebereikia.“

Šis paprastas teiginys keičia organizacijos požiūrį iš „saugoti viską“ į „saugoti tai, kas būtina“. Politika nustato formalų procesą ir užtikrina, kad sprendimai nebūtų savavališki, o būtų susieti su konkrečiais įpareigojimais. Kaip pabrėžiama Duomenų saugojimo ir sunaikinimo politikos 1.2 punkte, ji skirta palaikyti ISO/IEC 27001:2022 įgyvendinimą, nustatant duomenų saugojimo trukmės kontrolę ir užtikrinant pasirengimą auditams bei priežiūros institucijų patikrinimams.

Mažesnėms organizacijoms didelės įmonės lygmens politika gali būti perteklinė. Duomenų saugojimo ir sunaikinimo politika – MVĮ siūlo supaprastintą alternatyvą, orientuotą į esminius reikalavimus, kaip nurodyta politikos 1.1 punkte:

„Šios politikos tikslas – apibrėžti įgyvendinamas informacijos saugojimo ir saugaus sunaikinimo taisykles MVĮ aplinkoje. Ji užtikrina, kad įrašai būtų saugomi tik tiek laiko, kiek reikalaujama pagal įstatymus, sutartinius įsipareigojimus arba veiklos būtinybę, o vėliau saugiai sunaikinami.“

Nesvarbu, ar tai didelė įmonė, ar MVĮ, politika yra kertinis elementas. Ji suteikia įgaliojimus veikti ir sistemą, užtikrinančią, kad veiksmai būtų nuoseklūs, pagrindžiami ir suderinti su saugumo gerąja praktika.

Plano įgyvendinimas: ISO/IEC 27001:2022 kontrolės priemonės praktikoje

Turėdama politiką, Maria dabar gali jos principus paversti konkrečiais veiksmais, vadovaudamasi ISO/IEC 27001:2022 kontrolės priemonėmis. Čia svarbiausios dvi kontrolės priemonės:

• Kontrolės priemonė 8.10 Informacijos ištrynimas: ji reikalauja, kad „informacinėse sistemose, įrenginiuose ar bet kokiose kitose saugojimo laikmenose saugoma informacija būtų ištrinama, kai jos nebereikia.“
• Kontrolės priemonė 7.14 Saugus įrangos šalinimas arba pakartotinis naudojimas: ši kontrolės priemonė orientuota į fizinę aparatinę įrangą ir užtikrina, kad saugojimo laikmenos būtų tinkamai išvalytos prieš įrangą šalinant, pritaikant kitam naudojimui arba parduodant.

Tačiau ką iš tikrųjų reiškia „saugiai ištrinta“? Būtent čia auditoriai atskiria brandžias organizacijas nuo deklaratyvių. Pagal Zenith Blueprint, tikras ištrynimas yra gerokai daugiau nei failo perkėlimas į šiukšlinę. Jis apima metodus, dėl kurių duomenų nebeįmanoma atkurti:

Skaitmeninėse sistemose ištrynimas turi reikšti saugų ištrynimą, o ne vien „delete“ paspaudimą ar šiukšlinės ištuštinimą. Tikras ištrynimas apima:
✓ duomenų perrašymą (pvz., taikant DoD 5220.22-M arba NIST 800-88 metodus),
✓ kriptografinį ištrynimą (pvz., sunaikinant šifravimo raktus, naudotus duomenims apsaugoti),
✓ arba saugaus išvalymo įrankių taikymą prieš nutraukiant įrenginių eksploataciją.

Fiziniams įrašams Zenith Blueprint rekomenduoja kryžminį smulkinimą, sudeginimą arba sertifikuotų sunaikinimo paslaugų naudojimą. Šios praktinės gairės padeda organizacijoms pereiti nuo politikos prie procedūrų ir apibrėžti tikslius techninius veiksmus, reikalingus kontrolės priemonės tikslui pasiekti.

Holistinis požiūris: tarpusavyje susijęs sunaikinimo saugumo tinklas

Duomenų kapinyno sutvarkymas nėra vienos krypties užduotis. Veiksmingas duomenų sunaikinimas glaudžiai susijęs su kitomis saugumo sritimis. Čia būtinas holistinis požiūris, kurį pateikia Clarysec Zenith Controls: kelių atitikties sričių kontrolės priemonių vadovas. Jis veikia kaip kompasas, parodantis, kaip viena kontrolės priemonė priklauso nuo daugelio kitų, kad veiktų efektyviai.

Per šią prizmę panagrinėkime Kontrolės priemonę 7.14 (Saugus įrangos šalinimas arba pakartotinis naudojimas). Zenith Controls vadovas rodo, kad tai nėra izoliuota veikla. Jos sėkmė priklauso nuo susijusių kontrolės priemonių tinklo:

• 5.9 Turto apskaita: negalite saugiai sunaikinti to, apie ką nežinote. Pirmasis Marijos žingsnis turi būti kiekvieno serverio, nešiojamojo kompiuterio ir juostos toje sandėliavimo patalpoje inventorizavimas. Tiksli turto apskaita yra pagrindas.
• 5.12 Informacijos klasifikavimas: sunaikinimo metodas priklauso nuo duomenų jautrumo. Turite žinoti, ką naikinate, kad pasirinktumėte tinkamą išvalymo lygį.
• 5.34 Privatumas ir PII apsauga: įrangoje dažnai būna asmens duomenų. Sunaikinimo procesas turi užtikrinti, kad visa PII būtų negrįžtamai sunaikinta, tiesiogiai susiejant procesą su privatumo įpareigojimais pagal tokius teisės aktus kaip GDPR.
• 8.10 Informacijos ištrynimas: ši kontrolės priemonė nurodo „ką“ daryti (ištrinti informaciją, kai jos nebereikia), o 7.14 nurodo „kaip“ tai atlikti pagrindinėse fizinėse laikmenose. Tai dvi tos pačios monetos pusės.
• 5.37 Dokumentuotos veiklos procedūros: saugus sunaikinimas turi vykti pagal apibrėžtą, pakartojamą procesą, kad būtų užtikrintas nuoseklumas ir sukurtas audito pėdsakas. Ad hoc sunaikinimai bet kuriam auditoriui yra aiškus įspėjamasis signalas.

Ši tarpusavio priklausomybė rodo, kad brandi saugumo programa duomenų sunaikinimą laiko ne tvarkymo užduotimi, o integruota informacijos saugumo valdymo sistemos (ISVS) dalimi.

Techninis gilinimasis: laikmenų išvalymas ir palaikantys standartai

Norint veiksmingai įgyvendinti šias kontrolės priemones, būtina suprasti skirtingus laikmenų išvalymo lygius, aprašytus tokiuose standartuose kaip NIST SP 800-88. Šie metodai siūlo sluoksniuotą požiūrį, užtikrinantį, kad duomenų nebūtų galima atkurti, atsižvelgiant į jų jautrumą.

Tinkamo metodo pasirinkimas priklauso nuo duomenų klasifikacijos. Specializuotų standartų gairės čia yra itin vertingos. Tvirta programa remiasi plačiu palaikančių standartų ir metodikų rinkiniu, neapsiribodama vien ISO/IEC 27001:2022.

Auditorius jau ateina: kaip įrodyti, kad procesas veikia

Audito išlaikymas reiškia ne tik teisingų veiksmų atlikimą; reikia įrodyti, kad jie buvo atlikti. Marijai tai reiškia kiekvieno jos duomenų kapinyno turto sunaikinimo proceso žingsnio dokumentavimą. Zenith Blueprint pateikia aiškų kontrolinį sąrašą, ko auditoriai reikalaus dėl Kontrolės priemonės 8.10 (Informacijos ištrynimas):

„Pateikite savo Informacijos ištrynimo politiką… Parodykite techninį taikymą per sukonfigūruotus saugojimo nustatymus jūsų verslo sistemose… Gali būti paprašyta pateikti saugių ištrynimo metodų įrodymų: diskų išvalymo patvirtintais įrankiais… arba saugaus dokumentų sunaikinimo. Jei duomenis ištrinate pasibaigus sutarties galiojimui… parodykite tai patvirtinantį audito pėdsaką arba užklausą.“

Norint patenkinti auditorių reikalavimus, kiekvienam sunaikinimo įvykiui būtina sukurti išsamų įrodymų paketą. Duomenų ištrynimo registras yra būtinas.

Audito pėdsako pavyzdinė lentelė

Auditoriai į šį procesą žvelgia iš skirtingų perspektyvų. Zenith Controls vadove išsamiai nurodoma, kaip įvairios audito metodikos vertina procesą:

Dažnos klaidos ir kaip jų išvengti

Net turėdamos politiką, daugelis organizacijų suklumpa ją įgyvendindamos. Toliau pateikiamos dažnos klaidos ir paaiškinama, kaip struktūruotas požiūris padeda jas spręsti:

Išvada: paverskite duomenų kapinyną strateginiu pranašumu

Po šešių savaičių Maria GDPR auditoriui pristatė savo komandos darbą. Sandėliavimo patalpa buvo tuščia. Vietoje jos buvo skaitmeninis archyvas su kruopščiu kiekvieno iš eksploatacijos išimto turto įrašu: inventorizacijos žurnalais, duomenų klasifikavimo ataskaitomis, išvalymo procedūromis ir pasirašytomis sunaikinimo pažymomis. Tai, kas anksčiau kėlė nerimą, tapo brandžios rizikos valdymo praktikos demonstracija.

Duomenų kapinynas yra reaktyvios saugumo kultūros simptomas. Jo transformavimui reikalingas proaktyvus, politika grindžiamas požiūris. Jis reikalauja duomenų sunaikinimą vertinti ne kaip IT tvarkymo darbą, o kaip strateginę saugumo funkciją, kuri mažina riziką, užtikrina atitiktį ir parodo įsipareigojimą saugoti jautrią informaciją.

Pasirengę sutvarkyti savo duomenų kapinyną? Pradėkite nuo įrodymais grindžiamo, atsparaus informacijos gyvavimo ciklo valdymo pagrindo sukūrimo.

Praktiniai kiti žingsniai:

1. Sukurkite pagrindą: įgyvendinkite aiškią ir taikytiną politiką naudodami Clarysec šablonus, pavyzdžiui, Duomenų saugojimo ir sunaikinimo politiką arba Duomenų saugojimo ir sunaikinimo politiką – MVĮ.
2. Sukurkite viso turto žemėlapį: sukurkite ir prižiūrėkite išsamią visų informacijos išteklių apskaitą. Negalite sunaikinti to, apie ką nežinote.
3. Apibrėžkite ir įgyvendinkite saugojimą: nustatykite formalų saugojimo terminų grafiką, susiejantį kiekvieną duomenų tipą su teisiniu, sutartiniu arba veiklos reikalavimu, ir automatizuokite jo taikymą.
4. Įtraukite saugų sunaikinimą į veiklos procesus: integruokite saugaus ištrynimo ir išvalymo procedūras į standartines IT turto eksploatacijos nutraukimo veiklos procedūras.
5. Dokumentuokite viską: sukurkite ir prižiūrėkite auditui atsparų pėdsaką kiekvienam sunaikinimo veiksmui, įskaitant žurnalus, užklausas ir trečiųjų šalių sertifikatus.
6. Išplėskite reikalavimus tiekimo grandinei: užtikrinkite, kad sutartyse su debesijos paslaugų teikėjais ir kitais tiekėjais būtų griežti saugaus duomenų sunaikinimo reikalavimai, ir reikalaukite atitikties įrodymų.

Kiekvienas nereikalingų duomenų baitas yra rizika. Susigrąžinkite kontrolę, sustiprinkite atitiktį, supaprastinkite auditus ir sumažinkite pažeidimo poveikio mastą.

Susisiekite su mumis dėl demonstracijos arba peržiūrėkite visą Zenith Blueprint ir Zenith Controls biblioteką, kad pradėtumėte savo kelią.