Pokopališče podatkov: vodnik za CISO za skladno in dokazljivo odstranjevanje podatkov

Maria, CISO v hitro rastočem fintech podjetju, je začutila znano napetost v želodcu. Zunanja presoja skladnosti z GDPR je bila oddaljena šest tednov, rutinski pregled registra sredstev pa je pravkar razkril duha iz preteklosti podjetja: zaklenjeno skladišče v stari poslovni stavbi, polno izločenih strežnikov, zaprašenih varnostnih trakov in kupov starih službenih prenosnikov. »Pokopališče podatkov«, kot ga je njena ekipa mračno poimenovala, ni bilo več pozabljena težava. Postalo je tempirana bomba skladnosti.

Kateri občutljivi podatki strank, intelektualna lastnina ali osebno določljive informacije (PII) so se skrivali na teh pogonih? Ali je bila zanje izvedena ustrezna sanitizacija? Ali sploh obstajajo evidence, ki bi to dokazale? Resnična grožnja je bilo pomanjkanje odgovorov. V svetu informacijske varnosti vas lahko tisto, česar ne veste, prizadene — in pogosto vas tudi bo.

Ta scenarij ni značilen samo za Mario. Za številne CISO, vodje skladnosti in lastnike podjetij zastareli podatki pomenijo veliko, nekvantificirano tveganje. Gre za tiho breme, ki povečuje napadalno površino, otežuje izpolnjevanje zahtev posameznikov, na katere se nanašajo podatki, in ustvarja minsko polje za presojevalce. Ključno vprašanje je preprosto, vendar zahtevno: kaj storiti z občutljivimi podatki, ki jih ne potrebujete več? Odgovor ni zgolj pritisk na »Izbriši«. Gre za vzpostavitev zagovorljivega, ponovljivega in preverljivega procesa upravljanja življenjskega cikla informacij — od nastanka do varnega uničenja.

Visoka cena kopičenja podatkov

Hramba podatkov za vedno »za vsak primer« je ostanek preteklega obdobja. Danes je to dokazljivo nevarna strategija. Občutljivi podatki, ki ostanejo po izteku svoje uporabne ali zahtevane življenjske dobe, organizacijo izpostavljajo številnim grožnjam, od sankcij zaradi neskladnosti in kršitev zasebnosti do nenamernega uhajanja podatkov in izsiljevalskih napadov.

Hramba podatkov po poteku roka hrambe ustvarja več kritičnih tveganj:

• Neskladnost: Regulatorji vse strožje obravnavajo nepotrebno hrambo podatkov. Pokopališče podatkov je neposredna kršitev načel zasebnosti in lahko vodi do visokih glob.
• Večji vpliv kršitve: Če pride do kršitve, vsak kos zastarelih podatkov, ki ga hranite, postane dodatno breme. Napadalec, ki odtuji pet let starih podatkov strank, povzroči bistveno večjo škodo kot pri odtujitvi podatkov za eno leto.
• Operativna neučinkovitost: Upravljanje, varovanje in iskanje po množicah nepomembnih podatkov porablja vire, upočasnjuje sisteme in močno otežuje izpolnjevanje zahtev za »pravico do izbrisa« v skladu z GDPR.

Številne organizacije zmotno verjamejo, da pritisk na »Izbriši« ali odstranitev vnosa iz podatkovne baze pomeni, da podatki izginejo. To se zgodi redko; preostali podatki ostanejo razpršeni po fizičnih, virtualnih in oblačnih okoljih.

Regulativne zahteve: konec načela »hrani za vedno«

Pravila so se spremenila. Zbliževanje globalnih predpisov izrecno zahteva, da se osebne in občutljive informacije hranijo le toliko časa, kolikor je potrebno, ter se po izteku tega obdobja varno izbrišejo. To ni priporočilo; je zakonska in operativna zahteva.

Clarysecov Zenith Blueprint: 30-koračni načrt presojevalca povzema medregulativno zahtevo za varno odstranjevanje podatkov:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Zahteva, da se osebni podatki ne hranijo dlje, kot je potrebno, podpira pravico do izbrisa (»pravico biti pozabljen«) in zahteva varen izbris, ko podatki niso več potrebni.
✓ NIS2 Article 21(2)(a, d): Zahteva tehnične in organizacijske ukrepe na podlagi tveganj, s katerimi se zagotovi varno brisanje podatkov, ko niso več potrebni.
✓ DORA Article 9(2)(a–c): Zahteva varstvo občutljivih informacij skozi njihov celotni življenjski cikel, vključno z varnim uničenjem.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Obravnava varno brisanje podatkov, uničenje nosilcev podatkov in odstranitev informacijskih sredstev ob koncu življenjske dobe.
✓ ITAF 4th Edition – Domena 2.1.6: Zahteva dokazila o varnem uničenju in odstranjevanju podatkov v skladu z zakonskimi in regulativnimi obveznostmi.

To pomeni, da mora imeti organizacija dokumentirane, uveljavljene in preverljive procese za brisanje podatkov. To ne velja le za papirne evidence ali trde diske, temveč za vsak del digitalnega okolja, vključno s shrambo v oblaku, varnostnimi kopijami, podatki aplikacij in zunanjimi dobavitelji.

Od kaosa do nadzora: vzpostavitev programa odstranjevanja na podlagi politik

Prvi korak pri deaktivaciji bombe pokopališča podatkov je vzpostavitev jasnega in avtoritativnega okvira. Robusten program odstranjevanja se ne začne z rezalniki dokumentov in napravami za razmagnetenje, temveč z dobro opredeljeno politiko. Ta dokument je enotni vir resnice za celotno organizacijo ter usklajuje poslovne, pravne in IT ekipe glede upravljanja in uničevanja podatkov.

Clarysecova Politika hrambe in odstranjevanja podatkov za to zagotavlja vzorec. Eden od njenih ključnih ciljev je v klavzuli politike 3.1 jasno zapisan:

“Zagotoviti, da se podatki hranijo le toliko časa, kolikor je zakonsko, pogodbeno ali operativno potrebno, in se varno odstranijo, ko niso več potrebni.”

Ta preprosta izjava premakne organizacijsko razmišljanje z »hranimo vse« na »hranimo, kar je potrebno«. Politika vzpostavlja formalen proces, ki zagotavlja, da odločitve niso arbitrarne, temveč vezane na konkretne obveznosti. Kot poudarja klavzula politike 1.2 v Politiki hrambe in odstranjevanja podatkov, je zasnovana za podporo implementaciji ISO/IEC 27001:2022 z uveljavljanjem nadzora nad trajanjem hrambe podatkov ter zagotavljanjem pripravljenosti na presojo in regulativne preglede.

Za manjše organizacije je lahko obsežna politika za velika podjetja pretirana. Politika hrambe in odstranjevanja podatkov za MSP ponuja poenostavljeno alternativo, osredotočeno na bistveno, kot je navedeno v klavzuli politike 1.1:

“Namen te politike je opredeliti izvršljiva pravila za hrambo in varno odstranjevanje informacij v okolju MSP. Zagotavlja, da se evidence hranijo le toliko časa, kot to zahtevajo zakon, pogodbena obveznost ali poslovna potreba, nato pa se varno uničijo.”

Ne glede na to, ali gre za veliko podjetje ali MSP, je politika temeljni element. Zagotavlja pooblastilo za ukrepanje in okvir, s katerim so ukrepi dosledni, zagovorljivi in usklajeni z dobrimi varnostnimi praksami.

Izvedba načrta: kontrole ISO/IEC 27001:2022 v praksi

Ko je politika vzpostavljena, lahko Maria njena načela pretvori v konkretne ukrepe, vodene s kontrolami ISO/IEC 27001:2022. Pri tem sta ključni dve kontroli:

• Kontrola 8.10 Brisanje informacij: Ta zahteva, da se »informacije, shranjene v informacijskih sistemih, napravah ali na katerem koli drugem pomnilniškem mediju, izbrišejo, ko niso več potrebne«.
• Kontrola 7.14 Varno odstranjevanje ali ponovna uporaba opreme: Ta se osredotoča na fizično strojno opremo in zagotavlja, da je za pomnilniške medije pred odstranitvijo, ponovno uporabo ali prodajo opreme izvedena ustrezna sanitizacija.

Toda kaj »varno izbrisano« dejansko pomeni? Tu presojevalci ločijo resne programe od navideznih. Po Zenith Blueprint je pravo brisanje veliko več kot premik datoteke v koš. Vključuje metode, zaradi katerih podatkov ni mogoče obnoviti:

Pri digitalnih sistemih mora brisanje pomeniti varen izbris, ne zgolj pritisk na ‘Izbriši’ ali praznjenje koša. Pravo brisanje vključuje:
✓ Prepisovanje podatkov (npr. z metodami DoD 5220.22-M ali NIST 800-88),
✓ Kriptografski izbris (npr. uničenje šifrirnih ključev, uporabljenih za zaščito podatkov),
✓ Ali uporabo orodij za varno brisanje pred izločitvijo naprav iz uporabe.

Za fizične evidence Zenith Blueprint priporoča rezalnike dokumentov za križni razrez, sežig ali uporabo certificiranih storitev odstranjevanja. Takšna praktična navodila organizacijam pomagajo preiti od politike k postopku in določiti natančne tehnične korake, potrebne za izpolnitev cilja kontrole.

Celovit pogled: medsebojno povezana varnostna mreža odstranjevanja

Obravnava pokopališča podatkov ni enodimenzionalna naloga. Učinkovito odstranjevanje podatkov je tesno povezano z drugimi področji varnosti. Tu postane celovit pogled, kot ga ponuja Clarysecov Zenith Controls: vodnik za skladnost med okviri, nepogrešljiv. Deluje kot kompas in pokaže, kako je ena kontrola odvisna od številnih drugih, da lahko učinkovito deluje.

Poglejmo Kontrolo 7.14 (varno odstranjevanje ali ponovna uporaba opreme) skozi to prizmo. Vodnik Zenith Controls pokaže, da ne gre za izolirano dejavnost. Njen uspeh je odvisen od mreže povezanih kontrol:

• 5.9 Popis sredstev: Ne morete varno odstraniti nečesa, za kar ne veste, da obstaja. Mariin prvi korak mora biti popis vsakega strežnika, prenosnika in traku v tistem skladišču. Natančen popis sredstev je temelj.
• 5.12 Razvrščanje informacij: Metoda odstranjevanja je odvisna od občutljivosti podatkov. Vedeti morate, kaj uničujete, da izberete ustrezno raven sanitizacije.
• 5.34 Zasebnost in varstvo PII: Oprema pogosto vsebuje osebne podatke. Postopek odstranjevanja mora zagotoviti nepovratno uničenje vseh PII, kar je neposredno povezano z obveznostmi glede zasebnosti po predpisih, kot je GDPR.
• 8.10 Brisanje informacij: Ta kontrola določa »kaj« (izbris informacij, ko niso več potrebne), 7.14 pa določa »kako« za osnovne fizične nosilce podatkov. Gre za dve plati iste medalje.
• 5.37 Dokumentirani operativni postopki: Varno odstranjevanje mora slediti opredeljenemu, ponovljivemu procesu, da se zagotovi doslednost in ustvari revizijska sled. Ad hoc odstranitve so opozorilni znak za vsakega presojevalca.

Ta medsebojna povezanost kaže, da zrel varnostni program odstranjevanja podatkov ne obravnava kot čistilno nalogo, temveč kot integrirani del svojega sistema upravljanja informacijske varnosti (ISMS).

Tehnični poglobljeni pregled: sanitizacija nosilcev podatkov in podporni standardi

Za učinkovito izvajanje teh kontrol je nujno razumeti različne ravni sanitizacije nosilcev podatkov, kot jih opredeljujejo okviri, kot je NIST SP 800-88. Te metode ponujajo večplasten pristop za zagotavljanje, da podatkov ni mogoče obnoviti, sorazmerno z njihovo občutljivostjo.

Izbira prave metode je odvisna od razvrstitve podatkov. Pri tem so smernice specializiranih standardov izjemno dragocene. Robusten program se poleg ISO/IEC 27001:2022 opira na širok nabor podpornih okvirov.

Presojevalec prihaja: kako dokazati, da vaš proces deluje

Uspešno opravljena presoja ni le vprašanje tega, ali ravnate pravilno; gre za to, da lahko dokažete, da ste ravnali pravilno. Za Mario to pomeni dokumentiranje vsakega koraka postopka odstranjevanja za sredstva na njenem pokopališču podatkov. Zenith Blueprint zagotavlja jasen kontrolni seznam tega, kar bodo presojevalci zahtevali za Kontrolo 8.10 (brisanje informacij):

“Predložite svojo Politiko brisanja informacij… Dokažite tehnično uveljavljanje s konfiguriranimi nastavitvami hrambe v poslovnih sistemih… Zahtevajo lahko dokazila o metodah varnega brisanja: brisanje diskov z odobrenimi orodji… ali varno odstranjevanje dokumentov. Če podatke izbrišete ob izteku pogodbe… pokažite revizijsko sled ali zahtevek, ki to potrjuje.”

Za zadovoljitev presojevalcev morate za vsak dogodek odstranjevanja ustvariti celovit paket dokazil. Register brisanja podatkov je nujen.

Primer tabele revizijske sledi

Presojevalci k temu pristopajo z različnih vidikov. Vodnik Zenith Controls podrobno opisuje, kako različni okviri presoj preverjajo proces:

Pogoste pasti in kako se jim izogniti

Tudi z vzpostavljeno politiko številne organizacije pri izvedbi naletijo na težave. Spodaj so pogoste pasti in način, kako jih strukturiran pristop pomaga rešiti:

Zaključek: pokopališče podatkov spremenite v strateško prednost

Šest tednov pozneje je Maria presojevalcu GDPR predstavila delo svoje ekipe. Skladišče je bilo prazno. Namesto njega je obstajal digitalni arhiv z natančno evidenco za vsako izločeno sredstvo: dnevniki popisa, poročila o razvrščanju podatkov, postopki sanitizacije in podpisana potrdila o uničenju. Kar je bilo nekoč vir tesnobe, je postalo dokaz zrelega upravljanja tveganj.

Pokopališče podatkov je simptom reaktivne varnostne kulture. Njegova preobrazba zahteva proaktiven pristop, voden s politikami. Zahteva, da odstranjevanja podatkov ne razumemo kot čistilnega opravila IT, temveč kot strateško varnostno funkcijo, ki zmanjšuje tveganje, zagotavlja skladnost in dokazuje zavezanost varovanju občutljivih informacij.

Ste pripravljeni urediti svoje pokopališče podatkov? Začnite z vzpostavitvijo temeljev za pristop k upravljanju življenjskega cikla informacij, ki temelji na dokazilih in odpornosti.

Izvedljivi naslednji koraki:

1. Vzpostavite temelj: Uvedite jasno in izvršljivo politiko z uporabo predlog Clarysec, kot sta Politika hrambe in odstranjevanja podatkov ali Politika hrambe in odstranjevanja podatkov za MSP.
2. Popišite svoje okolje: Vzpostavite in vzdržujte celovit popis vseh informacijskih sredstev. Ne morete odstraniti nečesa, za kar ne veste, da obstaja.
3. Določite in uveljavite hrambo: Vzpostavite formalne roke hrambe, ki vsako vrsto podatkov povežejo z zakonsko, pogodbeno ali poslovno zahtevo, nato pa njihovo izvajanje avtomatizirajte.
4. Operacionalizirajte varno odstranjevanje: Postopke varnega brisanja in sanitizacije vključite v standardne operativne postopke za izločanje IT-sredstev iz uporabe.
5. Dokumentirajte vse: Vzpostavite in vzdržujte revizijsko zanesljivo sled za vsak ukrep odstranjevanja, vključno z dnevniki, zahtevki in potrdili tretjih oseb.
6. Razširite zahteve na dobavno verigo: Zagotovite, da pogodbe s ponudniki storitev v oblaku in drugimi dobavitelji vključujejo stroge zahteve za varno odstranjevanje podatkov ter zahtevajte dokazila o skladnosti.

Vsak bajt nepotrebnih podatkov je tveganje. Prevzemite nadzor, okrepite skladnost, poenostavite presoje in zmanjšajte izpostavljenost ob kršitvah.

Stopite v stik z nami za predstavitev ali raziščite celotno knjižnico Zenith Blueprint in Zenith Controls, da začnete svojo pot.