×

Usunięte dane wcale nie muszą zniknąć. Dlatego firmy stawiają na certyfikowane kasowanie

Redakcja areteart.pl

| 6 minut czytania

Aktualizacja:

Technologia / Wszystkie

Kliknięcie „Usuń” lub sformatowanie dysku to czynności, które większości użytkowników kojarzą się z trwałym pozbyciem się danych. Rzeczywistość jest jednak zupełnie inna — i właśnie dlatego coraz więcej firm, zwłaszcza tych przechodzących audyty lub wycofujących z użytku sprzęt IT, sięga po certyfikowane kasowanie danych.

Co tak naprawdę robi klawisz „Delete”?

Kiedy usuwasz plik z systemu operacyjnego, dzieje się coś, o czym większość użytkowników nie ma pojęcia: system jedynie usuwa odnośnik do pliku, a nie same dane. Plik staje się niewidoczny dla użytkownika, ale jego zawartość nadal fizycznie znajduje się na nośniku i może zostać odczytana przy pomocy ogólnodostępnych narzędzi do odzyskiwania danych.

To samo dotyczy formatowania dysku — w większości przypadków standardowe formatowanie nie nadpisuje danych, lecz jedynie czyści tablicę partycji. W praktyce oznacza to, że każdy dysk, laptop, serwer czy smartfon oddany, sprzedany lub wyrzucony bez odpowiedniego przygotowania może stać się źródłem wycieku poufnych informacji firmowych.

💡 Protip: Zanim odsprzedasz lub przekażesz firmowy sprzęt, sprawdź, jaką metodę sanityzacji danych stosuje Twój dział IT. Samo formatowanie to za mało — standardowe narzędzia do odzyskiwania danych poradzą sobie z takim dyskiem w kilka minut.

Dlaczego to problem właśnie dla firm?

Skala zjawiska jest niepokojąca. Badania przeprowadzone przez firmę Kroll Ontrack wykazały, że 50% firm w ogóle nie niszczy danych, a spośród tych, które to robią, aż 75% usuwa je wyłącznie przez wciśnięcie klawisza Delete lub zwykłe formatowanie (Kroll Ontrack / Rzeczpospolita).

Tymczasem firmy operujące na danych osobowych, objęte regulacjami RODO, ISO 27001 czy BSI, mają prawny i proceduralny obowiązek zagwarantowania, że dane są trwale i bezpowrotnie usunięte przed każdą formą przekazania sprzętu. Norma ISO 27001:2022 wprost wskazuje, że informacje przechowywane na nośnikach powinny być usuwane zgodnie z ustalonymi procedurami, gdy nie są już potrzebne (kontrola 8.10 — Information Deletion). Naruszenie tych wymagań może skutkować nie tylko utratą certyfikatu, ale i dotkliwymi sankcjami finansowymi ze strony organów nadzorczych.

Kiedy sprzęt IT staje się zagrożeniem?

Wycofywanie sprzętu z eksploatacji to jeden z najbardziej pomijanych etapów zarządzania bezpieczeństwem informacji. Ryzyko pojawia się w bardzo konkretnych scenariuszach:

  • odsprzedaż używanych komputerów i laptopów — dane poprzednich użytkowników mogą trafić w niepowołane ręce,
  • zwrot sprzętu leasingowego lub wynajmowanego — urządzenia wracają do dostawcy z wszystkimi danymi firmowymi,
  • przekazanie urządzeń innym pracownikom lub działom — bez sanityzacji nośnik zachowuje historię aktywności poprzedniego użytkownika,
  • utylizacja dysków, serwerów i urządzeń mobilnych — fizyczne zniszczenie nie zawsze jest możliwe ani ekonomiczne,
  • audyt lub inspekcja zewnętrzna — brak dokumentacji procesu kasowania może skutkować niezgodnością z wymaganiami regulacyjnymi.

Certyfikowane kasowanie danych — co to oznacza w praktyce?

Certyfikowane kasowanie danych to proces, w którym specjalistyczne oprogramowanie wielokrotnie nadpisuje zawartość nośnika zgodnie z uznanymi standardami branżowymi — takimi jak NIST 800-88, DoD 5220.22-M, BSI-GSE czy IEEE 2883-2022. Po zakończeniu procesu system automatycznie generuje raport i certyfikat kasowania, który stanowi dowód dla audytorów, działów compliance i organów nadzorczych, że dane zostały trwale usunięte.

Przykładem takiego rozwiązania jest Blancco Drive Eraser — narzędzie do trwałego usuwania danych z dysków HDD i SSD w komputerach, laptopach i serwerach, które generuje cyfrowo podpisane certyfikaty kasowania i wspiera zgodność z wieloma międzynarodowymi standardami. Każde kasowanie jest weryfikowane, a certyfikaty są centralnie przechowywane, co ułatwia późniejsze audyty.

💡 Protip: Przy wyborze narzędzia do sanityzacji dysków zwróć uwagę, czy obsługuje zarówno dyski HDD, jak i SSD. Dyski SSD wymagają odmiennej metody kasowania (np. Secure Erase lub Cryptographic Erasure) — standardowe nadpisywanie może nie być wystarczające.

Jakie standardy kasowania warto znać?

Poniżej zestawienie najczęściej stosowanych standardów trwałego usuwania danych w środowiskach biznesowych:

StandardLiczba przebiegówZastosowanie
NIST 800-88 Clear0–1Ogólne użycie biznesowe, HDD/SSD
NIST 800-88 Purge0 (firmware)Wymagania rządowe i regulacyjne
DoD 5220.22-M3Sektor obronny, dane wrażliwe
DoD 5220.22-M ECE7Dane ściśle tajne
BSI-GSE2–3Normy niemieckie / europejskie
IEEE 2883-2022 Purge0 (firmware)Nowoczesne dyski SSD

Dobór odpowiedniego standardu zależy od klasy danych, wymagań prawnych obowiązujących w danej branży oraz rodzaju nośnika. Firmy objęte RODO powinny kierować się zasadą adekwatności — im bardziej wrażliwe dane, tym wyższy standard sanityzacji.

Gdzie zdobyć praktyczną wiedzę o kasowaniu danych?

Dla zespołów IT i specjalistów ds. bezpieczeństwa, którzy chcą lepiej zrozumieć temat certyfikowanego kasowania danych, przydatnym miejscem jest Akademia InfoProtector — portal edukacyjny z materiałami wideo i praktycznymi zasobami pokazującymi, jak w rzeczywistości wygląda proces kasowania danych. Dostępne treści tłumaczą m.in., jak działa Blancco — rozwiązanie do trwałego usuwania danych z dysków, serwerów i urządzeń mobilnych — oraz jak przebiega generowanie raportów i certyfikatów kasowania. Akademia została przygotowana przez firmę InfoProtector, specjalizującą się w rozwiązaniach cyberbezpieczeństwa, i pozwala poznać temat we własnym tempie, w oparciu o praktyczne materiały.

💡 Protip: Zanim wdrożysz procedurę certyfikowanego kasowania w firmie, wykonaj test na jednym urządzeniu i przeanalizuj wygenerowany raport. Sprawdź, czy zawiera numer seryjny dysku, zastosowany standard oraz cyfrowy podpis — to trzy kluczowe elementy, których wymagają audytorzy ISO 27001 i RODO.

Kasowanie danych jako element polityki bezpieczeństwa IT

Trwałe usuwanie danych nie powinno być jednorazową akcją, lecz stałym elementem procedur IT — wbudowanym w cykl życia każdego urządzenia w organizacji. Dobrze zaprojektowana polityka sanityzacji nośników obejmuje:

  • regularne przeglądy i inwentaryzację sprzętu przeznaczonego do wycofania,
  • obowiązkowe certyfikowane kasowanie przed każdą formą przekazania, sprzedaży lub utylizacji,
  • centralne archiwizowanie raportów i certyfikatów kasowania na potrzeby audytów,
  • szkolenia zespołów IT z zakresu aktualnych standardów usuwania danych,
  • integrację procesów sanityzacji z systemami ITSM i ITAM.

Firmy, które podejdą do tematu systemowo, nie tylko ograniczają ryzyko wycieku danych — budują też przewagę w postaci dokumentowalnej zgodności z RODO, ISO 27001 i innymi regulacjami, co coraz częściej staje się wymaganiem w przetargach i współpracy z dużymi klientami.

Artykuł partnerski

Autor

Redakcja areteart.pl

Areteart.pl to hub praktycznej wiedzy o AI w marketingu i designie. Pokazujemy, jak wykorzystać sztuczną inteligencję do tworzenia stron internetowych, grafiki i kampanii, które wyróżniają się na rynku. Dostarczamy sprawdzone rozwiązania: od automatyzacji procesów twórczych, przez inteligentne narzędzia projektowe, po marketing wspomagany AI. Gdy potrzebujesz więcej niż artykułu, oferujemy doradztwo, które przełoży technologię na konkretne rezultaty. Dla obecnych i aspirujących przedsiębiorców oraz specjalistów, którzy chcą być na czele rewolucji AI. Przestań eksperymentować – zacznij wykorzystywać AI do realnej przewagi konkurencyjnej.

Powiązane wpisy

Kategorie