Waarom vernietigen wij gegevens?
De uitvinding van verschillende methoden voor gegevensregistratie vormde de basis voor de ontwikkeling van de beschaving. Aanvankelijk bestonden deze uit insnijdingen in botten en stokken, knopen aan touwtjes, later wiggen in kleitabletten en hiërogliefen geschilderd op papyrus. Deze methoden zorgden ervoor dat informatie onafhankelijk van het menselijk geheugen kon overleven, waardoor de accumulatie van kennis en ervaring en de overdracht ervan aan volgende generaties werd vergemakkelijkt.
Verdere ontwikkeling leidde tot de uitvinding van het alfabetische schrift, waarmee elke inhoud met een klein aantal symbolen kon worden vastgelegd. De uitvinding van de boekdrukkunst en losse letters maakte massareproductie en verspreiding van informatie eenvoudig en goedkoop. Een andere doorbraak in de beschaving was de opkomst van computers en internet, waardoor digitale gegevens nog gemakkelijker toegankelijk werden.
Informatie werd echter ook vaak vernietigd. Soms door ongelukken, willekeurige gebeurtenissen, de natuurlijke degradatie van media of hersenloze, barbaarse vernietigingsdaden, maar ook op gerichte en opzettelijke wijze. Op deze manier werd het culturele erfgoed van veroverde landen uitgewist, onderdrukten religieuze leiders uitingen van ketterij en vernietigden heersers literatuur die dissidente ideeën verspreidde. Het bekendste voorbeeld van informatievernietiging was de dubbele verbranding van de Grote Bibliotheek van Alexandrië, wat resulteerde in het onherstelbare verlies van een aanzienlijk deel van de antieke literatuur.
Tegenwoordig worden boeken veel minder vaak verbrand, maar dit betekent niet dat censuur en pogingen om de informatiestroom te controleren zijn opgegeven. Maar dit is slechts één reden voor gegevensvernietiging. Het overbrengen van een aanzienlijk deel van de informatie met betrekking tot ons persoonlijke en professionele leven naar digitale media is aan de ene kant handig, maar aan de andere kant verhoogt het aanzienlijk het risico op ongeautoriseerde toegang, en daarmee de mogelijkheid van kwaadwillig gebruik.
Om deze reden is digitale gegevenssanering een belangrijk element van cyberbeveiliging geworden. Er zijn talloze min of meer adequate normen ontstaan die procedures voor gegevensvernietiging reguleren op een manier die, ten minste in principe, de veiligheid en effectiviteit van het proces garandeert. Er worden ook talloze regelgevingen ontwikkeld die de verplichting specificeren om gegevens in bepaalde situaties op passende wijze te vernietigen - van internationale rechtshandelingen, zoals de AVG (Algemene Verordening Gegevensbescherming), via nationale wetten die verschillende soorten officiële en professionele geheimen vaststellen, tot interne regelgeving die van kracht is in verschillende publieke en private organisaties.
Naast wettelijke verplichtingen hebben we ook contractuele verplichtingen. Dit stelt ons in staat om de vertrouwelijkheid van bepaalde informatie en de juiste bescherming ervan te handhaven, inclusief de vernietiging ervan wanneer deze niet langer nodig is. We kunnen gegevens ook vernietigen zonder specifieke verplichtingen, simpelweg om onze belangen en privacy te beschermen. In extreme gevallen kunnen we gegevens ook vernietigen om aansprakelijkheid te vermijden voor fouten, onethisch gedrag of zelfs gepleegde misdrijven, indien deze informatie als digitaal bewijs tegen ons zou kunnen worden gebruikt.
Het lijkt misschien vanzelfsprekend dat de noodzaak van correcte informatievernietiging in bepaalde situaties evident zou moeten zijn, maar toch worden we nog steeds geconfronteerd met talloze gegevenslekken veroorzaakt door nalatigheid. De situatie is nog nijpender als het gaat om het begrijpen van de werkingsprincipes van gegevensopslagmedia en de fysica van informatieopslag. Dit probleem treft ook de auteurs van normen die procedures voor gegevenssanering beschrijven, die vaak resulteren in bepalingen die bizar zijn in het licht van technische kennis.
Basisgegevens over gegevensdragers.
De ontwikkeling van elektronica en computertechnologie heeft geleid tot een behoefte aan gegevensopslagmedia die door nieuwe apparaten kunnen worden gebruikt. Aanvankelijk werden ponskaarten en tapes gebruikt, die sinds de 19e eeuw werden gebruikt, maar halverwege de 20e eeuw werden magnetische media ontwikkeld - tapes en harde schijven, en later floppy disks. Na verloop van tijd vervingen deze media papieren media volledig, maar sinds het begin van de 21e eeuw moeten ze concurreren met halfgeleiderapparaten die Flash-NAND geheugen gebruiken. Ondertussen ontwikkelen laboratoria een breed scala aan nieuwe soorten gegevensopslagmedia, vaak gebruikmakend van fysische verschijnselen gerelateerd aan weerstandsveranderingen.
Het zijn precies deze fysische verschijnselen die worden gebruikt om gegevens op te slaan die de basis vormen voor de meest populaire classificatie van informatieopslagmedia. De indeling in papier, magnetische, optische, halfgeleider en resistieve media is algemeen bekend, maar de natuurkunde achter gegevensopslag blijft vaak verkeerd begrepen, wat leidt tot mythes en misvattingen over de effectiviteit van gegevensvernietiging. Vanwege de breedte van deze onderwerpen is het niet mogelijk om ze in dit artikel in detail uit te leggen.
Een ander veelvoorkomend onderscheid tussen gegevensopslagmedia is dat tussen analoog en digitaal. Digitale media slaan gegevens op in de vorm van logische toestanden die worden geïnterpreteerd als nullen en enen, waardoor ze gemakkelijk te begrijpen zijn voor machines. Andere gegevensopslagmedia zijn analoog.
Het is belangrijk om te onthouden dat de basis van elke digitale logische toestand een analoge fysieke toestand is, die tijdens het decoderingsproces van de gegevens wordt geïnterpreteerd als een logische nul of één. Een goed voorbeeld om de toewijzing van logische toestanden aan fysieke toestanden te illustreren zijn ponskaarten, waarbij specifieke logische waarden kunnen worden toegewezen aan "volle" ruimtes of geponste gaten. Misschien juist omdat de fysieke toestand die ten grondslag ligt aan de logische toestand in ponskaarten zelfs voor een leek gemakkelijk te onderscheiden is, worden ze vaak beschouwd als analoge opslagmedia.
Een belangrijke classificatie voor informatieverwijdering is de indeling van gegevensopslagmedia in vluchtig (energieafhankelijk) en niet-vluchtig (energieonafhankelijk). De vluchtige media behouden hun logische toestand alleen onder spanning en verliezen deze onmiddellijk wanneer ze worden losgekoppeld van de stroombron. Om gegevens te wissen, is het daarom voldoende om de stroomtoevoer te verbreken. Voorbeelden van vluchtige opslagmedia zijn DRAM (Dynamic Random Access Memory) chips die worden gebruikt als operationeel geheugen en SRAM (Static Random Access Memory), vaak gebruikt als processorcaches.
Niet-vluchtige opslagmedia kunnen daarentegen logische toestanden behouden, onafhankelijk van de stroomvoorziening, gedurende zeer lange perioden, zelfs decennia met de juiste opslag. In hun geval vereist het verwijderen van gegevens opzettelijke actie. Deze verdere onderverdeling in herschrijfbare en eenmalig beschrijfbare opslagmedia is belangrijk.
Eenmalig beschrijfbare opslagmedia kunnen slechts één keer worden beschreven en hun inhoud kan niet worden gewijzigd. Daarom is het om de gegevens die erop zijn opgeslagen te vernietigen, noodzakelijk om het hele opslagmedium fysiek te vernietigen. In het geval van herschrijfbare opslagmedia kan hun inhoud echter worden vervangen door een andere, wat de mogelijkheid opent om informatie te vernietigen door deze te overschrijven zonder het opslagmedium zelf te vernietigen.
Het is ook belangrijk om op te merken dat de cloud, netwerkstations en soortgelijke bronnen geen aparte categorie opslagmedia zijn. Achter elk type netwerkbron staat een echte infrastructuur, die ook fysieke opslagmedia van verschillende typen omvat. Een bijzonder kenmerk van dergelijke bronnen is dat ze vaak door andere instanties worden beheerd en dat de gebruiker geen fysieke toegang heeft tot de media. Dit beperkt de mogelijkheden om informatie te vernietigen en de controle over kopieën van gegevens die in dergelijke bronnen zijn opgeslagen.
Normen voor gegevensvernietiging.
Om veilige en effectieve gegevenssanering te garanderen, hebben veel instellingen procedures ontwikkeld, waarvan sommige meer of minder gedetailleerd zijn. Sommige, met name die ontwikkeld door overheids- en militaire instellingen, genieten breed vertrouwen en hebben een aanzienlijke populariteit verworven. Gegevensvernietigingsbedrijven verklaren vaak dat hun procedures voldoen aan populaire normen, omdat dit is wat hun klanten verwachten.
Het is vrij gebruikelijk om te denken dat de procedures die in de normen worden beschreven op de een of andere manier de technische mogelijkheden van gegevensherstel door politiediensten, inlichtingendiensten en soortgelijke organisaties weerspiegelen. In werkelijkheid is dit niet het geval - deze normen worden meestal opgesteld door functionarissen, vaak met zeer beperkte technische kennis. Om dit te zien, hoeft men alleen maar te kijken naar de aanzienlijke verschillen tussen verschillende regelgevingen (bijvoorbeeld verschillen in aanbevolen overschrijvingspatronen en het aantal overschrijvingsrondes), ook al is de natuurkunde voor iedereen hetzelfde.
En het is de natuurkunde die bepaalt hoe gegevens worden opgeslagen op verschillende soorten media, hoe ze kunnen worden vernietigd en onder welke omstandigheden ze kunnen worden hersteld. Alle regelgevingen zijn ondergeschikt aan de natuurwetten en de technische oplossingen die daarop zijn gebaseerd. Verschillen tussen individuele normen en procedures komen voornamelijk voort uit hun inconsistentie met de technische kennis en fysica van gegevensopslag.
Verschillende normen voor gegevensvernietiging werden op verschillende tijdstippen ontwikkeld en weerspiegelen verschillende mate van technologische vooruitgang en begrip van gegevensherstelmogelijkheden. Oudere regelgeving vereiste bijvoorbeeld doorgaans een groter aantal overschrijvingspassen dan nieuwere. Er kunnen aanzienlijke overeenkomsten worden waargenomen tussen sommige normen. IEEE 2883-2022 was bijvoorbeeld duidelijk geïnspireerd door NIST SP-800-88, terwijl DIN 66399 en ISO/IEC 21964 ondoordachte aanpassingen zijn van de DIN 32757 norm, die de vernietiging van papieren documenten regelt, en die geen enkel begrip heeft van de fysica van het opslaan van informatie op digitale opslagmedia.
Bij het vernietigen van gegevens is het belangrijk om te onthouden dat de effectiviteit van het proces wordt bepaald door de wetten van de fysica en de geschiktheid van de gekozen methode voor het type opslagmedia. Verschillende regelgevingen bevelen vaak onnodige redundanties aan (bijvoorbeeld algoritmen voor het overschrijven van gegevens in meerdere passages), maar er bestaat ook een risico op ineffectieve vernietiging van informatiemet de procedure volledig conform. Hoewel het correct volgen van de procedure ons kan beschermen tegen aansprakelijkheid, beschermt het kiezen van de verkeerde procedure ons niet noodzakelijkerwijs tegen gegevenslekken. Daarom is het, ongeacht kennis van de regelgeving, ook de moeite waard om ten minste de basisprincipes van de fysica van dataopslag te kennen en te begrijpen.
Hieronder vindt u een lijst met de populairste normen voor het reguleren van gegevensvernietiging:
AFSSI-5020 (Air Force System Security Instruction 5020),
CSEC ITSG-06 (Communication Security Establishment Canada, Information Technology Security Guide – 06)
DIN 66399 (Büro- und Datentechnik - Vernichten von Datenträgern),
HMG-IS5 (Her/His Majesty Government Infosec Standard 5),
IEEE 2883-2022 (Institute of Electrical and Electronics Engineers, Standard for Sanitizing Storage),
ISO/IEC 21964 (International Standard - Information technology – Destruction of data carriers),
NAVSO P-5239-26 (Navy Staff Office Publication 5239-26, Information Systems Security Program Guidelines),
NISPOM DoD 5220.22-M (National Industrial Security Program Operating Manual, Departament of Defence 5220.22-M),
NIST SP 800-88 (National Institute of Standards and Technology, Guidelines for Media Sanitization),
NSCS-TG-025 (National Computer Security Center, Technical Guidelines 025, A Guide to Understanding Data Remanence in Automated Information Systems),
RCMP TSSIT OST-II (Royal Canadian Mounted Police, Media Sanitation of the Technical Security Standards for Information Technology),
VSITR (Verschlusssachen IT Richtlinien),
ГОСТ Р50739—95 (Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования).
Wanneer worden gegevens daadwerkelijk vernietigd?
Effectieve gegevensvernietiging vindt plaats wanneer gegevensherstel na de vernietigingsoperatie onmogelijk is. De onmogelijkheid om vernietigde gegevens te herstellen, moet worden beschouwd vanuit het perspectief van de natuurwetten. Als er zelfs maar een potentiële mogelijkheid tot gegevensherstel bestaat, kan dit niet als effectieve vernietiging worden beschouwd, zelfs als het herstellen van de gegevens een extreem complex, duur en langdurig proces zou zijn.
Een veelgemaakte fout is om de effectiviteit van informatievernietiging te beoordelen op basis van de mogelijkheden van veelgebruikte gegevensherstelmethoden, evenals de waarde van de gegevens en de technische en financiële mogelijkheden van een potentiële tegenstander. Als vragen zoals "wie zal het willen?", "wie zal het kunnen doen?" of "wie zal het zich kunnen veroorloven?" tijdens het gegevensvernietigingsproces rijzen, wordt het proces waarschijnlijk onjuist uitgevoerd. Dit geldt met name als de antwoorden op deze vragen worden gegeven door mensen met onvoldoende technische kennis.
Als gevolg hiervan overschatten deze personen vaak het belang van triviale fouten (bijvoorbeeld kapotte interfaceconnectoren of eenvoudige elektronische schade) en onderschatten ze de mogelijkheden van tegenstanders die niet alleen potentieel nieuwe methoden kunnen ontwikkelen voor het herstellen van informatie, maar ook zeer typische gegevensherstelmogelijkheden bezitten. Gegevensherstel stuit vaak op praktische obstakels die verband houden met tijd- en budgetbeperkingen, problemen met de beschikbaarheid van noodzakelijke onderdelen of de complexiteit van sommige taken die geschikter zijn voor onderzoeksprojecten dan voor commerciële diensten. Het niet kunnen herstellen van gegevens vanwege een specifieke oorzaak betekent echter niet noodzakelijkerwijs dat de gegevens onomkeerbaar zijn vernietigd.
Zolang de gegevens fysiek op een medium staan en mogelijk kunnen worden hersteld, kunnen ze niet als effectief vernietigd worden beschouwd. In het bijzonder is een gebrek aan kennis en vaardigheden die nodig zijn om gegevens in een specifiek geval te herstellen geen voldoende basis om te concluderen dat de gegevens echt onherstelbaar zijn. En zelfs als het gebruik van een specifieke methode soms gegevens effectief vernietigt, bewijst dit niet altijd de effectiviteit ervan in elke situatie. Een gegevensvernietigingsmethode kan alleen als effectief worden beschouwd als deze herhaalbare resultaten oplevert en niet afhankelijk is van willekeurige factoren.
Aan de andere kant kunnen onnodige gegevens in sommige situaties zo oninteressant en waardeloos zijn dat niemand ook maar de minste moeite zou willen doen om ze te raadplegen. In extreme gevallen zouden deze gegevens op een opslagapparaat kunnen blijven staan dat niemand zelfs maar de moeite zou nemen om verbinding te maken met een computer. Maar zou het in zo'n situatie rationeel zijn om deze gegevens als effectief vernietigd te beschouwen ? Waarom zijn we dan zo vaak geneigd om gegevens als effectief vernietigd te beschouwen, terwijl herstel vanuit fysiek perspectief nog steeds mogelijk is, en vaak niet eens moeilijk?
Wat vernietigen we eigenlijk? Media en data.
Een veelgemaakte fout bij het vernietigen van informatie is het gelijkstellen van gegevensopslagmedia met hun inhoud. Dit werd onder andere gedaan door de auteurs van de DIN 66399 en ISO/IEC 21964 normen. Deze fout leidt doorgaans tot de conclusie dat effectieve gegevensvernietiging fysieke vernietiging van de media vereist. Een tweede gevolg van het gelijkstellen van media met hun inhoud is de valse overtuiging dat beschadiging van de media altijd effectief de toegang tot de informatie die erop is opgeslagen verhindert.
In werkelijkheid is fysieke vernietiging van de media voor onomkeerbare gegevensverwijdering alleen nodig in het geval van eenmalig beschrijfbare media of beschadigde media. In deze gevallen is het onmogelijk om de fysieke staat van de media te veranderen om de vernietigde informatie te vervangen door een andere, waardeloze. In het geval van functionele herschrijfbare media kunnen gegevens effectief worden vernietigd door overschrijven, dat wil zeggen, het veranderen van de fysieke staat van de media zodat het wordt geïnterpreteerd als een andere logische staat.
Terwijl het eerste gevolg van het identificeren van de media met de inhoud ervan slechts leidt tot onnodige kosten die gepaard gaan met het kiezen van een duurdere gegevensvernietigingsmethode en het verlies van de media zelf, vormt het tweede gevolg een directe bedreiging voor de veiligheid van het informatievernietigingsproces. Schade aan de media kan ertoe leiden dat deze niet langer door de computer wordt herkend en niet meer op opdrachten reageert. Dit gedrag maakt het moeilijk om te verifiëren of de gegevens correct zijn vernietigd, en bij mensen met een beperkte kennis van de techniek kan dit leiden tot de valse overtuiging dat de gegevens onherstelbaar zijn.
aan de elektronica
van de harde schijf.
In veel gevallen van falen, met name die veroorzaakt door amateuristische methoden, zijn gegevens zelfs herstelbaar. Een voorbeeld van dergelijke ineffectieve gegevensvernietiging is de harde schijf op de foto. De beschadigde elektronica moet vervangen worden. In dergelijke situaties is het vaak nodig om de head stack te vervangen, maar in de meeste gevallen zijn gegevens praktisch herstelbaar.
Methoden voor gegevensvernietiging en hun effectiviteit.
Classificatie van methoden voor gegevensvernietiging.
Methoden voor gegevensvernietiging worden meestal onderverdeeld in software (logisch) en hardware (fysiek). Hardwaremethoden worden over het algemeen als effectiever beschouwd dan softwaremethoden, maar deze aanpak is onterecht. Als een methode voor informatievernietiging effectief is, kunnen de gegevens na toepassing niet worden hersteld. Dit betekent dat het effect van informatievernietiging niet in grotere mate kan worden bereikt, dus onder effectieve methoden kan geen enkele als effectiever worden beschouwd dan een andere. Alleen ineffectieve methoden , d.w.z. methoden die gegevensherstel slechts in meer of mindere mate belemmeren, kunnen worden vergeleken in termen van de moeilijkheidsgraad van het herstellen van gegevens na toepassing.
Het voordeel van fysieke gegevensvernietigingsmethoden is dat ze op elk type media en in elke technische staat kunnen worden toegepast. Softwaremethoden kunnen alleen worden gebruikt met functionele, herschrijfbare media, waardoor hun inhoud kan worden vervangen door andere. Het belangrijkste nadeel van fysieke methoden is dat de informatie samen met de media wordt vernietigd. Bovendien is het bij het kiezen van een gegevensvernietigingsmethode belangrijk om rekening te houden met de geschiktheid ervan voor het mediatype, aangezien elk type media zijn eigen gevoeligheid heeft voor verschillende fysieke factoren.
Soms worden gegevensvernietigingsmethoden anders geclassificeerd. De normen NIST SP-800-88 en IEEE 2883-2022 verdelen bijvoorbeeld methoden voor informatievernietiging in drie categorieën: Clear, Purge en Destroy. Hoewel de categorie Destroy kan worden opgevat als een onderscheid tussen fysieke en softwaremethoden, lijkt het onderscheid tussen Clear en Purge enigszins kunstmatig. Een rechtvaardiging voor deze indeling van methoden voor gegevensvernietiging is nog moeilijker te vinden, omdat sommige methoden, zoals overschrijven, tegelijkertijd in beide categorieën worden geclassificeerd.
Het opnemen van demagnetisatie, een typisch fysieke methode voor informatievernietiging, in de Purge-categorie helpt niet bij het vinden van een betekenis van deze classificatie. Vanwege het feit dat demagnetisatievernietigt, naast gebruikersgegevens, ook alle andere records, inclusief het servosignaal en de inhoud van het servicegebied van harde schijven, maakt het gebruik ervan de meeste magnetische gegevensdragers nutteloos. Om deze reden zou het passender zijn om het in de categorie Destroy te plaatsen.
Tegelijkertijd is de benadering van deze normen met betrekking tot de effectiviteit van gegevensvernietiging zeer onduidelijk en inconsistent. De auteurs van deze normen koppelen de aanbevelingen voor het selecteren van een gegevensvernietigingsmethode aan de classificatie van de inhoud ervan en lijken het gebruik van ineffectieve vernietigingsmethoden voor minder belangrijke gegevens toe te staan. Gezien de brede selectie van effectieve methoden is een dergelijke benadering absurd. Een ander probleem met de bovengenoemde normen is de automatische toekenning van hogere effectiviteit aan methoden die zijn geclassificeerd als Destroy en lagere effectiviteit aan methoden die zijn geclassificeerd als Clear, ongerechtvaardigd door technische kennis.
Softwaremethoden voor gegevensvernietiging.
Een groot voordeel van softwarematige gegevensvernietigingsmethoden is de mogelijkheid om geselecteerde gegevens selectief te vernietigen. De effectiviteit van logische methoden berust op het wijzigen van de fysieke toestand van het medium, zodat het bij het lezen anders wordt geïnterpreteerd dan oorspronkelijk. Daarom kunnen alle effectieve softwarematige datavernietigingsmethoden worden teruggebracht tot het overschrijven van een specifiek gebied. Om de volledige veiligheid van deze methoden te garanderen, is het echter noodzakelijk om de juiste nauwkeurigheid van het proces te garanderen.
Bestanden verwijderen op het niveau van metagegevens van het bestandssysteem.
In de meeste gevallen is een bestand na het verwijderen in de metagegevens van het bestandssysteem nog steeds herstelbaar. Dit geldt met name als het verwijderen gepaard gaat met het verplaatsen van het bestand naar de prullenbak van het systeem, dat wil zeggen, het verplaatsen naar een speciale directory. Daarom kan deze methode op geen enkele manier als effectief worden beschouwd.
Deze beoordeling wordt niet gewijzigd door het feit dat het in veel praktische situaties onmogelijk blijkt om bepaalde bestanden te herstellen. Dit gebeurt om verschillende redenen. Meestal gebeurt dit door het later overschrijven van bestanden of hun fragmenten met nieuwe inhoud, en in het geval van SSD's en sommige andere Flash-NAND-apparaten ook als gevolg van de TRIM-functie. In het geval van opzettelijke gegevensvernietiging kunnen de resultaten van het proces echter niet aan willekeurige factoren worden overgelaten.
De partitie formatteren.
Het formatteren van een partitie kan, onder bepaalde omstandigheden, een effectieve methode zijn voor gegevensvernietiging. Gegevens kunnen over het algemeen worden hersteld met een snelle formattering, die nieuwe metagegevens voor een lege partitie creëert in plaats van de vorige. Deze formatteringsmethode is snel, maar laat veel van de inhoud van de oude partitie intact en, tenzij overschreven met nieuwe bestanden, nog steeds herstelbaar.
De situatie is anders bij een volledige formattering, soms ten onrechte een low-level formattering genoemd (low-level formattering omvat het creëren van een structuur van schijfsporen en sectoren en is alleen beschikbaar onder fabrieksomstandigheden vanaf ongeveer 30 jaar, maar toen het vroeger mogelijk was om door de gebruiker te worden uitgevoerd, vernietigde het effectief gegevens). Het omvat het op nul zetten van de volledige partitie voordat nieuwe metagegevens worden gemaakt, die de vorige inhoud overschrijft en onherstelbaar maakt. De TRIM-functie, gecombineerd met het fysiek wissen van blokken in solid-state drives, kan ook gegevensherstel van een geformatteerde partitie voorkomen, maar dit vereist enige tijd (meestal van enkele tot enkele tientallen minuten) voor de firmware om achtergrondprocessen uit te voeren.
Gegevens overschrijven.
Gegevens overschrijven houdt in dat we de informatie die we willen vernietigen vervangen met waardeloze inhoud. Dit is alleen mogelijk met herschrijfbare media, waarbij de inhoud vrij kan worden gewijzigd. Gegevens worden vernietigd tijdens de eerste overschrijvingspass, omdat het schrijven van nieuwe informatie de fysieke staat van de media verandert, zodat deze logisch wordt geïnterpreteerd volgens het overschrijvingspatroon. De effectiviteit van gegevens overschrijven hangt ook niet af van het gebruikte overschrijvingspatroon, zolang het maar verschilt van de gegevens die worden vernietigd.
De nauwkeurigheid van het overschrijven is cruciaal voor de beveiliging van deze informatievernietigingsmethode, omdat gegevens kunnen blijven bestaan in niet-overschreven fysieke toewijzingseenheden. Daarom is het bij het instellen van procesparameters belangrijk om aandacht te besteden aan het bereik van sectoren die moeten worden overschreven en om rekening te houden met gebieden buiten de LBA-zone (Logical Block Addressing), zoals HPA (Host Protected Area) of DCO (Device Configuration Overlay). Problemen kunnen ook worden veroorzaakt door media waarin LBA-adressering niet strikt gerelateerd is aan fysieke adressering, zoals halfgeleidermedia, harde schijven SMR (Shingled Magnetic Recording - dakspanen magnetische opname) of NAND-buffers in SSHD-schijven (Solid State Hybrid Drives). In deze situaties is het vaak de moeite waard om de procedures Secure Erase of Block Erase te gebruiken.
De noodzaak van nauwkeurigheid bij het overschrijven van gegevens en de risico's die gepaard gaan met sectoren buiten LBA-adressering werden in meer detail besproken door Dai Shimogaito in zijn presentatie "Exotic data recovery & paradais" in 2016 op de "Code Blue"-conferentie in Tokio. Het belangrijkste element van deze presentatie was het opstarten van het Windows XP-besturingssysteem vanaf een WD20EZRZ-00Z5HB0-harde schijf die eerder was overschreven met de Secure Erase-procedure. Het systeem werd beschermd tegen vernietiging door inmenging in het subsysteem voor vertaling van LBA naar fysiek adres.
Elke harde schijfheeft een aantal overtollige fysieke sectoren boven de nominale capaciteit van het medium. Sommige sectoren blijken beschadigd te zijn bij fabriekstests en kunnen niet worden gebruikt, sommige dienen als reservesectoren en sommige blijven ongebruikt en hebben geen toegewezen LBA-nummers. Het aantal van dergelijke sectoren is ongeveer 0,6-0,7% van de totale schijfcapaciteit, wat in het geval van een schijf van 2 TB ongeveer 12-14 GB aan verborgen capaciteit oplevert.
Om het effect te bereiken dat is aangetoond door Dai Shimogaito, is het noodzakelijk om een vertalermodule (31) te maken en te verbergen in het servicegebied van de schijf, die andere fysieke sectoren adresseert dan de oorspronkelijke vertaler. De locatie van deze vertaler wordt aangegeven door een alternatieve moduledirectory (01, DIR). De locatie van de moduledirectory in het servicegebied wordt op zijn beurt aangegeven door module 20B, opgeslagen in EEPROM op de elektronica van de schijf. Na de juiste aanpassing van de hierboven aangegeven firmwaremodules, kunnen we twee verschillende vertalers hebben die fysieke sectoren verschillend adresseren. Om er een te selecteren, gebruikt u de juiste elektronicaprintplaat met een geprogrammeerde 20B-module die verwijst naar de moduledirectory die doorverwijst naar de geselecteerde vertaler.
Deze methode kan sommige sectoren verbergen voor overschrijving of de Secure Erase-procedure. Het risico van het gebruik van deze optie om gegevens te verbergen voor vernietiging is verwaarloosbaar. Dit vereist niet alleen fysieke toegang tot de schijf, geavanceerde firmwarevaardigheden en het werken met fysieke adressering, maar het brengt ook het risico met zich mee dat de logische structuren van het bestandssysteem worden beschadigd bij een poging om parallel met twee verschillende vertalers te werken. Een potentiële tegenstander met fysieke toegang tot de schijf zou de benodigde gegevens veel eenvoudiger naar een ander medium kunnen kopiëren.
Niettemin toont het hierboven genoemde voorbeeld duidelijk de noodzaak aan om de beveiliging van softwarematige gegevensvernietigingsprocedures te verhogen door over te schakelen op werken met fysieke adressering. Het simpelweg verhogen van het aantal overschrijvingsrondes of het bedenken van nieuwe wonderbaarlijke overschrijvingspatronen, gezien het feit dat gegevens onomkeerbaar worden vernietigd de eerste keer dat ze worden overschreven door welke inhoud dan ook, zijn niet van belang. Het is echter belangrijk om aandacht te besteden aan sectoren die mogelijk worden gemist tijdens de overschrijfproces.
Cryptografische verwijdering.
Cryptografische verwijdering (cryptoerase) is een zeer snelle methode om versleutelde gegevens te vernietigen door de encryptiesleutel te vernietigen die is gebruikt om ze te versleutelen. De gegevens blijven intact op het opslagmedium, maar het vernietigen van de sleutel verhindert decrypteering. Ondanks de complexiteit van de taak zijn de gegevens echter nog steeds potentieel decrypteerbaar, waardoor deze methode niet effectief is.
Er bestaat altijd een risico dat een kopie van de encryptiesleutel eerder is beveiligd, ook op een ongecontroleerde en ongeautoriseerde manier. Pogingen om de encryptie te kraken zijn ook mogelijk. Hoewel de kans op brute-force kraken van de encryptiesleutel verwaarloosbaar is, is deze niet nul. Vooruitgang in quantum computing en kunstmatige intelligentie kan ook een bedreiging vormen voor de beveiliging van cryptografische verwijdering. Bovendien kunnen geavanceerdere methoden, zoals een bekende tekstaanval, worden gebruikt als de aanvaller gedeeltelijke kennis heeft van de inhoud van het opslagmedium. Om deze redenen moet cryptografische verwijdering worden gebruikt in noodsituaties wanneer het nodig is om snel toegang tot gegevens te belemmeren, maar voor hun gegarandeerde vernietiging moet een andere effectieve methode worden gebruikt.
Secure Erase
Secure Erase is een procedure voor gegevensvernietiging die sinds het begin van de 21e eeuw in schijffirmware is geïmplementeerd. In wezen overschrijft het (met nullen) alle schijfsectoren, maar het werkt niet op het LBA-adresniveau, maar dichter bij de fysieke adressering. Daarom maakt het ook de vernietiging mogelijk van ten minste enkele sectoren die ontoegankelijk zijn voor programma's die op het LBA-adresniveau werken. Het is daarom de moeite waard om het te gebruiken wanneer er een risico bestaat dat gegevens buiten de LBA-adressering worden bewaard, zoals in SMR-schijven. Een correct geïmplementeerde Secure Erase-procedure zou ook de inhoud van beschadigde sectoren moeten vernietigen die opnieuw zijn toegewezen en mogelijk nog fragmenten van eerdere inhoud bevatten nemen mediafabrikanten echter snelkoppeling en implementeren ze de Secure Erase-procedure op twijfelachtige manieren om het gegevensvernietigingsproces
te versnellen.
In het geval van gecodeerde SSD's komt de Secure Erase-procedure bijvoorbeeldvaak neer op cryptografisch wissen (het genereren van een nieuwe encryptiesleutel) en het vernietigen van de Flash Translation Layer-tabellen. In dit geval worden de gegevens feitelijk fysiek vernietigd door blokken te wissen nadat de Secure Erase-procedure is voltooid, waardoor er kortstondig de mogelijkheid overblijft om de gedeeltelijk vernietigde inhoud te analyseren. Een interessant voorbeeld van een onjuiste implementatie van de Secure Erase-procedure in eMMC-chips werd gedemonstreerd door Aya Fukami in haar presentatie "Exploiting the eMMC security features using the VNR" op de "Flash Data Recovery & Digital Forensic Summit 2024"-conferentie in Warschau.
Op deze chips werden de gegevens niet fysiek gewist; alleen de TRIM-functie werd gebruikt en er werden alleen bewerkingen uitgevoerd op het subsysteem voor vertaling van LBA naar fysiek adres. De zogenaamd vernietigde gegevens konden dus nog steeds worden hersteld met de fysieke adressering . Bovendien was de inhoud van deze chips niet gecrypted. Als de Secure Erase-bewerking dusminder tijd kost dan nodig is om de volledige media te overschrijven of fysiek te wissen, is het beter om deze te negeren en de gegevens te vernietigen een andere methode gebruiken.
Block Erase.
De Block Erase-bewerking vindt plaats in halfgeleideropslagmedia. Hierbij worden alle blokken fysiek gewist (elektronen worden verwijderd van de zwevende poorten van transistors), waardoor gegevensherstel onmogelijk is. Belangrijk is dat de wisbewerking ook van toepassing is op blokken buiten de LBA-adressering. Daarom is deze bewerking een geldig alternatief voor twijfelachtige en verdacht snelle Secure Erase implementaties.
Fysieke methoden voor gegevensvernietiging.
Methoden voor fysieke gegevensvernietiging kunnen worden gebruikt op alle informatieopslagmedia, ongeacht de technische staat ervan. Ze omvatten een breed scala aan verschillende methoden, waarvan sommige universeel toepasbaar kunnen zijn, andere effectief gegevens alleen op bepaalde mediacategorieën vernietigen, en het gebruik van vele andere technisch zinloos is, omdat ze in plaats van het beoogde doel te bereiken, slechts de illusie van veiligheid bieden. De fundamentele vereiste voor effectieve gegevensvernietiging is een verandering in de fysieke staat van de opslagmedia die niet logischerwijs kan worden geïnterpreteerd als vernietigde gegevens. Deze verandering is mogelijk niet altijd met het blote oog zichtbaar, maar aan de andere kant resulteert niet elke zichtbare schade aan de opslagmedia in een verandering in de fysieke staat ervan die gegevensherstel effectief verhindert.
Mechanische methoden voor gegevensvernietiging.
Methoden voor mechanische gegevensvernietiging omvatten een breed spectrum aan methoden voor het mechanisch beïnvloeden van informatieopslagmedia met de bedoeling deze te vernietigen. Deze methoden variëren sterk, van het gebruik van standaard schijfvernietigers tot bizarre methoden zoals het verbreken van interfaceconnectoren. Over het algemeen genieten deze methoden een hoge mate van vertrouwen, hoewel, opmerkelijk genoeg, vaak onterecht.
De meeste mechanische methoden voor gegevensvernietiging zijn zeer primitief en omvatten het slaan op de schijf met een hamer of ander gereedschap. Omdat een beeld meer zegt dan duizend woorden, laat een foto van een harde schijf die met een hamer is vernield, getuigen van de effectiviteit van deze methoden en de technische competentie van degenen die ze gebruiken. Ondanks ernstige schade aan de behuizing, vernietiging van de head stack-assemblage en vervorming van de magneet, bleven de schijf en de gegevens ervan vrijwel intact.
Evenzo kunnen halfgeleidermedia en mobiele apparaten met onvoldoende precisie worden beschadigd, waarbij Flash-NAND-chips intact blijven ondanks externe schade. Dergelijke onnauwkeurigheid kan ook worden aangetroffen bij het boren in apparaten of het nemen van extremere maatregelen, zoals er met voertuigen overheen rijden of er met vuurwapens op schieten. Dus, is het nodig om de schijf te versnipperen volgens de DIN 66399- of ISO/IEC 21964- normen om gegevens effectief te vernietigen?
Gorgon F. Hughes, Tom Coughlin en Daniel M. Commins van de Universiteit van Californië gaven het antwoord op deze vraag door verschillende methoden voor gegevensvernietiging te onderzoeken. Ze onderzochten ook de mogelijkheid om gegevens te herstellen uit versnipperde schijffragmenten en toonden aan dat deze taak, hoewel uiterst complex, haalbaar is. Fragmentgroottes, in overeenstemming met de bovengenoemde normen, zijn aanzienlijk groter dan sectorgroottes, waardoor dergelijke fragmenten met een magnetische krachtmicroscoop kunnen worden afgebeeld en de inhoud van complete sectoren kan worden hersteld.
Ze beschreven de resultaten van hun onderzoek in het artikel "Disposal of disk and tape data by secure sanitization". Het samenvoegen van de herstelde gegevensfragmenten tot een groter geheel blijft een uitdaging, vooral gezien de noodzaak om informatie van de schijf zelf te scheiden van fragmenten van andere schijven. Dit is echter voornamelijk een organisatorische en logistieke uitdaging, die kan worden overwonnen met de toenemende efficiëntie van computerhardware, automatisering en goed getrainde kunstmatige-intelligentiemodellen. Natuurlijk kunnen verliezen aan de randen van de fragmenten niet worden vermeden, maar het is onmogelijk om een datavernietigingsmethode die het mogelijk maakt om een deel van de gegevens te herstellen als effectief te beschouwen, en wat daadwerkelijk wordt vernietigd, wordt aan het toeval overgelaten.
Geschikte technieken voor het afbeelden van fragmenten van mechanisch beschadigde media bestaan ook voor andere soorten apparaten. Met name de mogelijkheid om de elektrische potentialen van de zwevende poorten in beeld te brengen. De resultaten van de analyse van de transistoren van flashgeheugens met behulp van een atoomkrachtmicroscoop zijn het vermelden waard. Onderzoek op dit gebied is veel minder bekend dan de analyse van harde schijfoppervlakken met behulp van een magnetische krachtmicroscoop, maar de resultaten zijn desalniettemin veelbelovend.
Het is waar dat er geen commercieel beschikbare gegevens herstellen-diensten zijn, zelfs niet voor veel subtielere schade aan schijfplaten, zoals buigen, breken of lekken. Dit komt echter niet door de onmogelijkheid van fysieke gegevens herstellen, maar eerder door het ontbreken van voldoende economische rechtvaardiging voor het gebruik van andere gegevens herstellen-methoden dan het roteren van de plaat en het lezen van de inhoud met behulp van originele of donorcomponenten van de harde schijf. De situatie is vergelijkbaar voor halfgeleidermedia, waar de typische omvang van de diensten niet verder reikt dan methoden om communicatie tot stand te brengen met het gehele apparaat of de inhoud van Flash-NAND-chips te lezen met behulp van een programmeur. Gegevens herstellen van versnipperde media is nog steeds een taak die meer geschikt is voor een onderzoeksproject dan voor een commerciële dienst.
De resultaten van reeds voltooide projecten geven echter duidelijk aan dat het gedeeltelijk haalbaar is. Gezien de bewezen ineffectiviteit van het vernietigen van gegevensdragers volgens DIN 66399 en ISO/IEC 21964, wordt de waarde van dergelijke methoden zeer twijfelachtig. Ze garanderen niet alleen niet het verwachte beveiligingsniveau, maar zijn ook duur en genereren afval dat moeilijk te recyclen is.
Omdat voor elk type medium een effectieve methode voor gegevensvernietiging kan worden geselecteerd, ongeacht de technische staat ervan, is het moeilijk een rechtvaardiging te vinden voor het vernietigen van schijven, behalve het welzijn van niet-technische managers die naar een stapel chips kijken. Dit gevoel wordt niet getemperd door het feit dat er bekende gevallen zijn van het reconstrueren van papieren documenten uit restjes, een bekender voorbeeld hiervan is de reconstructie van het vernietigde Stasi-archief (Staatssicherheitdienst) door de BND (Bundesnachrichtendienst). Sommigen geloven dat een hogere opslagdichtheid een extra obstakel kan vormen voor gegevensherstel. In werkelijkheid geldt: hoe hoger de opnamedichtheid, hoe groter de kans om een groter deel van de consistente gegevens uit een fragment van een bepaalde grootte te herstellen.
Zijn alle mechanische methoden voor gegevensvernietiging dan ineffectief? Het is altijd mogelijk om de media verder te fragmenteren dan de regelgeving voorschrijft, zodat de resterende fragmenten kleiner zijn dan de fysieke gegevens-allocatie-eenheden. Flash-NAND-chips kunnen worden geboord, waardoor een boor met een geschikte diameter elke chip in het apparaat kan doorboren. In het geval van harde schijven kunnen gegevens worden vernietigd door de schijfoppervlakken schoon te maken met fijn schuurpapier. Deze methode kan gegevens effectief en veel goedkoper vernietigen dan het versnipperen van de schijven, maar voldoet niet aan de normen.
Methoden voor thermische gegevensvernietiging.
Thermische gegevensvernietigingsmethoden omvatten doorgaans het toepassen van hoge temperaturen met aanzienlijke redundantie, waardoor het medium uiteindelijk wordt vernietigd. Na het toepassen van deze methoden is het medium niet langer geschikt voor verder gebruik. Daarom is het erg moeilijk om studies te vinden die de juiste temperatuur aangeven die voldoende is voor het vernietigen van gegevens op een bepaald type medium.
Thermische methoden zijn het gemakkelijkst om gegevens te vernietigen op plastic media, zoals CD's, DVD's, magneetbanden en floppy disks. Dergelijke media beginnen zelfs te smelten bij temperaturen rond de 100°C. De situatie is compleet anders voor harde schijven en halfgeleidermedia.
Om gegevens op een harde schijf te vernietigen, is het noodzakelijk om de Curietemperatuur te bereiken - de temperatuur die kenmerkend is voor een bepaalde magnetische substantie waarbij deze zijn magnetische eigenschappen verliest. Fabrikanten van harde schijven houden de gedetailleerde samenstelling van de gebruikte magnetische legeringen geheim, maar naar schatting bedraagt de Curietemperatuur van de magnetische laag ongeveer 700°C. Deze temperatuur is onhaalbaar bij kampvuren, ovens en de meeste branden. Daarom gegevens herstellen bedrijven vaak succesvol informatie van schijven die door brand zijn beschadigd.
De situatie is uitdagender bij apparaten die Flash-NAND-chips gebruiken. Hoewel deze chips gevoelig zijn voor hoge temperaturen en steeds vatbaarder worden voor degradatie, betekent dit niet dat data gemakkelijk gegarandeerd vernietigd kan worden door thermische blootstelling. Het is vermeldenswaard dat een populaire methode voor het herstellen van gegevens van halfgeleiderdragers het uitlezen van de inhoud van gedesoldeerde geheugenchips met behulp van een programmeur is.
Met veelgebruikte loodvrije soldeer vereist het desolderen van Flash-NAND-chips een temperatuur van ongeveer 300 °C, wat hoger is dan wat bereikt kan worden in een oven of een typisch kampvuur. Het klopt dat de degradatiesnelheid van Flash-NAND-chips ook afhangt van de duur van de blootstelling aan hoge temperaturen. Er zijn echter geen analyses beschikbaar die de ontwikkeling van een procedure mogelijk maken die effectieve gegevensvernietiging garandeert zonder significante redundantie te gebruiken, wat zou leiden tot volledige vernietiging (verbranding) van het apparaat.
Chemische methoden voor gegevensvernietiging.
Methoden voor chemische gegevensvernietiging zijn afhankelijk van het gebruik van chemicaliën om de media te degraderen, zodat de inhoud onleesbaar wordt. Doorgaans lossen deze methoden de media volledig op in een geschikte oplossing, wat geen twijfels oproept over de effectiviteit van de methode. Uiteraard moet de oplossing geschikt worden gekozen voor het type media dat wordt vernietigd.
De effectiviteit van chemische datavernietiging wordt niet beïnvloed door de mogelijkheid om elementen die niet essentieel zijn voor informatieopslag, zoals het glazen substraat van magnetische platen op harde schijven, onbeschadigd te laten. Het beschadigen van media met verschillende willekeurige stoffen is echter geen effectieve methode voor gegevensvernietiging. Belangrijke nadelen van chemische methoden zijn ook de noodzaak om te zorgen voor geschikte veilige transport- en opslagomstandigheden voor de gebruikte stoffen, het proces zelf en de afvalverwerking.
Demagnetiseren.
Een populaire methode voor gegevensvernietiging is het demagnetiseren van media. Dit houdt in dat er een sterk magnetisch veld op de media wordt toegepast, waardoor de magnetisatie wordt verstoord en de inhoud onleesbaar wordt. Belangrijk is dat demagnetiseren niet beperkt blijft tot het vernietigen van gebruikersinformatie; het vernietigt ook het servosignaal en de service-informatie van harde schijven, waardoor de media zelf worden vernietigd. Alleen oudere, zelden gebruikte magneetbanden zonder servosporen en floppydisks kunnen na het demagnetiseren opnieuw worden gebruikt.
Om gegevens op een gedemagnetiseerd gegevensdrager effectief te vernietigen, moet het gebruikte magnetische veld hoger zijn dan de coërciviteit van het materiaal waaruit de magnetische laag van de media is gemaakt. De coërciviteit van kobaltlegeringen die vaak in harde schijven worden gebruikt, is ongeveer 0,5 T, en degaussers die een magnetisch veld van ongeveer 1 T induceren, zijn voldoende om ze te demagnetiseren. Het is ook belangrijk om rekening te houden met de opkomende energie-ondersteunde opnamedrives.
Er zijn HAMR (Heat-Assisted Magnetic Recording) en MAMR (Microwave Assisted Magnetic Recording) harde schijven, die gebruikmaken van ijzer-platina legeringen met een coërciviteit van bijna 6 T, waardoor ze bestand zijn tegen de meeste moderne demagnetiseerapparaten. Het is ook belangrijk om op te merken dat demagnetiseren alleen een effectieve methode voor gegevensvernietiging is voor magnetische media en dat het gebruik ervan met andere soorten media zinloos is. NAND-buffers in SSHD (Solid State Hybrid Drive) schijven zijn bijzonder bestand tegen demagnetiseerapparaten. Dit lijkt misschien voor de hand liggend, maar het is niet ongebruikelijk, vooral niet voor openbare instellingen die diensten zoeken voor het demagnetiseren van flashdrives of optische media.
Methoden voor vernietiging van elektrische gegevens.
Een populaire methode om gegevens te vernietigen is het elektrisch beschadigen van apparaten. Deze methoden zijn meestal niet effectief. Het gebruik van een spanning die te hoog is in vergelijking met de nominale spanning beschadigt vaak de opslagmedia, wat een vals gevoel van veiligheid geeft. De resulterende fouten zijn echter meestal gemakkelijk te repareren, zelfs door mensen met basiskennis van elektronica.
Dergelijke schade beperkt zich vaak tot afzonderlijke veiligheidscomponenten (zekeringen, Zenerdioden, 0-Ω-weerstanden), maar zelfs in geval van grotere schade is het moeilijk om de componenten te beïnvloeden die daadwerkelijk verantwoordelijk zijn voor de opslag van informatie. Met name de inhoud van harde schijven overleeft de vernietiging van alle elektronische componenten, waardoor gegevensherstel fysiek nog steeds mogelijk is. In het geval van halfgeleidermedia vereist effectieve elektrische gegevensvernietiging echter het toepassen van een te hoge spanning op elke Flash-NAND-chip afzonderlijk en het verifiëren dat deze daadwerkelijk volledig is vernietigd.
Zelfs als een geheugenchip niet reageert op opdrachten, geen identificatie weergeeft en oververhit raakt na plaatsing in een programmeur, garandeert dit niet dat de interne structuur zodanig is beschadigd dat gegevensherstel onmogelijk is. Volgens de ONFI (Open NAND Flash Interface)-specificatie kan één geïntegreerde schakeling maximaal 4 geheugenchips bevatten, en in het geval van chips die tegelijkertijd op twee bussen werken, zelfs maximaal 8. Als een van de geheugens niet volledig is vernietigd, opent dit de weg om de elektrische ladingen die in de zwevende poorten zijn opgeslagen in beeld te brengen en op deze manier te proberen een deel van de gegevens te herstellen.
Inductieve methoden voor gegevensvernietiging.
Het idee voor inductieve gegevensvernietigingsmethoden is waarschijnlijk afkomstig van de methode om oudere EPROM-chips (Erasable – Programmable Read Only Memory) te wissen met behulp van ultraviolette straling. Deze chips waren uitgerust met een speciaal venster waardoor ze konden worden bestraald, waardoor elektronen van de zwevende poorten werden verwijderd. Deze chips werden begin jaren 80 vervangen door EEPROM-chips (Electrically Erasable – Programmable Read Only Memory), waarin de wisbewerking elektrisch wordt uitgevoerd, meestal met behulp van het Fowler-Nordheim-tunneleffect.
De momenteel voorgestelde inductieve gegevensvernietigingsmethoden gebruiken zelden ultraviolette straling; ze gebruiken vaker ioniserende of microgolfstraling. Het gebruik van dit type straling kan in bepaalde situaties het opslagmedium beschadigen, maar dit is een andere categorie schade die de verificatie van de effectiviteit van de gegevensvernietiging compliceert. Er zijn geen betrouwbare studies of analyses om de vereisten te bepalen voor inductieve blootstellingsomstandigheden die de volledig veilige vernietiging van informatie voor specifieke categorieën opslagmedia mogelijk zouden maken.
Pyrotechnische methoden voor gegevensvernietiging.
Pyrotechnische methoden zijn afhankelijk van het gebruik van pyrotechniek en explosieven. Hoewel deze methoden niet-technische gebruikers kunnen imponeren met hun visuele en akoestische effecten, is hun effectiviteit in de praktijk zeer willekeurig. Ze werken bij temperaturen die te laag zijn om thermische vernietiging van gegevens te garanderen, terwijl ze ook mechanische storingen veroorzaken die moeilijk te verifiëren zijn.
In de meeste gevallen is de technische staat van het apparaat na het gebruik van pyrotechnische methoden aanzienlijk beter dan het uiterlijk doet vermoeden, en zijn kritieke componenten voor informatieopslag, zoals harde schijfschijven en NAND-flash chips, vaak onbeschadigd of onvoldoende beschadigd om gegevensvernietiging te veroorzaken. Naast de hoge onzekerheid en willekeurige effectiviteit van deze methoden, is hun nadeel de noodzaak om passende veiligheidsomstandigheden te garanderen. Daarom is hun gebruik zinloos en moeten ze worden vervangen door andere methoden.
Gegevensclassificatie en methoden voor gegevensvernietiging.
De meeste standaarden en normen die procedures voor gegevenssanering beschrijven, baseren de keuze van de methode voor informatievernietiging op de aard en inhoud van de te wissen gegevens. Ze vereisen met name rekening te houden met de toegewezen classificatie voor geheimhouding of vertrouwelijkheid, een beoordeling van de gevoeligheid en het belang ervan voor de organisatie of andere entiteiten, of de potentiële gevolgen van een mogelijk lek. In deze procedures hangt de keuze van de methode voor gegevensvernietiging doorgaans ook af van de vraag of het medium binnen de organisatie blijft of deze verlaat. In het laatste geval wordt meestal fysieke vernietiging van het medium aanbevolen, wat in de praktijk zinvol gebruik buiten de organisatie verhindert.
In werkelijkheid hebben informatieclassificatie, toegewezen classificaties voor geheimhouding en vertrouwelijkheid, beoordeling van de gevoeligheid van gegevens en de subjectieve betekenis die we eraan toekennen, technisch gezien geen invloed op datavernietiging. Gegevens die op een digitaal informatiemedium zijn opgeslagen, zijn simpelweg een stroom nullen en enen, op een specifieke manier georganiseerd, die wordt geïnterpreteerd op het niveau van de logische structuren van bestandssystemen en software. En geen enkele specifieke reeks nullen en enen wordt resistenter tegen vernietiging op basis van de betekenis die de gebruiker eraan toekent. De effectiviteit van gegevensvernietiging hangt ook niet af van de vraag of de classificatie ervan ter beoordeling van de gebruiker is of op een of andere manier aan hen wordt opgelegd, bijvoorbeeld door superieuren, interne procedures of toepasselijke wettelijke voorschriften.
Evenzo hangt de effectiviteit van gegevensvernietiging op geen enkele manier af van het beoogde gebruik van het medium dat de vernietigde informatie bevat. Als gegevens effectief zijn vernietigd, hebben daaropvolgende acties op dat medium geen invloed op de verwijderde inhoud. Het is waar dat een potentiële tegenstander veel meer mogelijkheden zou hebben om de media te analyseren buiten de controle van de eigenaar, maar ze kunnen de gegevens alleen herstellen als de vernietiging ineffectief is. Het feit dat gegevensdrager op een ongecontroleerde en ongeplande manier in verkeerde handen kunnen vallen, is een dwingende reden om alleen effectieve methoden voor informatievernietiging te gebruiken. Zelfs in situaties waarin iemand zou kunnen denken dat een ineffectieve methode voldoende is.
Hoe kiest u een goede methode voor gegevens-opschoning?
Het primaire criterium voor het selecteren van een gegevensvernietigingsmethode zou de effectiviteit ervan moeten zijn. Ongeacht het type informatie dat wordt vernietigd, de classificatie ervan en de vertrouwelijkheid ervan, is het moeilijk om een rechtvaardiging te vinden voor het gebruik van methoden die, zelfs theoretisch, latere dataherstel mogelijk maken. Alleen uit effectieve methoden kan de optimale keuze worden gemaakt, geleid door het type media, de technische staat ervan en economische, ecologische of andere criteria die relevant zijn voor een bepaalde situatie.
Het kiezen van een effectieve datavernietigingsmethode maakt het mogelijk om het proces te optimaliseren door kostbare en vaak lastige meerfasenprocedures voor informatiesanering te elimineren. Voldoen aan het hierboven gedefinieerde effectiviteitscriterium betekent een veilige vernietiging van de inhoud van de media zonder de noodzaak van correcties voor "veiligheid" met behulp van andere methoden, met name dure en moeilijk te recyclen mechanische vernietiging van media. Het beperken van de procedure tot één effectieve methode verlaagt ook de kosten van mediabescherming, opslag en transport.
In het geval van efficiënte en herbruikbare herschrijfbare media is de meest logische keuze softwarematige gegevensvernietigingsmethoden. Deze zijn eenvoudig te implementeren, aanzienlijk goedkoper dan fysieke methoden en verslechteren de technische staat van de media niet. Bovendien dragen ze aanzienlijk bij aan het verminderen van de productie van elektronisch afval en hebben ze een kleinere impact op het milieu. Verder gebruik van een werkend apparaat is altijd effectiever dan recycling. De details van de selectie van de optimale methode hangen af van het specifieke medium, en een goede beslissing vereist ten minste inzicht in de basisprincipes van de werking ervan.
Eenmalig beschrijfbare en beschadigde media moeten fysiek worden vernietigd. Bij het kiezen van een methode moet men in de eerste plaats rekening houden met de relevantie ervan voor de fysieke verschijnselen die verantwoordelijk zijn voor informatieopslag en ernaar streven de fysieke toestanden die ten grondslag liggen aan logische interpretatie te beïnvloeden. Vervolgens is het de moeite waard om de economische en milieukosten te overwegen, rekening houdend met het feit dat een brutalere behandeling van media meestal gepaard gaat met een lager niveau van begrip van de werking ervan en een lager beveiligingsniveau.