Dlaczego niszczymy dane?
Wynalezienie różnych sposobów utrwalania danych stało się fundamentem rozwoju cywilizacji. Na początku były to nacięcia na kościach i patykach, wiązane na sznurkach węzełki, później odciskane w glinianych tabliczkach kliny i malowane na papirusie hieroglify. Pozwoliły one na uniezależnienie przetrwania informacji od pamięci człowieka, co ułatwiło akumulację wiedzy i doświadczenia oraz przekazywanie ich kolejnym pokoleniom.
Dalszy rozwój doprowadził do wynalezienia pisma alfabetycznego pozwalającego zapisywać dowolne treści przy pomocy niewielkiej liczby symboli. Wynalezienie druku i ruchomej czcionki spowodowały, że masowe powielanie i rozpowszechnianie informacji stało się proste i tanie. Kolejnym cywilizacyjnym przełomem okazało się pojawienie się techniki komputerowej i Internetu, co umożliwiło jeszcze łatwiejszy dostęp do danych przechowywanych w formie cyfrowej.
Ale też informacje często były niszczone. Nieraz w wyniku wypadków, zdarzeń losowych, czy naturalnej degradacji nośników albo bezmyślnych, barbarzyńskich aktów zniszczenia, ale też w sposób ukierunkowany i celowy. Tak zacierano kulturowy dorobek podbijanych narodów, religijni przywódcy likwidowali przejawy herezji, a władcy niszczyli literaturę szerzącą nieprawomyślne idee. Najsłynniejszym przykładem niszczenia informacji było dwukrotne spalenie Biblioteki Aleksandryjskiej, jakie spowodowało bezpowrotną utratę znacznej części dorobku antycznego.
Dziś książki już płoną znacznie rzadziej, lecz to nie znaczy, że zrezygnowano z cenzury i prób kontroli obiegu informacji. Ale to tylko jeden z powodów niszczenia danych. Przeniesienie znacznej części informacji związanych z naszym życiem osobistym i zawodowym na nośniki cyfrowe z jednej strony jest wygodne, jednak z drugiej – znacznie podnosi ryzyko przejęcia tych danych przez niepowołane osoby, a zarazem i potencjał ich nikczemnego wykorzystania.
Z tego właśnie względu niszczenie danych cyfrowych stało się ważnym elementem cyberbezpieczeństwa. Pojawiły się liczne mniej lub bardziej adekwatne normy regulujące procedury niszczenia danych w sposób, przynajmniej w założeniu, zapewniający bezpieczeństwo i skuteczność procesu. Rozwijają się też liczne regulacje określające obowiązek odpowiedniego zniszczenia danych w pewnych sytuacjach – od międzynarodowych aktów prawnych, jak np. RODO, poprzez krajowe ustawy ustanawiające różne rodzaje tajemnic służbowych i zawodowych, po wewnętrzne przepisy obowiązujące w różnych organizacjach publicznych i prywatnych.
Oprócz obowiązków wynikających z przepisów prawa, mamy też zobowiązania wynikające z zawieranych umów. W ten sposób też możemy się zobowiązać do zachowania w tajemnicy pewnych informacji i właściwej ich ochrony, w tym do ich zniszczenia, kiedy przestaną być potrzebne. Dane możemy też niszczyć i bez szczególnych obowiązków, a po prostu, by chronić nasze interesy i naszą prywatność. W skrajnym przypadku dane możemy też niszczyć, by uniknąć odpowiedzialności za błędy, nieetyczne zachowania, czy nawet popełnione przestępstwa, jeżeli te informacje mogłyby być wykorzystane jako cyfrowe dowody przeciwko nam.
Wydawać by się mogło, że konieczność odpowiedniego zniszczenia informacji w pewnych sytuacjach powinna być oczywista, tym niemniej wciąż mamy do czynienia z licznymi wyciekami danych spowodowanymi zaniedbaniami w tej materii. Jeszcze gorzej wygląda sytuacja w zakresie zrozumienia zasad działania nośników danych i fizyki przechowywania informacji. Problem ten dotyczy także autorów norm opisujących procedury niszczenia danych, skutkiem czego często zawierają one regulacje kuriozalne w świetle wiedzy technicznej.
Podstawowe informacje o nośnikach danych.
Z rozwojem elektroniki i techniki komputerowej pojawiło się zapotrzebowanie na nośniki danych, jakie mogłyby być wykorzystywane przez nowe urządzenia. Pierwotnie używano stosowanych jeszcze w XIX wieku kart i taśm perforowanych, ale w połowie XX wieku opracowano nośniki magnetyczne – taśmy i dyski twarde, a nieco później i dyskietki. Z czasem całkowicie wyparły one nośniki papierowe, ale od początku XXI wieku same muszą rywalizować z półprzewodnikowymi urządzeniami wykorzystującymi pamięci Flash-NAND. Tymczasem w laboratoriach opracowywana jest szeroka gama nowych typów nośników danych, często wykorzystujących zjawiska fizyczne związane ze zmianą rezystancji.
I właśnie zjawiska fizyczne wykorzystywane do przechowywania danych są podstawą najpopularniejszej klasyfikacji nośników informacji. Sam podział na nośniki papierowe, magnetyczne, optyczne, półprzewodnikowe i rezystywne jest powszechnie znany, jednak stojąca za przechowywaniem danych fizyka często pozostaje niezrozumiana, co jest przyczyną mitów i błędnych przekonań na temat skuteczności niszczenia danych. Z racji obszerności tych zagadnień, także i w tym artykule nie będzie możliwe bardzo szczegółowe ich wyjaśnienie.
Innym popularnym rozróżnieniem nośników danych jest ich podział na analogowe i cyfrowe. Nośniki cyfrowe przechowują dane w postaci stanów logicznych interpretowanych jako zera i jedynki, dzięki czemu są dobrze rozumiane przez maszyny. Pozostałe nośniki danych, to nośniki analogowe.
Przy tym musimy pamiętać, że podstawą każdego cyfrowego stanu logicznego jest jakiś analogowy stan fizyczny, jaki jest interpretowany w procesie dekodowania danych jako logiczne zero lub jedynka. Dobrym przykładem dla zilustrowania przypisywania stanów logicznych stanom fizycznym są karty perforowane, gdzie określone wartości logiczne możemy przypisywać „pełnym” miejscom lub wybitym dziurkom. Może to właśnie dlatego, że stan fizyczny będący podstawą określenia stanu logicznego jest w kartach perforowanych łatwo dostrzegalny nawet dla laika, są one często uważane za nośniki analogowe.
Istotną z punktu widzenia usuwania informacji, klasyfikacją jest podział nośników danych na ulotne (energozależne) i nieulotne (energoniezależne). Pierwsze z nich utrzymują stany logiczne jedynie wtedy, kiedy są zasilane i tracą je niezwłocznie po odłączeniu od źródła prądu. Dlatego do usunięcia z nich danych, wystarczające jest odłączenie zasilania. Przykładami nośników energozależnych są wykorzystywane jako pamięć operacyjna układy DRAM (ang. Dynamic Random Access Memory) oraz pamięci SRAM (ang. Static Random Access Memory, często używane jako cache procesorów.
Z kolei nośniki nieulotne potrafią utrzymywać stany logiczne niezależnie od zasilania przez bardzo długi czas, przy odpowiednim przechowywaniu liczony nawet w dziesięcioleciach. W ich przypadku usunięcie danych wymaga podjęcia celowych działań. I tu istotny jest ich dalszy podział na nośniki wielokrotnego i jednokrotnego zapisu.
Nośniki jednokrotnego zapisu można zapisać tylko raz i później nie można zmienić ich zawartości. Z tego względu dla zniszczenia zapisanych na nich danych konieczne jest fizyczne zniszczenie całego nośnika. Natomiast w przypadku nośników wielokrotnego zapisu, ich zawartość może być zastępowana inną, co otwiera możliwość niszczenia informacji przez jej nadpisanie bez konieczności niszczenia samego nośnika.
Trzeba też zwrócić uwagę, że chmura, dyski sieciowe i podobne zasoby nie są osobną kategorią nośników. Za każdym typem zasobów sieciowych stoi realna infrastruktura obejmująca także fizyczne nośniki danych różnych typów. Szczególną cechą takich zasobów jest to, że często są one administrowane przez inne podmioty i użytkownik nie ma fizycznego dostępu do nośników, co ogranicza jego możliwości wyboru sposobów niszczenia informacji oraz kontrolę nad kopiami danych umieszczanych w takich zasobach.
Standardy regulujące niszczenie danych.
W trosce o bezpieczne i skuteczne niszczenie danych wiele instytucji opracowało mniej lub bardziej szczegółowe procedury. Niektóre z nich, zwłaszcza opracowane przez instytucje rządowe i wojskowe, cieszą się dużym zaufaniem i zyskały znaczną popularność. Firmy niszczące dane często deklarują zgodność stosowanych przez nie procedur z popularnymi standardami, gdyż tego oczekują od nich klienci.
Dość powszechnie można się spotkać z przekonaniem, że opisane w standardach procedury w jakiś sposób odzwierciedlają techniczne możliwości odzyskiwania danych przez służby policyjne, agencje wywiadowcze i podobne organizacje. W rzeczywistości jest inaczej – standardy te są zwykle tworzone przez urzędników, często o bardzo wątłej wiedzy technicznej. By się o tym przekonać, wystarczy zwrócić uwagę na znaczące rozbieżności pomiędzy różnymi regulacjami (chociażby różnice w zalecanych wzorcach nadpisujących i liczbie przebiegów nadpisywania), podczas gdy fizyka jest jedna dla wszystkich.
I to właśnie fizyka decyduje o sposobie przechowywania danych w nośnikach różnych typów, a także o tym, w jaki sposób można je zniszczyć i w jakich sytuacjach można je odzyskać. Wszystkie regulacje są wtórne wobec praw fizyki i opierających się na nich rozwiązań technicznych. Różnice pomiędzy poszczególnymi normami i procedurami wynikają głównie z tego, że nie do końca odpowiadają one wiedzy technicznej i fizyce przechowywania danych.
Różne standardy niszczenia danych powstawały w różnych okresach i uwzględniają różny stan rozwoju techniki oraz wiedzy na temat możliwości odzyskiwania danych. Np. starsze regulacje typowo wymagały większej liczby przebiegów nadpisywania od nowszych. Między niektórymi ze standardów można dostrzec duże podobieństwa. Np. IEEE 2883-2022 ewidentnie był inspirowany przez NIST SP-800-88, a DIN 66399 i ISO/IEC 21964 są bezrefleksyjną i pozbawioną zrozumienia fizyki przechowywania informacji w cyfrowych nośnikach danych adaptacją regulującej niszczenie dokumentów papierowych normy DIN 32757.
Podczas niszczenia danych trzeba pamiętać, że o skuteczności procesu decydują prawa fizyki i adekwatność wybranej metody do typu nośnika. Różne regulacje często zalecają niepotrzebnie nadmiarowe postępowanie (np. wieloprzebiegowe algorytmy nadpisywania danych), ale też istnieje ryzyko w pełni zgodnego z procedurą nieskutecznego zniszczenia informacji. W związku z tym, o ile postępowanie zgodnie z procedurą może uchronić nas przed odpowiedzialnością, jej niewłaściwy wybór może sprawić, że wcale nie musi nas uchronić przed wyciekiem danych. Dlatego, niezależnie od znajomości przepisów, warto też poznać i zrozumieć choćby podstawy fizyki stojącej za przechowywaniem danych.
Poniżej znajduje się spis najpopularniejszych standardów regulujących niszczenie danych:
AFSSI-5020 (Air Force System Security Instruction 5020),
CSEC ITSG-06 (Communication Security Establishment Canada, Information Technology Security Guide – 06)
DIN 66399 (Büro- und Datentechnik - Vernichten von Datenträgern),
HMG-IS5 (Her/His Majesty Government Infosec Standard 5),
IEEE 2883-2022 (Institute of Electrical and Electronics Engineers, Standard for Sanitizing Storage),
ISO/IEC 21964 (International Standard - Information technology – Destruction of data carriers),
NAVSO P-5239-26 (Navy Staff Office Publication 5239-26, Information Systems Security Program Guidelines),
NISPOM DoD 5220.22-M (National Industrial Security Program Operating Manual, Departament of Defence 5220.22-M),
NIST SP 800-88 (National Institute of Standards and Technology, Guidelines for Media Sanitization),
NSCS-TG-025 (National Computer Security Center, Technical Guidelines 025, A Guide to Understanding Data Remanence in Automated Information Systems),
RCMP TSSIT OST-II (Royal Canadian Mounted Police, Media Sanitation of the Technical Security Standards for Information Technology),
VSITR (Verschlusssachen IT Richtlinien),
ГОСТ Р50739—95 (Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования).
Kiedy dane faktycznie są zniszczone?
O skutecznym zniszczeniu danych możemy mówić w sytuacji, kiedy po przeprowadzeniu operacji ich zniszczenia odzyskanie tych danych jest niemożliwe. Przy tym brak możliwości odzyskania zniszczonych danych powinniśmy rozpatrywać z punktu widzenia praw fizyki. Jeśli istnieje choćby tylko potencjalna możliwość odzyskania danych, nie można mówić o ich skutecznym zniszczeniu, nawet, jeśli odzyskanie tych danych byłoby procesem niezwykle złożonym, kosztownym i długotrwałym.
Częstym błędem jest ocena skuteczności niszczenia informacji przez pryzmat możliwości powszechnie stosowanych metod odzyskiwania danych, a także oceny wartości tych danych oraz możliwości technicznych i finansowych potencjalnego adwersarza. Jeśli w procesie niszczenia danych pojawiają się pytania typu: „komu się będzie chciało?”, „kto będzie umiał?”, czy „kogo będzie na to stać?”, najprawdopodobniej ten proces jest przeprowadzany nieprawidłowo. Zwłaszcza, jeżeli odpowiedzi na te pytania udzielają osoby o niedostatecznej wiedzy technicznej. W konsekwencji często osoby te przeszacowują znaczenie trywialnych usterek (np. wyłamania złącz interfejsu lub prostych uszkodzeń elektronicznych) i nie doceniają możliwości adwersarzy nie tylko potencjalnie gotowych opracować nową metodę odzyskania informacji, ale też dysponujących bardzo typowymi możliwościami w zakresie odzyskiwania danych.
Odzyskiwanie danych często napotyka praktyczne przeszkody związane z ograniczeniami czasowymi i budżetowymi, problemami z dostępnością potrzebnych części, czy złożonością niektórych zadań bardziej kwalifikujących się na projekty naukowe, niż na komercyjną usługę. Jednak niepowodzenie odzyskiwania danych spowodowane konkretną przyczyną wcale nie musi oznaczać, że te dane faktycznie zostały nieodwracalnie zniszczone. Dopóki dane fizycznie istnieją na nośniku i potencjalnie mogą być odzyskane, nie można uważać, że zostały skutecznie zniszczone.
W szczególności brak wiedzy i umiejętności potrzebnych do odzyskania danych w konkretnym przypadku nie jest wystarczającą przesłanką, aby uznać, że tych danych faktycznie nie da się odzyskać. I nawet, jeśli zastosowanie określonej metody czasami faktycznie skutecznie niszczy dane, nie zawsze dowodzi to skuteczności tej metody w każdej sytuacji. Metodę niszczenia danych można uznać za skuteczną jedynie w wypadku, kiedy daje ona powtarzalne rezultaty i nie jest zależna od czynników losowych.
Z drugiej strony, w niektórych sytuacjach zbędne dane mogą być tak nieinteresujące i bezwartościowe, że nikt nie byłby skłonny podjąć nawet minimalnego wysiłku, by uzyskać do nich dostęp. W skrajnym przypadku można te dane pozostawić na nośniku, jakiego nikomu nie będzie się chciało nawet podłączyć do komputera. Czy jednak w takiej sytuacji racjonalnym byłoby uznać, że te dane zostały skutecznie zniszczone? Dlaczego więc tak często jesteśmy skłonni uznać dane za skutecznie zniszczone tam, gdzie z fizycznego punktu widzenia ich odzyskanie wciąż jest możliwe, a często nawet nie jest trudne?
Co tak naprawdę niszczymy? Nośniki, a dane.
Często popełnianym błędem w niszczeniu informacji jest utożsamianie nośników danych z ich zawartością. Tak uczynili m. in. autorzy norm DIN 66399 i ISO/IEC 21964. Typowo błąd ten prowadzi do konkluzji, że dla skutecznego zniszczenia danych konieczne jest fizyczne zniszczenie nośnika. Drugą konsekwencją utożsamiania nośników z ich zawartością jest złudne przeświadczenie, że uszkodzenie nośnika zawsze skutecznie uniemożliwia dostęp do zapisanej na nim informacji.
W rzeczywistości fizyczne zniszczenie nośnika dla nieodwracalnego usunięcia danych jest koniecznie jedynie w przypadku nośników jednokrotnego zapisu lub nośników uszkodzonych. W ich przypadku nie mamy możliwości takiej zmiany stanu fizycznego nośnika, aby niszczoną informację zastąpić inną, bezwartościową. W przypadku sprawnych nośników wielokrotnego zapisu dane mogą zostać skutecznie zniszczone przez nadpisanie, tj. taką zmianę fizycznego stanu nośnika, aby był interpretowany jako inny stan logiczny.
O ile pierwsza z konsekwencji utożsamienia nośnika z jego zawartością jedynie powoduje zbędne koszty związane z wyborem droższej metody niszczenia danych oraz stratą samego nośnika, druga stanowi bezpośrednie zagrożenie dla bezpieczeństwa procesu niszczenia informacji. Uszkodzenie nośnika może spowodować, że przestanie on być rozpoznawany przez komputer i nie będzie odpowiadał na polecenia. Takie zachowanie urządzenia utrudnia zweryfikowanie poprawności zniszczenia danych, a u osób słabiej rozumiejących technikę może zrodzić bezpodstawne przekonanie, że tych danych nie da się odzyskać.
elektroniki dysku twardego.
W rzeczywistości w przypadku wielu usterek, zwłaszcza powodowanych amatorskimi metodami, dane są możliwe do odzyskania. Przykładem takiego nieskutecznego zniszczenia danych jest dysk przedstawiony na zamieszczonym zdjęciu. Uszkodzenie elektroniki wymaga jej wymiany na sprawną. W takich sytuacjach często konieczna jest też wymiana bloku magnetycznych głowic, ale w większości podobnych przypadków dane są praktycznie odzyskiwane.
Metody niszczenia danych i ich skuteczność.
Klasyfikacja metod niszczenia danych.
Metody niszczenia danych najczęściej dzielone są na programowe (logiczne) i sprzętowe (fizyczne). Dość powszechnie metody sprzętowe są uznawane za skuteczniejsze od programowych, jednak takie podejście jest nieuzasadnione. Jeśli jakaś metoda niszczenia informacji jest skuteczna, po jej zastosowaniu danych nie da się odzyskać. Oznacza to, że efektu zniszczenia informacji nie da się osiągnąć w większym stopniu, a więc wśród skutecznych metod żadnej nie można uznać za skuteczniejszą od innych. Jedynie metody nieskuteczne, a więc tylko w mniejszym lub większym stopniu utrudniające odzyskanie danych, można porównywać pod kątem stopnia trudności odzyskiwania danych po ich zastosowaniu.
Przewagą fizycznych metod niszczenia danych jest możliwość zastosowania ich na nośnikach każdego rodzaju i w dowolnym stanie technicznym. Metod programowych można użyć jedynie w przypadku sprawnych nośników wielokrotnego zapisu, pozwalających na zastąpienie ich zawartości inną. Najważniejszą wadą metod fizycznych jest to, że informacja jest niszczona razem z nośnikiem. Ponadto przy wyborze metody niszczenia danych należy zwracać uwagę na jej adekwatność do typu nośników, gdyż każdy typ nośnika ma swoją specyfikę wrażliwości na oddziaływanie różnego rodzaju czynników fizycznych.
Niekiedy metody niszczenia danych są też klasyfikowane w inny sposób. Np. standardy NIST SP-800-88 i IEEE 2883-2022 dzielą metody niszczenia informacji na trzy kategorie: Clear (czyszczenie), Purge (usuwanie) i Destroy (niszczenie). I o ile w przypadku kategorii Destroy, można by ją było postrzegać jako wyróżnienie metod fizycznych względem programowych, o tyle rozróżnienie na Clear i Purge wygląda cokolwiek sztucznie. Uzasadnienie dla takiego podziału metod niszczenia danych tym trudniej znaleźć, że niektóre metody, np. nadpisywanie, są równocześnie zaliczane do obu kategorii.
W znalezieniu sensu tej klasyfikacji nie pomaga umieszczenie w kategorii Purge demagnetyzacji, jaka jest typowo fizyczną metodą niszczenia informacji. Z uwagi na to, że demagnetyzacja, prócz danych użytkownika, niszczy także wszystkie inne zapisy, w tym sygnał serwo i zawartość strefy serwisowej dysków twardych, jej zastosowanie czyni większość magnetycznych nośników danych bezużytecznymi. Z tego powodu bardziej zasadnym byłoby umieszczenie jej w kategorii Destroy.
Jednocześnie bardzo niejasne i niekonsekwentne jest podejście tych standardów do kwestii skuteczności niszczenia danych. Autorzy tych standardów wiążą zalecenia wyboru metody niszczenia danych z klasyfikacją ich zawartości i zdają się dopuszczać dla mniej istotnych danych wykorzystanie nieskutecznych metod ich niszczenia. Wobec szerokiego wyboru metod skutecznych, takie podejście jest absurdalne. Kolejnym problemem wspomnianych wyżej standardów jest nieuzasadnione wiedzą techniczną automatyczne przypisywanie wyższej skuteczności metodom zaliczanym do kategorii Destroy, a niższej – do kategorii Clear.
Programowe metody niszczenia danych.
Dużą zaletą programowych metod niszczenia informacji jest możliwość selektywnego niszczenia wybranych danych. Skuteczność logicznych metod opiera się o taką zmianę fizycznego stanu nośnika, aby przy odczycie był on interpretowany inaczej, niż pierwotnie. Stąd wszystkie skuteczne programowe metody niszczenia danych można sprowadzić do nadpisania wskazanego obszaru. Jednak dla zapewnienia pełnego bezpieczeństwa tych metod konieczne jest dopilnowanie odpowiedniej dokładności przeprowadzonego procesu.
Usuwanie plików na poziomie metadanych systemu plików.
W większości przypadków po usunięciu pliku w metadanych systemu plików, wciąż jest on możliwy do odzyskania. Tym bardziej, jeśli usunięcie polega na wrzuceniu pliku do kosza systemowego, czyli przeniesieniu go do specjalnego katalogu. Z tego względu w żaden sposób nie można tej metody uznać za skuteczną.
Nie zmienia tej oceny fakt, że w wielu praktycznych sytuacjach odzyskanie pewnych plików okazuje się niemożliwe. Dzieje się tak z różnych powodów. Najczęściej dochodzi do tego wskutek późniejszego nadpisania plików lub ich fragmentów inną zawartością, a w przypadku dysków SSD i niektórych innych nośników półprzewodnikowych – także w wyniku zadziałania funkcji TRIM. Jednak w przypadku celowego niszczenia danych nie można rezultatów procesu pozostawiać przypadkowym czynnikom.
Formatowanie partycji.
Formatowanie partycji może pod pewnymi warunkami być skuteczną metodą zniszczenia danych. Dane na ogół można odzyskać w przypadku szybkiego formatowania, jakie polega na utworzeniu nowych metadanych pustej partycji w miejscu poprzedniej. Taki sposób formatowania jest szybki, ale pozostawia znaczną część zawartości starej partycji nienaruszoną i, dopóki nie zostanie nadpisana nowymi plikami, wciąż jest możliwa do odzyskania.
Inaczej wygląda sytuacja w przypadku pełnego formatowania, niekiedy błędnie nazywanego niskopoziomowym (formatowanie niskopoziomowe polega na utworzeniu struktury ścieżek i sektorów dysku i od ok. 30 lat jest możliwe wyłącznie w warunkach fabrycznych, ale kiedy jeszcze mogło być wykonane przez użytkownika, skutecznie niszczyło dane). Obejmuje ono wyzerowanie całego obszaru partycji przed utworzeniem nowych metadanych, co skutkuje nadpisaniem poprzedniej zawartości i utratą możliwości jej odzyskania. Uniemożliwić odzyskanie danych ze sformatowanej partycji może też funkcja TRIM w połączeniu z fizycznym kasowaniem bloków w nośnikach półprzewodnikowych, jednak wymaga to pewnego czasu (zwykle od kilku do kilkudziesięciu minut) na przeprowadzenie przez oprogramowanie układowe procesów w tle.
Nadpisanie danych.
Nadpisywanie danych polega na zastąpieniu informacji jaką chcemy zniszczyć, bezwartościową zawartością. Jest to możliwe jedynie w nośnikach wielokrotnego zapisu, w jakich zawartość może być dowolnie zmieniana. Dane niszczone są już pierwszym przebiegiem nadpisywania, gdyż zapis nowej informacji zmienia fizyczny stan nośnika w taki sposób, by był on logicznie interpretowany zgodnie ze wzorcem nadpisującym. Skuteczność nadpisywania danych nie zależy też od użytego wzorca nadpisującego, byleby był on różny od niszczonych danych.
Dla bezpieczeństwa tej metody niszczenia informacji kluczowa jest dokładność nadpisywania, gdyż dane mogą przetrwać w nienadpisanych fizycznych jednostkach alokacji. Dlatego przy zadawaniu parametrów procesu należy zwracać uwagę na zakres nadpisywanych sektorów oraz uwzględniać obszary poza adresacją LBA (ang. Logical Block Addressing), jak HPA (ang. Host Protected Area) lub DCO (ang. Device Configuration Overlay). Trudności mogą też sprawić nośniki, w jakich adresacja LBA nie jest ściśle związana z adresacją fizyczną, jak nośniki półprzewodnikowe, dyski z zapisem dachówkowym (ang. Shingled Magnetic Recording - SMR), czy bufory NAND w dyskach hybrydowych SSHD (ang. Solid State Hybrid Drive). W tych sytuacjach często warto użyć procedur Secure Erase lub Block Erase.
Zagadnienie potrzeby dokładności nadpisywania danych i ryzyka związanego z sektorami poza adresacją LBA szerzej przedstawił Dai Shimogaito w prezentacji „Exotic data recovery & paradais” w 2016 r. na konferencji „Code Blue” w Tokio. Najważniejszym elementem tej prezentacji było uruchomienie systemu operacyjnego Windows XP z dysku twardego WD20WZRZ-00Z5HB0 uprzednio nadpisanego z wykorzystaniem procedury Secure Erase. System udało się ukryć przed zniszczeniem dzięki ingerencji w podsystem translacji adresacji LBA na fizyczną.
Każdy dysk twardy ma pewną liczbę nadmiarowych fizycznych sektorów ponad nominalną pojemność nośnika. Część sektorów w testach fabrycznych okazuje się uszkodzona i nie może być wykorzystana, część pełni rolę sektorów rezerwowych, a część pozostaje niewykorzystana i nie ma przypisanych numerów LBA. Liczba takich sektorów wynosi w granicach 0,6 – 0,7 % całkowitej pojemności dysku, co w przypadku dysku o pojemności 2 TB daje ok. 12-14 GB ukrytej pojemności.
Dla osiągnięcia efektu, jaki zademonstrował Dai Shimogaito, konieczne jest spreparowanie i ukrycie w strefie serwisowej dysku modułu translatora (31) adresującego inne fizyczne sektory, niż oryginalny translator. Położenie tego translatora wskazuje alternatywny katalog modułów (01, DIR). Z kolei za wskazanie położenia katalogu modułów w strefie serwisowej odpowiada moduł 20B przechowywany w EEPROMie na elektronice dysku.
Po odpowiednim zmodyfikowaniu wskazanych wyżej modułów oprogramowania układowego możemy mieć dwa różne translatory w inny sposób adresujące fizyczne sektory. Dla wybrania któregoś z nich należy użyć odpowiedniej płytki elektroniki z zaprogramowanym modułem 20B wskazującym na katalog modułów przekierowujący do wybranego translatora. W ten sposób można ukryć część sektorów przed nadpisaniem lub procedurą Secure Erase.
Ryzyko praktycznego wykorzystania tej możliwości dla ukrycia danych przed zniszczeniem jest znikome. Nie tylko wymagałoby to fizycznego dostępu do dysku i wysokich kompetencji w zakresie oprogramowania układowego oraz pracy w fizycznej adresacji, ale też byłoby obciążone ryzykiem uszkodzenia struktur logicznych systemu plików przy próbach równoległej pracy z dwoma różnymi translatorami. Potencjalny adwersarz mając fizyczny dostęp do dysku znacznie łatwiej mógłby po prostu skopiować potrzebne dane na inny nośnik.
Tym niemniej, wskazany wyżej przykład jasno dowodzi potrzeby zwiększania bezpieczeństwa procedur programowego niszczenia danych przez przejście do pracy w adresacji fizycznej. Samo zwiększanie liczby przebiegów nadpisywania, czy wymyślanie kolejnych cudownych wzorców nadpisujących wobec faktu, że dane bezpowrotnie niszczone są już przy pierwszym nadpisaniu dowolną zawartością, nie mają żadnego znaczenia. Natomiast istotne jest zwrócenie uwagi na sektory, jakie w procesie nadpisywania mogą być pominięte.
Kasowanie kryptograficzne.
Kasowanie kryptograficzne jest bardzo szybką metodą niszczenia danych zaszyfrowanych polegającą na zniszczeniu klucza szyfrującego, jakim te dane zostały zaszyfrowane. Dane pozostają na nośniku nienaruszone, ale zniszczenie klucza uniemożliwia ich odszyfrowanie. Jednak, pomimo złożoności zadania, dane wciąż potencjalnie są możliwe do odszyfrowania, co nie pozwala uznać tej metody za skuteczną.
Zawsze istnieje ryzyko, że kopia klucza szyfrującego mogła zostać wcześniej zabezpieczona, w tym w niekontrolowany i nieautoryzowany sposób. Możliwe są też próby złamania szyfrowania. Wprawdzie prawdopodobieństwo złamania klucza szyfrującego metodami siłowymi jest znikome, ale nie jest ono zerowe.
Zagrożeniem dla bezpieczeństwa kasowania kryptograficznego mogą się też okazać postępy w dziedzinie komputerów kwantowych oraz sztucznej inteligencji. Ponadto w takim przypadku mogą znaleźć zastosowanie bardziej wyrafinowane metody, np. atak z wykorzystaniem znanego tekstu, jeśli adwersarz dysponuje częściową wiedzą o zawartości nośnika. Z tych względów kasowanie kryptograficzne powinno być stosowane w nagłych sytuacjach, kiedy zaistnieje potrzeba szybkiego utrudnienia dostępu do danych, jednak dla ich gwarantowanego zniszczenia należy zastosować inną, skuteczną metodę.
Secure Erase
Secure Erase jest procedurą niszczenia danych implementowaną na poziomie oprogramowania układowego dysków od początku XXI wieku. W zasadzie jest to procedura sprowadzająca się do nadpisania (wyzerowania) wszystkich sektorów dysku, ale pracuje nie na poziomie adresacji LBA, a bliżej adresacji fizycznej. Z tego względu pozwala zniszczyć też zawartość przynajmniej części sektorów niedostępnych dla programów pracujących na poziomie adresacji LBA. Dlatego warto ją wykorzystywać tam, gdzie jest ryzyko zachowania danych poza adresacją LBA, np. w dyskach SMR. Prawidłowo zaimplementowana procedura Secure Erase powinna też zniszczyć zawartość uszkodzonych sektorów, jakie zostały realokowane i potencjalnie wciąż mogą zawierać fragmenty poprzedniej zawartości.
Niekiedy jednak w celu przyśpieszenia procesu niszczenia danych, producenci nośników wybierają drogę na skróty i implementują procedurę Secure Erase w wątpliwy sposób. Np. w przypadku szyfrowanych dysków SSD często procedura Secure Erase sprowadza się do kasowania kryptograficznego (wygenerowania nowego klucza szyfrującego) oraz zniszczenia tablic warstwy translacji Flash. Wówczas faktycznie dane są fizycznie niszczone przez skasowanie bloków już po zakończeniu procedury Secure Erase, co przez krótki czas pozostawia możliwość podjęcia próby analizy nie do końca zniszczonej zawartości.
Interesujący przykład nieprawidłowej implementacji procedury Secure Erase w układach eMMC zademonstrowała Aya Fukami w prezentacji „Exploiting the eMMC security features using the VNR” przedstawionej podczas konferencji "Flash Data Recovery & Digital Forensic Summit 2024" w Warszawie. W tych układach dane nie zostały fizycznie skasowane, a jedynie wykorzystane zostało działanie funkcji TRIM i przeprowadzone zostały tylko operacje na podsystemie translacji adresów LBA na fizyczne. W konsekwencji rzekomo zniszczone dane wciąż były możliwe od odzyskania w adresacji fizycznej. W dodatku zawartość tych układów nie była zaszyfrowana. Z tego względu, jeżeli operacja Secure Erase przebiega w czasie krótszym, niż wymagany dla nadpisania lub fizycznego skasowania całego nośnika, lepiej nie mieć do niej zaufania i zniszczyć dane inną metodą.
Block Erase.
Operacja Block Erase występuje w półprzewodnikowych nośnikach danych. Polega ona na fizycznym skasowaniu wszystkich bloków (usunięciu elektronów z bramek pływających tranzystorów), co uniemożliwia odzyskanie danych. Co istotne – operacja kasowania jest wykonywana także na blokach znajdujących się poza adresacją LBA. Z tego względu ta operacja jest ważną alternatywą dla wątpliwych i podejrzanie szybkich implementacji Secure Erase.
Fizyczne metody niszczenia danych.
Fizyczne metody niszczenia danych mogą być stosowane w odniesieniu do dowolnych nośników informacji, niezależnie od ich stanu technicznego. Obejmują one szeroką gamę różnorodnych środków oddziaływania, spośród jakich niektóre mogą mieć uniwersalne zastosowanie, inne skutecznie niszczą dane wyłącznie na pewnych kategoriach nośników, a wykorzystanie wielu pozostałych z technicznego punktu widzenia nie ma sensu, gdyż zamiast osiągnięcia celu, dają jedynie iluzję bezpieczeństwa. Podstawowym warunkiem skuteczności niszczenia danych jest taka zmiana fizycznego stanu nośnika, żeby nie można było go logicznie zinterpretować jako niszczone dane. Ta zmiana nie zawsze musi być zauważalna gołym okiem, ale też z drugiej strony, nie każde widoczne uszkodzenie nośnika skutkuje zmianą jego stanu fizycznego skutecznie uniemożliwiającą odzyskanie danych.
Mechaniczne metody niszczenia danych.
Mechaniczne metody niszczenia danych obejmują bardzo szerokie spektrum sposobów mechanicznego oddziaływania na nośniki informacji z zamiarem ich zniszczenia. Są to sposoby bardzo zróżnicowane, od wykorzystania spełniających określone normy młynków do dysków po tak kuriozalne, jak wyłamywanie złącz interfejsu. Na ogół metody tego rodzaju cieszą się dużym zaufaniem, co ciekawe, zwykle niezasłużenie.
uderzony młotkiem
Większość wykorzystywanych mechanicznych metod niszczenia danych jest bardzo prymitywna i sprowadza się do uderzania dysku młotkiem lub innymi przedmiotami. Ponieważ obrazek jest wart więcej, niż tysiąc słów, niech o skuteczności tych metod i kompetencjach technicznych osób je wykorzystujących zaświadczy zdjęcie rozbitego młotkiem dysku twardego. Pomimo poważnego uszkodzenia obudowy, zniszczenia bloku magnetycznych głowic i odkształcenia magnesu, talerz tego dysku i zawarte na nim dane pozostały praktycznie nienaruszone.
Podobnie niedostatecznie dokładnie bywają też uszkadzane nośniki półprzewodnikowe i urządzenia mobilne, gdzie, pomimo zewnętrznych uszkodzeń, potrafią przetrwać nienaruszone układy Flash-NAND. I takie niedokładności można spotkać też przy przewiercaniu urządzeń, czy bardziej fantastycznych podejściach, jak np. rozjeżdżaniu ich pojazdami lub strzelaniu do nich z broni palnej. Czy zatem żeby skutecznie zniszczyć dane, konieczne jest zmielenie dysku zgodnie z normami DIN 66399 lub ISO/IEC 21964?
Odpowiedź na to pytanie dali Gorgon F. Hughes, Tom Coughlin i Daniel M. Commins z University of California badając różne metody niszczenia danych. Sprawdzili oni również możliwości odzyskania danych ze ścinków zmielonego dysku i wykazali, że to zadanie, jakkolwiek niezwykle złożone, jest wykonalne. Rozmiary ścinków zgodne z przywołanymi wyżej normami są znacznie większe, niż rozmiar sektora, co pozwala na obrazowanie takich ścinków przy pomocy mikroskopu sił magnetycznych i odzyskiwanie z nich zawartości kompletnych sektorów. Wyniki swoich badań opisali oni w artykule „Disposal of disk and tape data by secure sanitization”.
Problemem wciąż pozostaje złożenie odzyskanych tą drogą fragmentów danych w większą całość, zwłaszcza, jeśli uwzględnić konieczność odseparowania informacji z właściwego dysku od ścinków pochodzących z innych napędów. Jednak jest to wyzwanie głównie o charakterze organizacyjnym i logistycznym, w jakiego podołaniu może pomóc rosnąca wydajność sprzętu komputerowego, automatyzacja i odpowiednio wytrenowane modele sztucznej inteligencji. Oczywiście nie da się uniknąć strat na krawędziach ścinków, jednak nie sposób uznać za skuteczną metodę niszczenia danych, jaka pozwala odzyskać część danych, a to, co faktycznie zostanie zniszczone, pozostawia przypadkowi.
Odpowiednie techniki obrazowania fragmentów uszkodzonych mechanicznie nośników istnieją także i dla innych ich typów. W szczególności trzeba zwrócić uwagę na możliwość obrazowania przy pomocy mikroskopu sił atomowych potencjałów elektrycznych bramek pływających w tranzystorach układów typu Flash. Badania w tym kierunku są znacznie mniej znane od analiz powierzchni dysków twardych przy pomocy mikroskopów sił magnetycznych, tym niemniej ich rezultaty są całkiem obiecujące.
Faktem jest, że nie ma dostępnych komercyjnych usług odzyskiwania danych nawet w przypadku daleko delikatniejszych uszkodzeń talerzy dysków, jak ich wygięcie, złamanie lub przedziurawienie, jednak nie jest to związane z brakiem fizycznej możliwości odzyskania danych, ale z brakiem dostatecznego uzasadnienia ekonomicznego dla stosowania innych metod odzyskiwania danych, niż polegające na wprowadzeniu talerza w ruch obrotowy i odczytanie jego zawartości z wykorzystaniem oryginalnych lub pochodzących od dawców części elementów dysku twardego. Podobnie rzecz ma się w przypadku nośników półprzewodnikowych, gdzie typowy zakres usług nie wykracza poza sposoby związane z uzyskaniem komunikacji z całym urządzeniem lub odczytem zawartości układów Flash-NAND na programatorze. Odzyskiwanie danych z rozdrobnionych nośników, to wciąż zadanie nie tyle na usługę komercyjną, co na projekt naukowy, jednak wyniki już zrealizowanych projektów ponad wszelką wątpliwość wskazują, że jest to zadanie częściowo wykonalne.
Wobec udowodnionej nieskuteczności rozdrabniania nośników danych zgodnie z normami DIN 66399 i ISO/IEC 21964 sens ich stosowania staje się wysoce wątpliwy. Nie tylko nie gwarantują one oczekiwanego poziomu bezpieczeństwa, ale też są kosztowne i generują trudne w recyklingu odpady. W związku z tym, że dla każdego typu nośnika i niezależnie od jego stanu technicznego można dobrać skuteczną metodę zniszczenia danych, trudno dla rozdrabniania dysków znaleźć uzasadnienie inne, niż dobre samopoczucie patrzących na kupę wiórów nietechnicznych menedżerów.
Tego samopoczucia nie psuje fakt, że znane są przypadki odtwarzania ze ścinków dokumentów papierowych, czego bardziej znanym przykładem jest odtworzenie przez BND (Bundesnachrichtendienst) zniszczonego archiwum Stasi (Staatssicherheitdienst). Niektórym wydaje się, że większa gęstość zapisu może być dodatkową przeszkodą w odzyskiwaniu danych. W rzeczywistości im większa gęstość zapisu, tym też większa szansa odzyskania ze ścinka o danym wymiarze większej porcji spójnych danych.
Czy zatem wszystkie mechaniczne metody niszczenia informacji są nieskuteczne? Zawsze można rozdrobnić nośnik bardziej, niż wymagają tego regulacje, tak, aby pozostałe drobinki były mniejsze od fizycznych jednostek alokacji danych. Układy Flash-NAND można rozwiercić, dbając o to, by wiertłem o odpowiednio dużej średnicy przewiercony został każdy układ w urządzeniu. W przypadku dysków twardych dane można zniszczyć przecierając powierzchnie talerzy drobnym papierem ściernym. Tak można zniszczyć dane skutecznie i dużo taniej niż w przypadku mielenia dysków, ale niezgodnie z wymaganiami standardów.
Termiczne metody niszczenia danych.
Termiczne metody niszczenia danych typowo sprowadzają się do oddziaływania wysoką temperaturą z dużą nadmiarowością, aż do całkowitego zniszczenia nośnika. Po ich zastosowaniu nośnik i tak nie nadaje się do dalszego wykorzystania. Z tego względu bardzo trudno znaleźć analizy wskazujące na właściwą temperaturę dostateczną dla zniszczenia danych na nośniku danego typu.
Metodami termicznymi najłatwiej niszczyć dane na nośnikach wykonanych z tworzyw sztucznych, jak płyty CD i DVD, taśmy magnetyczne, czy dyskietki. Takie nośniki zaczynają się topić nawet już temperaturach ok. 100 ºC. Zupełnie inaczej sytuacja przedstawia się w przypadku dysków twardych i nośników półprzewodnikowych.
Dla zniszczenia danych na dysku twardym konieczne jest osiągnięcie temperatury Curie – charakterystycznej dla danej substancji magnetycznej temperatury, w jakiej traci ona swoje właściwości magnetyczne. Producenci dysków twardych utrzymują w tajemnicy szczegółowy skład wykorzystywanych stopów magnetycznych, ale szacuje się, że temperatura Curie warstwy magnetycznej wynosi ok. 700 ºC, Jest to temperatura nieosiągalna w ogniskach i piekarnikach, a także w większości pożarów. Stąd firmy odzyskujące dane często skutecznie odzyskują informację z dysków, jakie ucierpiały w wyniku pożaru.
Trudniejszą sytuację mamy w przypadku urządzeń wykorzystujących układy Flash-NAND. Wprawdzie są to układy wrażliwe na wysokie temperatury i coraz łatwiej ulegające degradacji, jednak nie oznacza to, że prosto w nich zniszczyć dane w gwarantowany sposób za pomocą oddziaływania termicznego. Warto zauważyć, że jedną z popularnych metod odzyskiwania danych z nośników półprzewodnikowych jest odczyt na programatorze zawartości wylutowanych układów pamięci.
Przy powszechnie stosowanych spoiwach bezołowiowych wylutowanie układów Flash-NAND wymaga operowania temperaturą ok. 300 ºC, a więc wyższą, niż możliwa do uzyskania w piekarniku, czy typowym ognisku. Faktem jest, że w przypadku układów typu Flash-NAND ich stopień degradacji zależy też od czasu oddziaływania wysoką temperaturą, jednak nie ma dostępnych analiz pozwalających opracować procedurę gwarantującą skutecznie zniszczenie danych bez operowania dużą nadmiarowością, prowadzącą do całkowitego zniszczenia (spalenia) urządzenia.
Chemiczne metody niszczenia danych.
Chemiczne metody niszczenia danych opierają się na oddziaływaniu substancjami chemicznymi, jakich zadaniem jest takie zdegradowanie nośnika, żeby jego zawartość była niemożliwa do odczytania. Zazwyczaj metody te prowadzą do całkowitego rozpuszczenia nośnika w odpowiednim roztworze, co nie budzi żadnych wątpliwości co do skuteczności metody. Oczywiście roztwór należy dobrać adekwatnie do rodzaju niszczonego nośnika.
Na skuteczność chemicznego niszczenia danych nie wpływa ewentualne pozostawienie niezniszczonych elementów, jakie nie mają istotnego znaczenia dla przechowywania informacji, np. szklanego podłoża talerzy magnetycznych dysków twardych. Natomiast nie jest skuteczną metodą niszczenia danych uszkadzanie nośników różnymi przypadkowymi substancjami. Istotnymi wadami metod chemicznych jest też konieczność zapewnienia odpowiednio bezpiecznych warunków transportu i przechowywania używanych substancji, przeprowadzenia samego procesu oraz utylizacji odpadów.
Demagnetyzacja.
Jedną z popularnych metod niszczenia danych jest demagnetyzacja nośników. Polega ona na oddziaływaniu silnym polem magnetycznym, jakie niszczy uporządkowanie namagnesowania nośnika i uniemożliwia odczytanie jego zawartości. Istotne przy tym jest to, że demagnetyzacja nie ogranicza się do zniszczenia informacji użytkownika, ale też niszczy sygnał serwo i informację serwisową dysków twardych, co tym samym skutkuje zniszczeniem samego nośnika. Do ponownego wykorzystania po demagnetyzacji mogą się nadawać jedynie starsze, rzadko już użytkowane taśmy magnetyczne bez ścieżki serwo i dyskietki.
Aby dane na demagnetyzowanym urządzeniu faktycznie zostały zniszczone, użyte pole magnetyczne musi być wyższe od koercji materiału, z jakiego została wykonana warstwa magnetyczna nośnika. Koercja stopów kobaltowych powszechnie wykorzystywanych w dyskach twardych wynosi ok. 0,5 T, a do ich zdemagnetyzowania wystarczające są demagnetyzery indukujące pole magnetyczne o wartości ok. 1 T. Przy tym trzeba zwrócić uwagę na pojawiające się na rynku dyski z zapisem wspomaganym energetycznie. Są dyski twarde typu HAMR (ang. Heat-Assisted Magnetic Recording – termicznie wspomagany zapis magnetyczny) i MAMR (ang. Microvave-Assisted Magnetic Recording – zapis magnetyczny wspomagany mikrofalowo), w jakich wykorzystuje się stopy żelazowo-platynowe o koercji sięgającej blisko 6 T, a więc odporne na działanie większości współcześnie używanych demagnetyzerów.
Trzeba też zaznaczyć, że demagnetyzacja jest skuteczną metodą niszczenia danych jedynie w przypadku nośników magnetycznych, a jej wykorzystanie w odniesieniu do nośników innych typów nie ma sensu. W szczególności na działanie demagnetyzerów odporne są bufory NAND w dyskach hybrydowych SSHD (ang. Solid State Hybrid Drive). Niby oczywista sprawa, tym niemniej zwłaszcza instytucjom publicznym zdarzają się zapytania o demagnetyzację pendrivów lub nośników optycznych.
Elektryczne metody niszczenia danych.
Jednym z popularnych sposobów używanych w celu zniszczenia danych jest elektryczne uszkadzanie urządzeń. Zazwyczaj nie są to metody skuteczne. Użycie napięcia zbyt wysokiego w stosunku do nominalnego często powoduje uszkodzenie nośnika dające złudne poczucie bezpieczeństwa, ale spowodowane w ten sposób usterki zwykle są łatwe do usunięcia nawet przez osoby o podstawowej wiedzy elektronicznej.
Takie uszkodzenia często ograniczają się do dyskretnych elementów zabezpieczających (bezpieczniki, diody Zenera, rezystory 0 Ω), ale nawet w przypadku bardziej rozległych uszkodzeń, trudno w ten sposób wpłynąć na elementy faktycznie odpowiedzialne za przechowywanie informacji. W szczególności zawartość dysków twardych przetrwa nawet zniszczenie wszystkich elementów elektronicznych, a więc odzyskanie danych wciąż będzie fizycznie możliwe. Natomiast w przypadku nośników półprzewodnikowych dla skutecznego zniszczenia danych metodą elektryczną konieczne jest zasilenie zbyt wysokim napięciem każdego układu Flash-NAND osobno i zweryfikowanie, czy faktycznie został on całkowicie zniszczony.
Nawet, jeśli układ pamięci po włożeniu do programatora nie odpowiada na polecenia, nie wystawia identyfikatora i grzeje się, nie daje to gwarancji, że jego wewnętrzna struktura została uszkodzona w sposób uniemożliwiający odzyskanie danych. Zgodnie ze specyfikacją ONFI (Open NAND Flash Interface), w jednym układzie scalonym może być do 4 układów pamięci, a w przypadku układów pracujących równocześnie na dwóch magistralach – nawet do 8. Jeśli którakolwiek z pamięci nie zostanie całkowicie zniszczona, otwiera to drogę do obrazowania zachowanych w bramkach pływających ładunków elektrycznych i próby odzyskania części danych tą drogą.
Indukcyjne metody niszczenia danych.
Pomysł na indukcyjne metody niszczenia danych prawdopodobnie wywodzi się od metody kasowania starych układów typu EPROM (ang. Erasable – Programmable Read Only Memory) przy pomocy promieniowania ultrafioletowego. Układy te były wyposażone w specjalne okienko, przez jakie można było je naświetlać doprowadzając do usunięcia elektronów z bramek pływających. Układy te zostały z początkiem lat '80 wyparte przez układy typu EEPROM (ang. Electrically Erasable – Programmable Read Only Memory), w jakich operacja kasowania zawartości jest przeprowadzana elektrycznie, zazwyczaj z wykorzystaniem zjawiska tulenowania Fowlera - Nordheima.
Obecnie proponowane indukcyjne metody niszczenia danych rzadko sięgają po ultrafiolet, a znacznie częściej wykorzystują promieniowanie jonizujące lub mikrofalowe. Zastosowanie tego rodzaju promieniowania w pewnych sytuacjach może doprowadzić do uszkodzenia nośnika, jednak to kolejna kategoria uszkodzeń utrudniających weryfikację skuteczności zniszczenia danych. Brak jest wiarygodnych badań i analiz pozwalających na określenie wymagań co od warunków oddziaływania indukcyjnego pozwalających na w pełni bezpieczne zniszczenie informacji dla poszczególnych kategorii nośników.
Pirotechniczne metody niszczenia danych.
Metody pirotechniczne opierają się na wykorzystaniu materiałów pirotechnicznych i wybuchowych. Takie metody dzięki efektom wizualnym i akustycznym mogą robić wrażenie na nietechnicznych osobach, jednak w praktyce ich skuteczność jest wysoce losowa. Operują one zbyt niskimi temperaturami, żeby gwarantować zniszczenie danych oddziaływaniem termicznym, a jednocześnie powodują trudne w weryfikacji usterki mechaniczne.
W większości przypadków po zastosowaniu metod pirotechnicznych techniczny stan urządzenia jest znacznie lepszy, niż wskazuje na to jego wygląd zewnętrzny, a elementy krytyczne dla przechowywania informacji, jak talerze dysków twardych i układy Flash-NAND często nie są uszkodzone lub są uszkodzone w niedostatecznym stopniu, by doprowadzić do zniszczenia danych. Prócz wysokiej niepewności i losowej skuteczności tych metod, ich wadą jest konieczność zapewnienia odpowiednich warunków bezpieczeństwa. Dlatego ich stosowanie nie ma sensu i powinny być zastąpione innymi metodami.
Klasyfikacja danych, a metody ich niszczenia.
Większość standardów i norm opisujących procedury niszczenia danych uzależnia wybór metody niszczenia informacji od charakteru i zawartości usuwanych danych. W szczególności nakazują kierować się nadanymi klauzulami tajności lub poufności, oceną ich wrażliwości i znaczenia dla organizacji lub innych podmiotów albo potencjalnymi konsekwencjami ewentualnego wycieku. Typowo w tych procedurach wybór metody niszczenia danych jest uzależniony także od tego, czy nośnik pozostaje w organizacji, czy ją opuszcza. W tym ostatnim przypadku zwykle zaleca się fizyczne zniszczenie nośnika, co w praktyce uniemożliwia jego sensowne wykorzystanie poza organizacją.
W rzeczywistości klasyfikacja informacji, nadane jej klauzule tajności i poufności, ocena wrażliwości danych i subiektywne znaczenie, jakie im przypisujemy, z technicznego punktu widzenia nie mają żadnego wpływu na niszczenie danych. Dane zapisane na dowolnym cyfrowym nośniku informacji są po prostu uporządkowanym w określony sposób strumieniem zer i jedynek, jaki jest interpretowany na poziomie struktur logicznych systemów plików i oprogramowania. I żaden szczególny ciąg zer i jedynek nie staje się bardziej odporny na zniszczenie przez to, jakie znaczenie przypisuje mu użytkownik. Skuteczność niszczenia danych nie zależy też od tego, czy ich klasyfikacja zależy od swobodnego uznania użytkownika, czy też jest mu w jakiś sposób narzucona, np. przez przełożonych, wewnętrzne procedury lub obowiązujące przepisy prawne.
Podobnie skuteczność niszczenia danych w żaden sposób nie zależy od dalszego przeznaczenia zawierającego niszczoną informację nośnika. Jeśli dane zostały skutecznie zniszczone, jakiekolwiek późniejsze działania wobec tego nośnika nie mają żadnego wpływu na usuniętą zawartość. Faktem jest, że potencjalny adwersarz miałby daleko większe możliwości analizy nośników poza kontrolą ich właściciela, ale odzyskać dane może wyłącznie w przypadku ich nieskutecznego zniszczenia. To, że nośniki danych mogą się znaleźć w niepowołanych rękach w niekontrolowany i nieplanowany sposób, jest ważnym powodem, by stosować wyłącznie skuteczne metody niszczenia informacji. Nawet w sytuacjach, kiedy komuś się może wydawać, że nieskuteczna metoda jest wystarczająca.
Jak wybrać dobry sposób zniszczenia danych?
Podstawowym kryterium wyboru metody niszczenia danych powinna być jej skuteczność. Bez względu na rodzaj niszczonej informacji, jej klasyfikację i objęcie jej klauzulami tajności, trudno znaleźć uzasadnienie dla wykorzystania metod choćby tylko teoretycznie pozwalających na późniejsze odzyskanie danych. Dopiero wśród metod skutecznych można dokonywać optymalnego wyboru kierując się rodzajem nośnika, jego stanem technicznym oraz kryteriami ekonomicznymi, ekologicznymi lub innymi istotnymi w konkretnej sytuacji.
Wybór dowolnej skutecznej metody niszczenia danych pozwala zoptymalizować proces przez wyeliminowanie kosztownych i często kłopotliwych wieloetapowych procedur niszczenia informacji. Spełnienie zdefiniowanego wyżej kryterium skuteczności oznacza bezpieczne zniszczenie zawartości nośnika bez konieczności poprawiania „dla pewności” innymi metodami, a w szczególności drogiego i utrudniającego recykling mechanicznego dewastowania nośników. Ograniczenie procedury do jednej wybranej skutecznej metody pozwala też ograniczyć koszty ochrony, przechowywania i transportu nośników.
W przypadku sprawnych i nadających się do dalszego wykorzystania nośników wielokrotnego zapisu najbardziej logicznym jest wybór programowych metod niszczenia danych. Są one proste w przeprowadzeniu, znacznie tańsze od metod fizycznych i nie pogarszają stanu technicznego nośników. Ponadto istotnie przyczyniają się do ograniczenia powstawania elektroodpadów i w mniejszym stopniu obciążają środowisko. Dalsze wykorzystanie działającego urządzenia zawsze będzie bardziej efektywne od poddania go recyklingowi. Szczegóły wyboru metody optymalnej metody zależą od konkretnego nośnika i podjęcie dobrej decyzji wymaga zrozumienia co najmniej podstaw jego działania.
Nośniki jednokrotnego zapisu oraz uszkodzone powinny być zniszczone fizycznie. Przy wyborze metody należy się kierować przede wszystkim jej adekwatnością do zjawisk fizycznych odpowiadających za przechowywanie informacji i dążyć do oddziaływania na stany fizyczne będące podstawą interpretacji logicznej. W dalszej kolejności warto zwrócić uwagę na koszty ekonomiczne i środowiskowe, pamiętając o tym, że zwykle bardziej brutalnemu traktowaniu nośników towarzyszy niższy poziom zrozumienia ich działania i niższy poziom bezpieczeństwa.