組織需要銷毀廢棄硬盤滿足GDPR的合規性
近年來,數據中心安全的格局已經發生了顛覆性的改變。事實上,在2014年秋季之前,數據安全性通常是采用云服務的客戶的全部責任,而云計算服務提供商主要承擔為客戶機房空間,電力和制冷的主要責任,避開了保護客戶數據的責任。然而,ISO27018標準的引入徹底改變了二者之間界限,并明確云服務提供商和客戶需要共同承擔數據安全的責任。
然而,雖然法律責任的界限轉移,但在提供數據安全方面并沒有發生很多變化。他們的重點仍然放在“網關”安全性上,而對于物理或“端點”安全性的關注經常是事后的想法。那么,云計算服務提供商對此是否過度自信了?
谷歌公司承諾會銷毀其硬盤以確保隱私
遵循“一般數據保護條例”(GDPR)
2018年在歐盟實施的“一般數據保護條例”(GDPR)有可能在任何違反數據安全性的情況下,對違規的的企業和個人進行懲罰性罰款,而目前對個人資料的威脅更為嚴重。人們需要清楚了解數據安全管理的新格局,以及潛在的陷阱在哪里?競爭優勢的機會在哪里?
對于云計算的許多用戶而言,與數據中心的技術復雜性相比,云計算提供的功能似乎幾乎是神奇的。在網絡空間中的云端似乎比數據中心的服務器機架更加可靠,也更能帶來安慰。這個觀點似乎是完全抽象的,而另一個想法完全是真實的,這兩個觀點之間的區別對每個人都有所幫助,讓客戶更加放心,并為云計算提供商帶來商機。但是,云計算服務提供商本身是否可能沉迷于這個想法,并且在提供數據安全方面會有利于虛擬物理化嗎?
到目前為止,網絡威脅帶來的財務和商業風險一直遠遠超過物理數據泄露的風險。從2018年5月25日開始實施的歐盟“一般數據保護條例”(GDPR)將對每個調查并證實的數據泄漏事件,實行高達全球營業額的4%的罰款,或2,000萬歐元(以金額更大的為準)。無論數據泄露是發生在網絡空間還是物理硬盤中,數據的物理安全性面臨比以前高得多的風險,并迫使企業快速重新評估其安全優先級,以免遭受這些處罰。
存儲,回收,處置或銷毀?
如今,人們創建的數據呈指數增長,而數據中心服務器和硬盤驅動器的壽命有限,這意味著數據中心出現了越來越多的冗余數據以及過時的存儲數據磁盤驅動器。由于單個磁盤損毀的成本高,因此將通常將硬盤驅動器保存多年之后集中銷毀,但這種方式增加了數據泄露的風險。從這些準備銷毀的硬件泄漏數據的風險大大增加,然而,安全地銷毀數據和硬件設備所需的措施和步驟尚未跟上許多企業的擴張步伐。
用戶通過虛擬“FortKnox”網絡安全措施在線保護的個人信息數據,但可能會發現這些數據存儲在安全性并不高的冗余硬盤驅動器上,準備銷毀的硬盤在運輸,收集,移除,以及在未經授權的位置處理的環節上面臨風險。這顯然是數據安全的新的“薄弱環節”,它是物理性的而不是虛擬的。
在某些情況下,存儲敏感數據的驅動器甚至在eBay網站上對外銷售,被“回收”并銷售給第三方,卻沒有被銷毀。而在處理信息技術資產方面,“管理監督鏈”過程中缺乏明確的安全程序,適當的問責制以及明確的審計跟蹤,這對于企業來說,無異于一場潛在的災難。
擔當責任并保持控制
IT資產處置需要專業的機構和人員進行處理,大多數組織通過第三方服務提供商進行這項工作。然而,這些服務提供商的水平和可靠性可能會有很大的差異,因為它們仍然在沒有大量專業審查的情況下運行。隨著“一般數據保護條例”(GDPR)的實施,并且越來越嚴格,企業面臨巨大的經濟處罰的潛力,而將這種責任交給到控制之外的企業,這需要十分的信任。
即使與信譽良好的IT資產處置公司簽訂了符合ICO標準的保密合同,傳統的數據破壞方法也不足以提供100%的可靠性,特別是固態硬盤(SSD),采用磁盤消磁系統或軟件覆蓋都不能完全確定數據已被刪除,并且這兩種方法都會使硬盤驅動器物理完好無損,這意味著其數據恢復的潛力仍然存在。
加密擦除已經成為一種越來越流行的數據保護方法,但數據加密本質上并不是數據被破壞。加密是一個不可逾越的數據倉庫,直到有人發現了密鑰,然后才能授予完整的訪問權限。加密不會破壞數據,它只是在有限的時間內隱藏它,這仍有一定的風險。
不要抹去數據要銷毀
對于保證數據銷毀的唯一的解決辦法是,通過切碎硬盤對數據資產本身進行物理銷毀。事實證明,這是一些超級安全或高度管制的行業(如金融機構、軍事和安全機構)的***。
數據中心所有者和管理人員現在應該考慮如何在數據中心提供極其安全的數據資產銷毀措施。在數據中心的高安全性的內部現場提供解決方案,將確保任何數據資產即使在無用時也不會離開安全區域,從而實現保密。而減少可以利用的“監管鏈”中的環節數量,這將大大降低了災難性數據泄露的風險。
監管鏈中的環節越多,數據泄露的機會越多。通過控制銷毀過程,并通過安全和取證過程(如生物識別掃描,條形碼掃描和實際粉碎過程的視頻記錄)自動記錄資產銷毀階段,創建清晰的審計線索,提供額外的安全級別,可以提高客戶的信心。
企業需要提供更高級別安全性的設備,為數據中心所有者和管理人員提供獲利的“增值”服務的機會,為客戶提供服務。數據中心和云服務提供商可以提供這種新的數據安全性,從競爭對手中脫穎而出,秋將更容易地維護其年度安全認證,并可能因為網絡保險費用的降低而受益,提高安全水平。
物理數據安全性是一個迫在眉睫且被忽視的主題,隨著“一般數據保護條例”(GDPR)的***期限的到來,這些話題將獲得人們更多的關注。管理數據中心數據資產的安全銷毀將使數據中心所有者和管理人員更加安心,因為他們知道在數據泄露控制其業務之前,他們已經掌握了這個流程的控制權。
