Perinteisesti tietojen poistaminen tallennuslaitteilta on tarkoittanut käyttöikänsä päähän tulleiden tietokoneiden kiintolevyjen sekä kannettavien tietokoneiden tyhjentämistä. Nykyisen teknologian käyttö on kuitenkin johtanut siihen, että tietojen poistaminen käsittää paljon muutakin.

Palvelinkeskuksissa ja pilvipalveluissa sijaitsevat suuret tallennusjärjestelmät ovat hyvä esimerkki nykypäivän tallennusmenetelmistä, jotka hyödyntävät virtualisointia parantaakseen palveluidensa tehokkuutta ja laskeakseen kustannuksia. Yritykset pitävät pilvipalveluiden turvallisuutta kynnyskysymyksenä ennen pilvipalvelun käyttöönottoa. Pitäisikö turvallisuudesta keskustella myös siinä vaiheessa, kun yritys päättää lopettaa palvelun käytön tai vaihtaa palveluntarjoajaa?

Haasteen laajuutta voidaan havainnollistaa yrityksellä, joka hallinnoi asiakastietoja pilvipalvelussa. Palveluntarjoaja käyttää virtualisoitua infrastruktuuria jakaakseen tallennustilan usealle asiakkaalle samanaikaisesti. Jos asiakas päättää lopettaa palveluntarjoajan palveluiden käytön, voiko asiakas olla varma, että tiedot poistetaan virtuaaliympäristöstä turvallisella tavalla? Vastaavasti, pystyykö palveluntarjoaja poistamaan vain yhden asiakkaan tiedot, niin että palvelu on kuitenkin samanaikaisesti muiden asiakkaiden käytettävissä? Onnistuuko tietojen poisto niin, ettei samalla poisteta tietoja muilta asiakkailta? Palveluntarjoajan pitäisi myös tämän lisäksi pystyä todistamaan asiakkaalle, että tietojen poisto on onnistunut.

Pilvipalvelun palveluntarjoajalle (sekä asiakkaille) on erittäin tärkeää, että he ovat tietoisia tietojen poistamisen tärkeydestä ja siihen liittyvistä käytännöistä. Tietojen poistaminen on tärkeää laitteen koko elinkaaren ajan, eikä vain kiintolevyn tullessa käyttöikänsä päähän. Tässä tekstissä paneudumme virtuaaliympäristössä tapahtuvaan tietojen poistamiseen ja siihen miksi tietojen poistaminen järjestelmistä turvallisella tavalla on tärkeää.

Miksi virtuaalisia tietoja tulisi poistaa?

Tietojen poistaminen virtuaaliympäristössä on muutakin kuin perinteinen käytöstä poistettavan fyysisen laitteen tyhjennys. Tallennuslaitteet palvelinkeskuksissa ja virtuaaliympäristöt tulisi tyhjentää niin, ettei tietojen palauttaminen enää koskaan ole mahdollista. Myös arkaluontoiset, mutta eliniän säilytettävät tiedostot ja kansiot, jaetuilla palvelimilla tai käytetyillä laitteilla pitäisi ottaa huomioon.

Tietoja tulisi poistaa koko tallennustilan elinkaaren ajan jo pelkästään kustannussyistä. Näin tallennustilaa voidaan joko osoittaa uudelleen muihin käyttötarkoituksiin tai myydä, sen sijaan, että laite käytetään loppuun ja pistetään romuksi sen jälkeen. Monimutkaiset tallennusjärjestelmät ovat usein hintavia, joten on taloudellisesti järkevämpää poistaa tiedostoja ohjelmallisesti kuin tuhota järjestelmä fyysisesti.

”Delete” ei välttämättä tarkoita, että tiedostot ovat lopullisesti poistettu

On tärkeää huomioida, että pelkkä ”Delete” klikkaus ei poista tiedostoja kiintolevyltä. Sama pätee myös pilvipalveluihin, palvelinkeskuksiin ja virtuaalijärjestelmiin. Jos tietoja poistetaan mistä tahansa mediasta, ne pystytään myös useimmissa tapauksissa palauttamaan, kuten me Kroll Ontrackin asiantuntijat hyvin tiedämme.

On huolestuttavaa, jos yrityksissä kuvitellaan, että tiedostot voi poistaa pelkillä poistokomennoilla tai ilmaisohjelmia käyttäen. Todellisuudessa yritysten täytyisi varmistaa, että heillä on olemassa dokumentoitu prosessi, sekä asianmukainen ja virallisesti hyväksytty ohjelmisto tietojen poistamiseen.

Palvelinkeskusten ja pilvipalveluiden palveluntarjoajien sekä hosting-palveluntarjoajien tulisi siis poistaa asiakkaiden tietoja turvallisella tavalla. Yritykset, jotka vuokraavat tallennustilaa palvelinkeskuksista ja ehkä hallinnoivat tietojaan ja tallennusympäristöänsä etänä, tulisi vastaavasti ymmärtää mitä tapahtuu, kun yritys päättää lopettaa palvelun käytön, ja erityisesti mitä yrityksen tiedoille tapahtuu siinä vaiheessa. Yrityksillä tulisi olla voimassa oleva prosessi arkaluontoisten tiedostojen ja kansioiden (esimerkiksi jaetut tiedostot, jotka sisältävät tietoja projekteista tai asiakastietoja) käsittelyyn, sekä tietojen poistamiseen.

Tästä syystä on tärkeää, että pilvipalveluissa, palvelinkeskuksissa ja virtuaaliympäristöissä käytetään turvallisia ja määriteltyjä prosesseja tietojen elinkaaren hallintaan. Tämä tarkoittaa sitä, että jokaisella yrityksellä tulisi olla käytössä myös turvallinen prosessi arkaluontoisten tietojen poistamiseen. Seuravaksi käsittelemme nimittäin lainsäädäntöä, joka liittyy asianmukaiseen tietojen poistamiseen.

Lainsäädäntö ja standardit

Kansallisten tietosuojalakien lisäksi yksi tärkeimmistä tietojen poistamista säätelevistä lainsäädännöistä on toukokuussa 2018 voimaan astuva EU:n yleinen tietoturva-asetus. Lainsäädäntö vaatii, että tiedot, joita ei ole enää tarkoitus säilyttää, on poistettava sellaisella menetelmällä, joka poistaa ne lopullisesti ja suhteellisen nopeasti. Kaikki yritykset, jotka tekevät kauppaa EU-maiden kanssa ovat kyseisen lain vaikutuspiirissä, samoin myös organisaatiot Isossa- Britanniassa, Yhdysvalloissa ja Aasiassa ovat sidottuja noudattamaan lainsäädäntöä. Tämän lisäksi on olemassa monia aluekohtaisia sääntöjä ja standardeja. Seuraavassa osiossa esitellään muutamia säännöksiä, joista tulisi olla ehdottoman tietoinen, poistaessaan tietoa tallennusympäristöstä:

PCI DSS- standardi

PCI DSS -standardi on tietoturvaan liittyvä standardi yrityksille, jotka käsittelevät tai tallentavat maksukorttien tietoja. Käytännössä kyseinen säännös koskettaa siis hyvin monia yrityksiä. Tietojen poistamisen tärkeys on määritelty PCI DSS- standardin säännöksessä 3.1 seuraavasti:

”3.1 Kortinhaltijasta tulisi tallentaa mahdollisimman vähän tietoja. Tietojen säilyttämistä ja niihin liittyviä käytäntöjä ja prosesseja määritellään seuraavasti:

3.1.1 Tietojen säilyttämiseen ja tallennukseen liittyvä säännös, joka määrittelee:

- Tallennustilan määrän sekä tallennusajan rajoittamisen laillisten säädösten sekä yritysten käytäntöjen mukaisesti.

- Prosessin, joka varmistaa turvallisen tietojen poistamisen, kun tietoja ei enää tarvita.

- Erikoissäännökset, jotka ovat tarkoitettu korttitietojen säilyttämiseen.

- Automaattisen tai manuaalisen prosessin, joka identifioi ja poistaa kortinhaltijoista tallennetut tiedot säilytysajan umpeuduttua.

Edellä mainittuihin säädöksiin liittyvä dokumentti löytyy kokonaisuudessaan täältä. Vaatimuksiin sovellettavat ohjeet mainitsevat, ettei kortinhaltijasta tulisi säilyttää enempää tietoja, kuin mikä on yritystoiminnan kannalta välttämätöntä, jottei tietojen tallentaminen johda tarpeettomiin riskeihin. Ohjeissa mainitaan myös, että tietojen säilytysajan umpeuduttua tulisi tiedot poistaa turvallisella tavalla, niin ettei niitä ole mahdollista palauttaa jälkikäteen.

On todennäköistä, että korttitietoja kerätään jatkuvasti ja tallennetaan palvelimille, mikä asettaa haasteita yrityksille, joiden tulisi säädöksen mukaan poistaa vain tietyntyyppisiä tietoja. Jos säädöksen mukaan asiakkaiden tietoja ei tule säilyttää 5 vuotta pidempään, miten yritys pystyy helposti hallinnoimaan poistettavia tietoja, mutta samalla pitämään tarvittavat tiedot tallessa?

ISO 27001- standardi

Useat isot yritykset sekä IT-palveluiden tarjoat soveltavat lisäksi tietoturvasäännöksiä, jotka auttavat hallinnoimaan arkaluontoista tietoa, kuten pankkisalaisuuden alaista tietoa, tekijänoikeuksia tai kolmansien osapuolien luovuttamaa tietoa. ISO-standardin mukaisesti:

“Kaikilta laitteilta, jotka sisältävät tallennustilaa, tulisi varmistaa ennen laitteen uudelleenkäyttämistä, että arkaluontoiset tiedot sekä lisensioidut käyttöjärjestelmät on poistettu asianmukaisesti.

Mikä tahansa organisaation käyttämä tallennuslaite tulisi siis näin ollen olla tyhjennetty, ennen laitteen uudelleen käyttöä tai kierrätystä. Lisäksi yrityksillä tulee olla prosessi, jolla todennetaan, että tiedot on poistettu onnistuneesti. Toimiiko teidän yrityksenne näin?

ISO 27040- standardi

Standardi määrittelee ”turvallisen tallennuksen” ja tietojen poistamisen mm. näin:

• Yritykset saattavat rikkoa maakohtaisia yksityisyydensuojasäännöksiä, mikäli muut tietoturvasäännökset ovat puutteellisia (esim. yrityksestä puuttuvia auditointeja tai tietojen salaukseen tai poistamiseen liittyvän todisteen puuttuminen).
• Loogista tietojen poistamista tulisi käyttää virtuaaliympäristössä sijaitsevan tallennustilan tyhjentämiseen, erityisesti silloin kun kyseessä olevia tallennuslaitteita ja mediaa ei voida tarkasti määritellä.
• Salausmenetelmän käytöstä huolimatta, tietojen poistamista käytön päätteeksi suositellaan.

Mielenkiintoista on, että tietojen ohjelmistollista poistamista suositellaan myös siinä tapauksessa, että salausmenetelmää on käytetty. Tässä yhteydessä pointtina on, että tietojen asianmukaisesta poistamisesta saadaan kirjallinen todiste. Mikäli tietojen poistosta ei lokia tai raporttia, miten voidaan olla varmoja, että tietojen poistamisen on todella tapahtunut? Miten voidaan olla varmoja, että käytetyt metodit todella poistivat tiedot onnistuneesti?

Miten virtuaalisia tietoja tulisi poistaa?

Tietojen poistamisprosessi on tärkeää, mutta sen ei tarvitse olla monimutkaista. On olemassa määriteltyjä työkaluja, jotka mahdollistavat säilytettävien tietojen valitsemisen, komentojen automatisoinnin, sekä useampien levyjen tai yksiköiden tyhjentämisen kerralla. Esimerkiksi LUN-työkalu mahdollistaa kohdistetun ja lopullisen tietojen poistamisen. Samalla saat eritellyn raportin, joka näyttää miten ja milloin prosessi suoritettiin, erityisen kätevä ominaisuus esimerkiksi auditointien yhteydessä.

Mikäli halutaan poistaa tiettyjä tiedostoja tai kansioita työpöydältä tai palvelimelta, on tärkeää käyttää käyttötarkoitukseen sopivia työkalua, eikä Windows-komentoja. Oikean työkalun käyttö mahdollistaa valittujen tiedostojen ja kansioiden poistamisen lopullisesti, ilman koko käyttöjärjestelmän poistamista. Prosessi on myös mahdollista automatisoida ja työkalulle voidaan asettaa automaattinen käsky, joka poistaa tiettyjä alueita käyttäjän työpöydältä, kun laite sammutetaan. Vaihtoehtoisesti on mahdollista aikatauluttaa erilaisia skriptejä, jotka poistavat kansioita palvelimella olevista jaetuista kansioista tai virtuaalikoneista. Hyödyllistä esimerkiksi tapauksissa, jossa yrityksellä on jaettuja projektikansioita tai arkaluontoisia dokumentteja, jotka tulee poistaa tietyn aikajakson välein. Sertifioidun työkalun, kuten Blancco file:n käyttö tarjoaa täydellisen mielenrauhan, sekä samalla raportin jokaisen päätetyn prosessin jälkeen.

Prosessi alusta loppuun

Turvallinen tietojen hävittämisen tulisi olla prosessi, joka koskee kaikkia IT-infrastruktuurin osa-alueita, eikä vain laitteen käyttöajan päättyessä tehtävä toimenpide. IT-palveluntarjoajan tai hosting- yrityksen ollessa kyseessä, tulisi yrityksellä olla selvästi määritellyt säännöt asiakastietojen käsittelyyn. Tämän lisäksi tulee olla määritelty, milloin tiedot poistetaan tallennuslaitteelta, lisäksi tietojen poistamisprosessi pitää pystyä todentamaan jälkikäteen. Riippumatta siitä onko IT-hallinto yrityksessä ulkoistettu vai ei, tallennustilaa tulisi käsitellä samalla varovaisuudella, sekä olla tietoinen, miten tietoja käsitellään koko niiden elinkaaren ajan.

Tämä artikkeli ei ole täysin kattava opas aiheeseen ja on hyvä pitää mielessä, että erilaiset järjestelmät saattavat vaatia tilaustyönä tehtyä tyhjennyspalvelua. Riippumatta tallennuslaitteesta tulisi tietojen poistamiseen olla olemassa turvallinen prosessi. Jos yrityksellä ei ole asianmukaista prosessia, se saattaa johtaa mahdollisiin sakkoihin tulevan EU:n tietoturvasäännöksen myötä, lisäksi sillä voi olla myös vakavia seuraamuksia yrityksen sidosryhmille tai yrityksen maineelle mahdollisen tietomurron tapahtuessa.

Käytettäessä sertifioituja tietojen hävittämiseen tarkoitettuja työkaluja, voidaan virtuaalisen tiedon poistamisprosesseja automatisoida pitkälti. Tällä menetelmällä varmistetaan, ettei tieto päädy vääriin käsiin, ja tietojen poistaminen on helppoa.

Picture copyright: Manuel/pexels.com/CC0