LA GUIDA PRATICA

Cancellazione e distruzione sicura dei dati, ecco le tecniche per non sbagliare

Vademecum per capire come procedere alla cancellazione e distruzione sicura e in modo adeguato dei dati, alla luce del GDPR che contempla questa possibilità sia per le richieste degli interessati sia per la “scadenza” dei termini di conservazione dei dati stessi

05 Ago 2020
Z
Nadia Zabbeo

Consulente Privacy & Cybersecurity, Data Breach Protection Advisor, Founder Digysit


Non si può spaccare il computer. La cancellazione e la distruzione sicura dei dati vanno approcciate con le giuste tecniche, per garantire la compliance alle regole e fare in modo che risulti efficace. Importante, quindi, dotarsi degli strumenti giusti, oltre a organizzare un sistema di governance adeguato: vediamo come fare.

Cancellazione e distruzione sicura dei dati: normativa di riferimento

Innanzitutto, va sottolineato che il problema della cancellazione e distruzione sicura dei dati riguarda diversi ambiti disciplinari in rapporto alla tipologia di informazione. Questo aspetto è soggetto alla disciplina del GDPR, che all’articolo 17 prevede che l’interessato possa chiedere al titolare del trattamento dati la cancellazione. Di conseguenza, il titolare (salvo particolari casi) deve provvedere a soddisfare tale richiesta. Ecco quali sono le regole.

In primis, è bene ricordare che i dati personali sono soggetti “a scadenza”, infatti, sulla base dell’art. 13, comma 2, lettera a) del Regolamento UE 2016/67, ogni titolare deve indicare un periodo di conservazione degli stessi indicandolo nell’informativa che deve rendere nota agli interessati prima di iniziare il trattamento.

Doveroso citare anche il principio di minimizzazione, in base al quale ogni titolare è tenuto a trattare solamente i dati di cui ha bisogno in maniera limitata (oltre che adeguata e pertinente), vale a dire, solamente per soddisfare la finalità del trattamento previsto.

Cancellazione e distruzione sicura dei dati: l’ambito sicurezza

Il problema della cancellazione è altresì strettamente connesso, in un più ampio spettro alla sicurezza delle informazioni, si pensi per esempio alle tempistiche di conservazione e di cancellazione, ai tempi di disponibilità di dati in backup.

Intervengono, infine, anche considerazioni che riguardano la cybersecurity: un dato, non solo personale, è comunque prezioso per i malintenzionati che intendono sfruttarne la potenzialità per carpire informazioni riguardanti l’azienda: credenziali di accesso ma non solo: anche segreti industriali e tutte quelle informazioni che potrebbero facilitarli nell’ingresso indebito ad altre organizzazioni collegate o concatenate al contesto aziendale facendo dei lateral movement allargati estesi oltre i perimetri dell’organizzazione.

La necessità di una governance centralizzata

Generalmente le organizzazioni hanno mediamente, al loro interno, 2 diversi ambienti per la raccolta e conservazione dei dati: uno pubblico (intranet, e documenti in condivisione su cartelle pubbliche) e uno privato dove il singolo dipendente può allocare, parcheggiare o conservare i dati. Così anche per gli account aziendali tuttavia, mentre su account di gruppo (es. ufficiovendite@xxx) l’azienda ha un certo controllo, nulla può (o quasi) quando i dati sono aggregati e conservati in un account personale o spazio privato di un dipendente.

Il controllo centralizzato dei dati risulta quindi fondamentale. In quest’ottica, il settore IT dovrebbe regolarmente monitorare quei file o cartelle allocate in spazi comuni che non vengono movimentati da anni e invitare i gestori al loro esame e successiva eventuale cancellazione come pure favorire la cultura della minimizzazione del dato attraverso una formazione allargata a tutti i collaboratori.

In assenza di un’orchestrazione di processi e procedure e in assenza di policy adeguate le informazioni che può generare un utente aziendale potrebbero “proliferare” in tempi brevissimi: si pensi al dipendente che potrebbe salvare un dato su una cartella personale, su un supporto esterno, inviarlo a terze parti o conservarlo in forma di allegato nel proprio account di posta personale.

Il risultato è che il dato considerato “cancellato” di fatto viene solo parzialmente eliminato in assenza di un monitoraggio nelle varie diramazioni e percorsi che ha intrapreso nel suo ciclo di vita.

Ad accentuare il problema della governance dei dati vi è l’ambiente cloud considerando anche che spesso l’azienda non detiene un controllo diretto, ma si avvale di spazi di terze parti, è infatti possibile il caso in cui, anche una volta distrutto dall’ambiente cloud, il dato continua a permanere, magari su copie di backup di cui l’azienda non ha chiara visione e consapevolezza (per questo motivo è fondamentale definire chiaramente anche questi aspetti nell’accordo di nomina con un fornitore esterno).

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

Mi permetto altresì di consigliare di non tralasciare di considerare tutti gli apparecchi che memorizzano dati al loro interno, per esempio le stampanti e le fotocopiatrici che sono dotate di un hard disk in grado di memorizzare una gran mole di informazioni.

Il problema della cancellazione/distruzione del dato è stato accentuato ed aggravato nella fase di lockdown e, in alcuni contesti, ancor ora, con il lavoro in modalità smart working e in particolar modo in modalità BYOD (Bring Your Own Device) in quanto i dati sono sostati (e in alcuni casi, ancor sostano) sui PC e device dei dipendenti. Molte le aziende che, a causa della Covid-19 hanno permesso ai loro dipendenti di utilizzare i propri dispositivi personali, spesso privi di funzionalità crittografiche o di software aggiuntivi in grado di garantire sia la memorizzazione sicura sia la successiva cancellazione.

Il titolare detiene comunque la responsabilità dai dati trattati che non devono essere acquisiti da malintenzionati o comunque da estranei.

Le tecniche per la cancellazione efficace

Nella mentalità comune dell’utente medio e in assenza di una cyber cultura, i dati, una volta svuotato il cestino, vengono considerati cancellati in maniera indelebile: niente di più errato, a volte possono essere ripristinati, in alcuni casi, persino dopo una formattazione. Se le parti dell’hard disk non sono state sovrascritte, rimangono presenti nei device lasciando tracce.

Non è infrequente il caso in cui anche il settore IT non presti la dovuta attenzione quando assegna un device aziendale ad altro utente o quando sostituisce un drive non più funzionante. Per cancellare completamente un dato occorre agire anche sulle memorie, in particolare, sulla memoria ROM (Read Only Memory una memoria non volatile, di sola lettura, che immagazzina le informazioni tramite collegamenti elettronici) implementando ad una sovrascrittura per evitare che i dati cancellati che finiscono in un’area di memoria non più visibile all’utente possano essere ripristinati. Esistono numerose tecniche di cancellazione sicura.

Per i supporti CD e DVD, nella maggior parte dei casi, a livello tecnico basta una distruzione fisica tramite distruggi documenti simili a quelli idonei a distruggere i documenti cartacei.

Per quanto riguarda i device, esistono numerosi software di cifratura automatica che intervengono su volumi o partizioni o file system con successiva possibilità di cancellazione sicura (spesso sono i sistemi operativi stessi ad avere detta funzione incorporata al loro interno oppure è compresa nella suite di un AV). Sono numerosi i software di data shredding attualmente in commercio.

Alcuni eseguono il disk cleaner: tramite sanificazione dell’hard disk sono in grado di liberare i settori del drive  che contengono ancora quei dati invisibile ma ancora presenti. Vi sono poi i software di file shredding in grado di riscrivere sulla posizione di memoria precedentemente utilizzata da file esistenti, dei byte random. Maggiori saranno i passaggi di sovrascrittura, minori le possibilità che i dati possano essere ripristinati.

Un’eliminazione sicura per sovrascrittura è determinata dalla tipologia di algoritmo che sta alla base di questa procedura che ne determina quindi il grado di sicurezza. Qui di seguito i principali standard:

  • Quick erase (pulizia veloce) offre un livello di sicurezza basso e consiste nello scrivere in ogni settore un valore vuoto (0);
  • RCMP TSSIT OPS-II: indice di sicurezza: medio. Effettua 8 passaggi e si avvale di un processo di randomizzazione;
  • DoD Short: 3 passaggi, indice di sicurezza medio;
  • DoD 5220.22-M: 7 passaggi (standard esteso), usato anche dal dipartimento della difesa americano – indice di sicurezza: medio;
  • Metodo Gutmann: (dal nome del suo fondatore Peter Gutmann) ha un indice di sicurezza alto in quanto effettua ben 35 passaggi (ha però lo svantaggio di essere molto lento);
  • PRNG Stream: i dati vengono sovrascritti con sequenze casuali utilizzando lo Pseudo Random Number Generator – l’indice di sicurezza  varia (da medio a alto) in funzione al numero di passaggi che vengono eseguiti (da 4 a 8).

In alcuni contesti un livello di sicurezza basso può essere inadeguato in quanto esistono anche software di ricostruzione utilizzati non solo da esperti di computer forensics ma anche da malintenzionati. Alcuni metodi non possono essere applicati su macchine non funzionanti. In questi casi occorre considerare una cancellazione con altre tecniche, per esempio:

  • Tramite degaussing (demagnetizzazione) una tecnica in grado di azzerare le aree di memoria in pochi secondi;
  • Tramite distruzione fisica.

Con la demagnetizzazione vengono inviati degli impulsi elettromagnetici ai dispositivi (ma attenzione: mai considerare il “fai da te”, rivolgersi sempre a personale di aziende qualificate). Per la distruzione fisica di un drive si potrebbe ricorrere alla “trapanatura” a condizione che sia effettuata da un esperto che sappia esattamente come smontare i supporti, unità meccaniche, flash memory come pure dove e come trapanare.

Cancellazione e distruzione sicura dei dati: cosa non fare

Sconsiglio vivamente tutte quelle “worst practice” di distruzione tramite pratiche “spartane” tipo lancio del PC o distruzione con mazza da baseball. che oltretutto nella maggior parte dei casi, risultano inutili.

Ancor peggio sono quelle malsane e altamente pericolose pratiche tipo incenerimento fisico: oltre alla pericolosità di provocare un vero e proprio incendio, si commette un illecito per rilascio di sostanze e fumi tossici nell’ambiente.

La corrosione chimica è fors’anche più pericolosa: gli acidi potrebbero causare reazioni chimiche e portare ad un’esplosione o esalazioni che potrebbero risultare fatali.  Infine, anche tentare di affogare letteralmente un device in acqua, non è certo una bella idea non solo perché l’acqua potrebbe eventualmente danneggiare delle schede facilmente sostituibili ma anche perché esiste una normativa che regola l’e-waste RAEE (rifiuti di Apparecchiature Elettriche ed Elettroniche). Ricordiamo che in Italia la Direttiva Europea 2012/19/EU, relativa alle Apparecchiature Elettriche ed Elettroniche (AEE) ed ai Rifiuti di Apparecchiature Elettriche ed Elettroniche (RAEE), è stata recepita con il D.lgs. 49/2014.

Conclusione

In conclusione, dopo aver toccato alcune tematiche in merito alla distruzione/cancellazione ed aver fatto cenno all’e-waste dei dispositivi elettrici/elettronici riporto il focus sulla questione a mio parere, più importante: la centralità dell’organizzazione aziendale. Senza una struttura organizzativa adeguata a poco serviranno i software e le procedure di cancellazione/rimozione se non si sa esattamente dove sono allocati i dati.

A mio parere, ogni organizzazione dovrà dedicare risorse sempre maggiori, all’inevitabile aumentare della mole dei dati di ogni azienda digitale, dedicate alla loro gestione e al loro stoccaggio. Essenziale è avere delle policy, processi e procedure chiaramente definiti che permettano di avere una roadmap dei dati: solo così le aziende potranno gestire l’articolata e complessa filiera della gestione delle informazioni.

La cultura in tema data protection, che non deve tralasciare neppure la gestione dei documenti cartacei la cui distruzione risulta meno critica, ma soprattutto, dev’essere sempre più integrata nei comportamenti individuali e nelle prassi di gestione del dato.

È mia forte convinzione che solamente un mix di sistemi sociali e sistemi tecnici, in accordo con le normative in materia, consentirà la progettazione e l’ottimizzazione congiunta della gestione del ciclo di vita dei dati. In assenza di questa “armonizzazione congiunta” trattare i dati significa immettere un’informazione in un labirinto dove sarà difficile, a volte impossibile, capirne il percorso e effettuare un trattamento logico.

Ricordo, infine, per quanto riguarda i dati personali, il principio di accountability: essere in grado di dimostrare misure tecniche e organizzative nonché processi e procedure adottati è questione di primaria importanza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4