La scena è un classico che si ripete ciclicamente in ogni organizzazione, sia essa una multinazionale o un ente della Pubblica Amministrazione. Arriva il momento del “tech refresh”: centinaia di nuovi laptop, server più performanti e smartphone di ultima generazione vengono distribuiti al personale. C’è entusiasmo per le nuove performance e per l’efficienza guadagnata.
Il CISO e il CIO tirano un sospiro di sollievo, sapendo di aver dismesso macchine obsolete e vulnerabili per sostituirle con hardware moderno e sicuro.
Tuttavia, mentre l’attenzione di tutti è focalizzata sui nuovi dispositivi luccicanti, si apre silenziosamente una voragine di sicurezza nel magazzino, dove le vecchie macchine vengono accatastate in attesa di un destino incerto.
Ecco una guida pratica per guidare i professionisti della cyber security nella gestione completa del ciclo di vita del dato, fornendo le procedure tecniche e legali per la sanificazione certificata dei supporti, evitando che un vecchio hard disk diventi la fonte del prossimo data breach[1].
Indice degli argomenti
La gestione del fine vita degli asset tecnologici
L’Asset Disposal, ovvero la gestione del fine vita degli asset tecnologici, è storicamente la fase più trascurata del ciclo di vita della sicurezza delle informazioni.
Molti decisori credono erroneamente che una formattazione veloce, o la semplice cancellazione dei file dal Cestino prima di staccare la spina, siano misure sufficienti a proteggere i dati. Purtroppo, la realtà tecnica è ben diversa.
Per un attaccante minimamente capace, o anche solo per un curiosone che acquista quel disco dismesso su eBay o alle aste fallimentari per pochi euro, recuperare quei dati è un’operazione banale.
Esistono software gratuiti ed open source capaci di ripristinare in pochi minuti intere partizioni formattate.
Questo accade a causa del fenomeno della “Data Remanence” (rimanenza dei dati). Quando cancelliamo un file o formattiamo un disco in modalità standard, il sistema operativo non rimuove fisicamente le informazioni magnetiche o elettroniche: si limita a cancellare l’indice che dice al computer dove si trova quel file, indicando quello spazio come “libero e sovrascrivibile”.
Ma finché quel settore non viene effettivamente sovrascritto da nuovi dati, l’informazione originale rimane lì, intatta e leggibile.
Cosa troviamo in quei dischi dismessi? Se parliamo di un’organizzazione sanitaria, troviamo cartelle cliniche e dati sensibili. Se parliamo di un’azienda di produzione, troviamo brevetti e disegni industriali.
In quasi tutti i casi, troviamo le credenziali di accesso salvate nei browser, le configurazioni dei client VPN, le chiavi crittografiche e i certificati digitali.
Vendere o smaltire un computer senza una sanificazione certificata è l’equivalente digitale di vendere la propria vecchia auto lasciando nel cruscotto le chiavi di casa, la planimetria dell’appartamento e i codici dell’impianto d’allarme.
Best practice per la distruzione sicura del dato
La distruzione sicura del dato non può essere lasciata all’iniziativa del singolo utente o del tecnico IT oberato di lavoro. Deve essere un processo di governance codificato che prevede due strade principali, a seconda del destino che è stato deciso per quell’hardware e della classificazione del dato in esso contenuto:
- Distruzione Fisica (Degaussing e Shredding): Se i supporti contenevano dati classificati come “Segreto” o ad altissima criticità, l’unica via sicura è assicurarsi che il supporto non possa funzionare mai più. La smagnetizzazione (degaussing) distrugge i campi magnetici, mentre la triturazione (shredding, si va proprio triturato…) riduce il disco in frammenti metallici di pochi millimetri. È la soluzione definitiva: costosa ma certa.
- Wiping Certificato: Se l’organizzazione intende recuperare valore vendendo gli asset o donandoli a scuole ed enti benefici (una pratica comune nella PA per ridurre i rifiuti elettronici), serve una sovrascrittura logica. Non una formattazione, ma un “Wiping” che sovrascrive ogni singolo bit del disco con sequenze casuali di 0 e 1 per diverse volte (ad esempio seguendo lo standard NIST 800-88 o il vecchio standard DoD). Questo processo rende il recupero magneticamente impossibile permettendo però il riutilizzo dell’hardware.
La responsabilità giuridica del dato
C’è poi un aspetto legale fondamentale che spesso sfugge ai manager. La responsabilità giuridica del dato (Data Controller) non cessa quando il computer lascia fisicamente l’edificio dell’organizzazione.
Se tra due anni quei dati emergono online o vengono usati per un furto d’identità, la sanzione del Garante Privacy ed il danno reputazionale colpiranno l’organizzazione che ha generato quei dati, non il fornitore esterno che ha ritirato i vecchi PC promettendo di “pensarci lui”.
La cosiddetta “catena di custodia” deve essere blindata: affidarsi a un fornitore per lo smaltimento RAEE è lecito, ma il CISO deve pretendere contrattualmente un “Certificato di Distruzione” per ogni singolo asset.
Il documento non deve dire genericamente «Smaltiti 100 computer», ma deve riportare: «Il giorno X, il disco rigido con serial number Y, estratto dal computer con asset tag Z, è stato sanificato con metodo Wiping a 3 passaggi con esito positivo».
Senza questo pezzo di carta, in caso di data breach, l’organizzazione non ha alcuna prova di aver agito con la dovuta diligenza.
Spesso, il rischio maggiore non è nemmeno lo smaltimento esterno, ma l’accumulo interno. I magazzini IT pieni di hardware dismesso “in attesa di decisione” sono una miniera d’oro per dipendenti infedeli o personale delle pulizie/manutenzione.
Un hard disk è piccolo, sparisce facilmente in una tasca ed è impossibile da tracciare una volta uscito dal perimetro.
Implementare una policy di Asset Disposal rigorosa significa definire tempi certi: un asset dismesso deve essere sanificato entro 7 giorni, non accantonato per anni.
[1] Chiudere il ciclo di vita del dato è importante tanto quanto proteggerlo mentre è in uso. Le procedure corrette di sanificazione dei media, la gestione contrattuale dei fornitori di smaltimento ed i riferimenti normativi per la Pubblica Amministrazione e i privati sono descritti nel dettaglio nel dominio Asset Security del Manuale CISO Security Manager, una guida essenziale per evitare che i fantasmi del passato tornino a perseguitare l’organizzazione.
