守護資安最後一條防線 資料銷毀勢在必行

編輯部

資料外洩問題層出不窮,特別是當設備要進行汰換或報廢時,如果沒有做好資料銷毀的動作,小則造成個人資料或財產損失,大則造成機關組織重要資料外洩,甚至危害國家安全。也因此,杜絕資料洩漏以保障資料安全的最後一道防線,就是做好資料銷毀的工作,使裝置內所有資料無法被讀取或復原,從根本地讓資料消失於無形,是最能一勞永逸地解決資料洩漏的良方妙藥。

貫徹資料銷毀,隱藏資料一件不留

數位轉型趨勢已經成形,意味著數位化的資料爆發性成長,使得資安問題備受關注,可看到前端的防毒防駭機制愈趨完善,但末端的資料銷毀卻往往被遺忘與忽視,一般的企業或個人用戶在電腦或手機進行汰舊換新的時候,通常使用格式化的方式將資料刪除,卻不知這些資料只是「表面」消失,但內容卻真實地隱形在儲存裝置內,若有心人士存心想要竊取,取得這些資料只是輕而易舉。

以大眾定義來看,進行格式化就已經完成資料銷毀,但事實上格式化只是將索引表刪除,就如同是將一本書的目錄撕掉,實際的內容仍完整的在書內,只是不知道頁數與內容大綱,而這個問題可透過免費的救援軟體重建目錄即能恢復,並將資料完整地讀取出來。

如前述,要讓資料無法回復,則必須對硬碟至少做一次完整的「低階格式化」(Low-Level Formatting),才能達到資料銷毀的效果,此外,讓硬碟資料無法回復的方式還有消磁與物理破壞。簡單來說,讓硬碟裡的資料不管透過任何方式都無法再將其中資料取出,才算是有效的資料銷毀。

除了選擇有效的資料銷毀方法之外,尚有許多要點需注意,像是如何確實執行資料銷毀、如何驗證銷毀結果、執行人員的管控、建立可追朔的工作紀錄等,任何一個環節沒把關好,就會提高資料外洩的風險。如2019年日本神奈川硬碟資料外洩事件,無以數計的民眾個資就在二手網站上供買家競標。


打贏資安硬仗,資料銷毀不可或缺

資料銷毀在防止資料外洩事件上扮演著非常重要的角色,但非所有人都會執行資料銷毀,國外資安大廠Blancco在2019年針對亞太、歐洲和北美地區最大企業的1,800多位高階領導人進行的一份研究,研究內容提到了幾項令人擔憂的事情。

有接近八成的受訪企業將報廢設備存放於公司內,而半數以上的公司,需要超過兩周的時間進行資料銷毀;此外,有36%的受訪者採用一般格式化、免費或付費的抹除軟體,以及沒有經過認證的消磁與物理破壞方式,且沒有留下稽核紀錄。種種跡象可顯示出全球企業在其設備面臨汰換的階段時,會在意且關注資料外洩的問題;然而,儘管知道其中涉及的風險,但大多數的企業仍是選擇不完全的銷毀方式來保護其組織,也因此讓企業長期暴露在資料洩漏的風險之中。

資料銷毀是數位時代的浪潮下,無可避免卻又必須積極維護的重點。建立完善的資料銷毀程序及完整透明的稽查紀錄,是所有政府機關與企業都必須深入研究的課題,當硬體設備需要廢棄時,資料銷毀的執行更須落實,才能保障個人與組織的資料安全無虞。

轉載請標明出處

參考資料

  1. 朝日新聞 2019/12/06

  2. Blancco. (2019). A False Sense of Security.