Güvenli Veri İmha Çözümleri

Sayısal Verileri Güvenli Olarak İmha Etme Gerekliliği

Özel sektörde faaliyet gösteren kuruluşlarda, kamu kurum ve kuruluşlarında gizli tutması gereken önemli bilgilerde içeren (kişisel veriler, özel nitelikli hassas veriler, personel bilgileri, kurum politikaları, AR-GE çalışmaları, kredi kartı numaraları, finansal kayıtlar, vb.) veriler günümüzde bilgisayarlar, sunucu ve depolama ünitelerinde sayısal olarak saklanmaktadır.

Sayısal verilerin tehditlere karşı korunması, saklanması ve yedeklenmesine verilen önem, verilerin silinmesi ve yok edilmesi konusunda çoğu kez gösterilmemektedir.

Bilindiği gibi, saklanmasına gerek kalmayan verilerin standart silme komutları kullanılarak silinmesi yeterli değildir. Bu verilerin güvenli ve kalıcıbir biçimde imha edilmesi gereklidir.

Kişisel Verilerin Korunması Kanunu

“Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” 6698 sayılı Kişisel Verilerin Korunması Kanununun 7. Maddesinde de belirtilmiş ve ilgili yönetmelik ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlenmiştir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak; kişisel verilerin yok edilmesi ise kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır. Bu amaçla veri sorumlusunun gerekli her türlü teknik ve idari tedbirleri almakla yükümlü olduğu belirtilmiştir. Kişisel verilerin yok edilmesi için verilerin bulunduğu tüm kopyalar tespit edilmeli ve verilerin bulunduğu sistemlerin türüne göre de-manyetize etme, fiziksel yok etme, üzerine yazma gibi yöntemlerden bir ya da birkaçı kullanılmalıdır.

Verilerin güvenli ve kalıcı olarak silinmesi ve yok edilmesi için gerekli araçlar kullanılmadığında, kurumlar için çok önemli verilerin istenmeyen kişilerin eline geçmesi riski oluşmaktadır. Telafisi mümkün olmayan zaman, para ve en önemlisi itibar kayıpları meydana gelebilmektedir. Güvenli veri imha etmek için standartlara uygun olarak doğrulama yapabilecek güvenli veri imha donanımlarını kullanmak, risk almadan güvenli biçimde veri imha etmek için en iyi yöntemdir.

Sayısal Verileri Güvenli Olarak İmha Etme Yöntemleri

Gerekli görülen güvenlik seviyesine bağlı olarak sayısal verilerin imhası üç farklı şekilde yapılmaktadır.  EMT Elektronik Ltd., sektördeki tecrübesi ve geniş ürün portföyü ile her ihtiyaca uygun çözümleri sunabilmektedir.

Bilgisayardan bir dosya silindiğinde, sabit disk üzerinde silinen dosya için ayrılan alan yeni bir veri ile doldurulmadığı sürece değişmez. Silindiği sanılan veriye haftalar sonra bile basit yazılımlar kullanılarak erişilebilir. Bir sabit diskin formatlanması durumunda da verilere her zaman ulaşılabilir. SSD(Solid State Drive -Katı Hal Sürücüler)’lerde silinen dosyaların durumu daha karmaşıktır. SSD’ler verileri bloklar halinde saklarlar. Bloğun silinmesi ile bloğun içeriği ön belleğe kayıt edilir, blok içeriğinin silinmesi ile ön belleğin üzerine yazılan bloğu siler, yeni veriyi ön belleğe yazar ve bloğu yeni veri ile yapılandırır.

Güvenli veri silme işlemi yaptığı sanılan birçok program vardır; fakat bu programlar diskin tüm alanlarını güvenli bir şekilde silemez. HPA (host protected area), DCO (device configuration overlay), yeniden eşlenmiş sektörler, sonradan bozulan sektörler (bad sectors), işletim sistemi yedekleri, RAM kalıntıları gibi gizlenmiş veya kilitlenmiş diskin tümüne erişemeyen bu disk silme programları, erişemediği verileri olduğu gibi bırakarak kullanıcıları yanıltır.

Güvenli veri silme donanımları tüm olumsuz faktörler ve farklı yapıdaki sürücüler göz önüne alınarak geliştirilmiştir. Bu donanımlar işlem sonrası test ve raporlama özelliği ile tüm sektörler üzerindeki verileri bit seviyesinde anlamsız veriler ile yer değiştirir. Güvenli veri silme yönteminde sürücü üzerindeki tüm sektörlere çok defa farklı örüntülerle veri yazılmaktadır, böylece etkili bir şekilde verinin manyetik imzaları da yok edilmektedir. Güvenli veri silme işlemi sonrasında medyalar tekrar kullanılabilir.

Degauss işlemi (Degaussing) manyetik depolama yapan medyaların (harddisk, floppy disk, manyetik kaset, LTO, DLT, vb.) üzerindeki verilerin yüksek bir manyetik alan ile bozularak ulaşılmaz hale getirilmesidir.

Bir manyetik medya üzerine veri yazılır iken okuma-yazma kafası her bir noktayı polarizasyon yöntemi ile 0 ya da 1 olarak yönlendirir.

Degauss işlemi ile manyetik ortamdaki yönlendirmeler bozularak, hassas verilerin kalıcı olarak silinmesi sağlamaktadır. Degauss cihazları bilgisayar, video, ses, vb. verileri barındıran manyetik depolama sürücülerindeki verilerin imhası için kullanılmalıdır. Degauss işlemi sonrasında çoğu medya tekrar kullanılamaz hale gelmektedir.

Sürücülerin fiziksel olarak parçalanarak imha edilmesidir.

SAYISAL VERİLERİN GÜVENLİ OLARAK İMHA EDİLMESİ İLE İLGİLİ STANDARTLAR

Uluslararası kabul görmüş birçok standart, verilere kontrolsüz erişimin engellenmesi ve verilerin imha edilmesi konusunda geniş tanımlamalar bulunmaktadır. Bu standartlardan bazıları; ISO/IEC 27001:2005EU Data Protection Directive (Veri Koruma Yönergesi), NISP (National Industrial Security Program), HIPAA (Health Insurance Portability and Accountability), FACTA (The Fair and Accurate Credit Transactions Act), GLB (Gramm-Leach Bliley), Sarbanes-Oxley Act (SOx), Payment Card Industry Data Security Standards (PCI DSS) ve Data Protection Act, Base II Capital Accord, NIST (The National Institute of Standards and Technology) olarak bilinmektedir.

Bu standartlarda vurgulanan ana başlıklar;

  • kurumların yazılı olarak hazırlanmış bir bilgi güvenliği planı olması,
  • verilere erişimin kontrol altına alınması ve sınırlandırılması,
  • verilerin kötüye kullanımına yönelik gerekli koruma tedbirlerinin alınmasıdır.

Genel olarak manyetik depolama yapan medyalardaki verilerin imha edilmesi için aşağıdaki yol takip edilmelidir.

Güvenli Silme ve Degauss işlemleri her tip medya’ya uygulanamamaktadır. Sıklıkla kullanılan medya tipleri ile ilgili uyumluluk aşağıdaki gibidir.

Medya
Tipi
Güvenli
Silme
Degauss
İşlemi
Fiziksel Parçalama
Floppy Disk Evet Evet Evet
Sabit Disk Evet Evet Evet
USB Sabit Disk Evet Evet Evet
Zip Disk Uygulanamaz Evet Evet
Makara ve Kaset Formatındaki Tapeler Uygulanamaz Evet Evet
CD/DVD/BlueRay Optik Uygulanamaz Uygulanamaz Evet
Hafıza Kartları Evet Uygulanamaz Evet
USB Flash Disk Evet Uygulanamaz Evet