ГОСТ ЭКСПЕРТ: как защитить данные и надежно их уничтожить

В рубрике «Интервью» — беседа с главным экспертом НИИ судебной экспертизы «ГОСТ ЭКСПЕРТ» Станиславом Гостищевым. Говорим о том, почему привычное полное форматирование не спасет от утечки, какие особенности SMR-дисков нужно знать и как компаниям выстроить надежный процесс удаления информации. Сегодня, на фоне роста киберугроз и ужесточения регуляций по защите персональных и корпоративных данных, эта тема как никогда актуальна.

Станислав, почему Вы решили исследовать тему безопасного удаления данных?

В нашу лабораторию восстановления данных часто попадают на восстановление жесткие диски, SSD и даже флешки. В таких случаях как правило, потеря информации оказывается случайной и непреднамеренной, а результат успешного восстановления никого не удивляет.

Но в последнее время все чаще стали поступать запросы от компаний, желающих гарантированно уничтожить информацию с большого количества накопителей с целью сохранения конфиденциальности. В таких случаях заказчик обычно самостоятельно указывает метод уничтожения по рекомендациям стандартов информационной безопасности, например, таких как NIST 800-88. Но в этот стандарт входит и рекомендация метода «One Pass Zeros», который подразумевает только один полный проход перезаписи нулями.

Тогда я решил провести исследование SMR накопителей, чтобы определить, какой метод удаления действительно надежен, а какому доверять не следует.

Почему вы выбрали именно SMR?

Популярность современных накопителей с SMR-технологией записи непрерывно растет. Изначально они занимали только потребительский сегмент из-за низкой себестоимости производства. Но со временем эта технология совершенствовалась, улучшалась и на сегодняшний день, по заявлению крупнейшего производителя жестких дисков — компании Western Digital, более половины накопителей, поставляемых в дата-центры, — SMR.

Что именно не так с полным форматированием на SMR-дисках?

В отличие от традиционных CMR-дисков, где головка пишет и читает строго «сектор в сектор», в SMR-накопителях запись производится с частичным перекрыванием соседних дорожек. Это позволяет уменьшить эффективную ширину без необходимости уменьшения размера записывающей головки. Перекрытие позволяет значительно уменьшить ширину дорожек и как следствие увеличить плотность записи. Но при этом методе невозможно производить запись на лету, треки с данными необходимо подготавливать и записывать на поверхности лентами. При удалении данных они также не удаляются мгновенно, а помечаются на удаление контроллером в специальном трансляторе второго уровня.

В рамках научно-исследовательской работы для своей диссертации я решил провести эксперимент, чтобы оценить объем данных в «скрытых» зонах после форматирования накопителя. В некоторых случаях объемом информации, который удавалось восстановить, достигал 100 000 секторов после полного форматирования.

Какие бизнес-риски это создает?

Утечка даже нескольких мегабайт информации может стоить компании серьезных штрафов и репутационных потерь, особенно если там хранятся персональные данные или коммерческая тайна. Клиенты и регуляторы требуют полного удаления данных, но IT-отделы полагаются на привычные утилиты форматирования, не учитывая особенности хранения информации на SMR.

Как компаниям выстроить действительно надежный процесс удаления?

В первую очередь необходимо отделить CMR от SMR. Последние лучше уничтожать воздействием сильного магнитного поля, это гарантирует полное уничтожение информации, но повторное их использование становится невозможным.

Специализированное программное обеспечение, использующее алгоритмы уничтожения данных эффективно только в случае использования большого количества проходов с различными паттернами.

Шифрование эффективно только в том случае, если оно было активировано до записи информации на накопитель. Именно поэтому в современных операционных системах активация шифрования происходит в момент установки ОС.

А что в нормативных документах стоит поменять?

Российский стандарт уничтожения данных ГОСТ Р 50739-95 предусматривает всего 2 прохода с различными паттернами, которые строго не регламентированы. Если паттерны окажутся слишком похожи, двух проходов может оказаться недостаточно.

Какие бюджетные решения вы бы порекомендовали малому бизнесу?

Самый эффективный способ — это активация аппаратного шифрования в процессе установки операционной системы. Подбор ключа для расшифровки алгоритма шифрования AES-256 невыполнимая на сегодняшний день задача. Модули TPM 2.0 интегрированы практически на всех современных устройствах, а для старых моделей могут быть установлены непосредственно в материнскую плату в соответствующий разъем с надписью TPM.

После изъятия диска из такой системы, без известного ключа данные восстановить абсолютно невозможно.

Хорошей альтернативой могут служить диски с встроенным аппаратным шифрованием Self-Encrypting Drive (SED). В таких накопителях простое изменение ключа приводит к мгновенному очищению устройства.