SAYISAL VERİLERİ GÜVENLİ OLARAK İMHA ETME GEREKLİLİĞİ VE YÖNTEMLERİ
Kurumların gizli tutması gereken önemli bilgiler (personel bilgileri, kurum politikaları, AR-GE çalışmaları, kredi kartı numaraları, vb. ) günümüzde bilgisayarlar, sunucu ve depolama ünitelerinde sayısal olarak saklanmaktadır.
Sayısal verilerin saklanması ve yedeklenmesine verilen önem, verilerin silinmesi konusunda çoğu kez gösterilmemektedir.
Bilindiği gibi, saklanmasına gerek kalmayan verilerin standart silme komutları kullanılarak silinmesi yeterli değildir. Bu verilerin güvenli ve kalıcıbir biçimde imha edilmesi gereklidir.
Verilerin güvenli ve kalıcı olarak silinmesi için gerekli araçlar kullanılmadığında, kurumlar için çok önemli verilerin istenmeyen kişilerin eline geçmesi riski oluşmaktadır. Kurumların zaman, para ve en önemlisi itibar kayıplarının telafisi mümkün olmamaktadır. Güvenli veri imha etmek için standartlara uygun olarak doğrulama yapabilecek güvenli veri imha donanımlarını kullanmak, risk almadan güvenli biçimde veri imha etmek için en iyi yöntemdir.
Gerekli görülen güvenlik seviyesine bağlı olarak sayısal verilerin imhası üç farklı şekilde yapılmaktadır.
– Wipe (Güvenli veri silme)
Bilgisayardan bir dosya silindiğinde, sabit disk üzerinde silinen dosya için ayrılan alan yeni bir veri ile doldurulmadığı sürece değişmez. Silindiği sanılan veriye haftalar sonra bile basit yazılımlar kullanılarak erişilebilir. Bir sabit diskin formatlanması durumunda da verilere her zaman ulaşılabilir. SSD(Solid State Drive -Katı Hal Sürücüler)’lerde silinen dosyaların durumu daha karmaşıktır. SSD’ler verileri bloklar halinde saklarlar. Bloğun silinmesi ile bloğun içeriği ön belleğe kayıt edilir, blok içeriğinin silinmesi ile ön belleğin üzerine yazılan bloğu siler, yeni veriyi ön belleğe yazar ve bloğu yeni veri ile yapılandırır.
Güvenli veri silme işlemi yaptığı sanılan birçok program vardır; fakat bu programlar diskin tüm alanlarını güvenli bir şekilde silemez. HPA (host protected area), DCO (device configuration overlay), yeniden eşlenmiş sektörler, sonradan bozulan sektörler (bad sectors) gibi gizlenmiş veya kilitlenmiş diskin tümüne erişemeyen bu disk silme programları, erişemediği verileri olduğu gibi bırakarak kullanıcıları yanıltır.
Güvenli veri silme donanımları tüm olumsuz faktörler ve farklı yapıdaki sürücüler göz önüne alınarak geliştirilmiştir. Bu donanımlar işlem sonrası test ve raporlama özelliği ile tüm sektörler üzerindeki verileri bit seviyesinde anlamsız veriler ile yer değiştirir. Güvenli veri silme yönteminde sürücü üzerindeki tüm sektörlere çok defa farklı örüntülerle veri yazılmaktadır, böylece etkili bir şekilde verinin manyetik imzaları da yok edilmektedir.
Güvenli veri silme işlemi sonrasında medyalar tekrar kullanılabilir.
– Degaussing ya da Degauss İşlemi (Manyetik İzleri Bozma)
Degaussing manyetik depolama yapan medyaların (harddisk, floppy disk, manyetik kaset, LTO, DLT, vb.) üzerindeki verilerin yüksek bir manyetik alan ile bozularak ulaşılmaz hale getirilmesidir.
Bir manyetik medya üzerine veri yazılır iken okuma-yazma kafası her bir noktayı polarizasyon yöntemi ile 0 ya da 1 olarak yönlendirir. Degauss işlemi ile manyetik ortamdaki yönlendirmeler bozularak, hassas verilerin kalıcı olarak silinmesi sağlamaktadır.
Degauss cihazları bilgisayar, video, ses, vb. verileri barındıran manyetik depolama sürücülerindeki verilerin imhası için kullanılmalıdır.
Degauss işlemi sonrasında çoğu medya tekrar kullanılamaz hale gelmektedir.
– Fiziksel olarak parçama
Sürücülerin fiziksel olarak parçalanarak imha edilmesidir.
SAYISAL VERİLERİN GÜVENLİ OLARAK İMHA EDİLMESİ İLE İLGİLİ STANDARTLAR
Uluslararası kabul görmüş birçok standart, verilere kontrolsüz erişimin engellenmesi ve verilerin imha edilmesi konusunda geniş tanımlamalar bulunmaktadır. Bu standartlardan bazıları; ISO/IEC 27001:2005, EU Data Protection Directive (Veri Koruma Yönergesi), NISP (National Industrial Security Program), HIPAA (Health Insurance Portability and Accountability), FACTA (The Fair and Accurate Credit Transactions Act), GLB (Gramm-Leach Bliley), Sarbanes-Oxley Act (SOx), Payment Card Industry Data Security Standards (PCI DSS) ve Data Protection Act, Base II Capital Accord, NIST (The National Institute of Standards and Technology) olarak bilinmektedir.
Bu standartlarda vurgulanan ana başlıklar;
– kurumların yazılı olarak hazırlanmış bir bilgi güvenliği planı olması,
– verilere erişimin kontrol altına alınması ve sınırlandırılması,
– verilerin kötüye kullanımına yönelik gerekli koruma tedbirlerinin alınmasıdır.