Perché cancellare dati da sistemi live?

Tradizionalmente, l’eliminazione dei dati dai dispositivi di storage è stata spesso limitata ai dischi di vecchi computer una volta terminato il ciclo di vita utile. Tuttavia, con le tecnologie odierne, il bisogno di cancellare dati in modo sicuro va ben oltre i singoli drive e comprende molto di più dei dispositivi fisici.

Per esempio, i grossi sistemi storage dei data center e dei servizi cloud utilizzano la virtualizzazione per ottimizzare le risorse riducendo i costi. Guardando nello specifico al cloud, la sicurezza è generalmente considerata il primo e più grande ostacolo da superare per un’azienda che inizia ad utilizzarlo. Se però la sicurezza è un aspetto di cui preoccuparsi quando si decide di passare a soluzioni in cloud, lo è altrettanto nel momento in cui se ne esce o si decide di cambiare fornitore. E’ a questo punto che i sistemi virtuali presentano particolari rischi e problematiche legate all’eliminazione sicura dei dati.

Cancellare dati da sistemi live: un esempio concreto

Per avere un’idea delle difficoltà, usiamo un esempio contestualizzato: immaginate che un’azienda si serva di un provider che ospiti i dati dei clienti in un ambiente cloud. Il provider utilizza infrastrutture virtualizzate per ripartire lo spazio di storage tra i diversi clienti. Se uno dei clienti estingue il contratto, quali garanzie possono essergli fornite che i propri dati riservati vengano definitivamente eliminati dal sistema virtuale? Dall’altro lato: come può il fornitore assicurarsi di cancellare in modo sicuro i dati di un singolo cliente senza generare tempi di inattività per gli altri clienti, ed evitando di cancellare l’intero sistema? Il fornitore dovrebbe anche essere in grado di dimostrare al cliente in questione che la cancellazione sicura è avvenuta con successo.

Questo scenario mostra in modo semplice quanto sia importante per i provider di servizi di hosting/data management su cloud (e per i loro clienti) conoscere i processi di cancellazione e comprendere il bisogno che i dati siano cancellati durante tutto il ciclo-vita di un dispositivo, e non soltanto quando questo arriva a conclusione. Per trovare soluzioni a queste necessità, in questo articolo ci addentreremo nel concetto di ‘cancellazione da live environment’ ed esploreremo le ragioni dietro una cancellazione sicura dei dati da sistemi virtuali.

Perchè cancellare dati virtuali?

L’idea di effettuare la cancellazione dei dati in ambienti live va oltre l’approccio standard che prevede l’eliminazione dei dati solo quando i dispositivi su cui sono memorizzati giungono al termine del loro ciclo di vita. Questa prende infatti in considerazione anche data center e ambienti virtuali in cui la cancellazione dovrebbe essere effettuata in modo da rendere impossibile qualsiasi tentativo di recupero e comprende anche l’eliminazione di altri dati, che sono stati generati in corso d’esercizio come file e cartelle riservate archiviate su server condivisi o sulle macchine degli utenti.

Una delle ragioni primarie per cui i dati dovrebbero essere cancellati durante tutto il ciclo vita di uno spazio di storage ha a che fare con i costi; le aziende possono risparmiare importi significativi sul budget IT riassegnando o rivendendo lo spazio invece di distruggerlo completamente. Sistemi di storage complessi come quelli che impiegano la tecnologia Fusion-IO sono costosi da sostituire, con alcuni drive che arrivano a costare migliaia di euro. In tutti questi casi è quindi necessario  cancellare dati da un dispositivo o sistema virtuale impiegando una soluzione software senza dover utilizzare un metodo che prevede la completa distruzione del supporto.

Cancellare non vuol dire eliminare

Tutti sappiamo inoltre (o dovremmo sapere!) che semplicemente selezionando ‘Cancella’ i dati non vengono eliminati dall’hard disk. Lo stesso accade nel cloud, per i data center e i sistemi virtuali. I dati cancellati da qualunque tipo di supporto possono essere recuperati nella maggior parte dei casi; sono procedure che i professionisti del recupero dati come Ontrack eseguono regolarmente.

Sono ancora diffuse in modo preoccupante idee sbagliate sull’efficacia dei comandi di cancellazione o sull’utilizzo di programmi freeware per eliminare dati riservati. La realtà è che le aziende devono assicurarsi di implementare procedimenti sicuri e documentati che utilizzino software adeguati per l’eliminazione definitiva dei dati.

Tornando all’esempio di poco fa, data center e provider di servizi cloud o di hosting dovrebbero cancellare i dati dei clienti in modo sicuro. Le aziende che utilizzano spazio di storage in affitto e lo gestiscono da remoto dovrebbero essere al corrente di cosa succede ai propri dati una volta estinto il contratto. Non solo, ma se un’azienda ha delle specifiche procedure di sicurezza informatica per particolari file o cartelle (per esempio, server condivisi per progetti riservati o contenenti le informazioni dei clienti) dovrebbe anche porre in essere procedure per la cancellazione sicura di questi tipi di dati.

È importante che questi ambienti (cloud, data center e sistemi virtuali) implementino un processo end-to-end accurato e attento alla sicurezza; esso dovrebbe includere processi di cancellazione sicura delle infrastrutture virtuali e dei dati generati in corso d’esercizio. Non si tratta solo di best practice e buoni propositi: daremo ora uno sguardo alla legislazione che impone di eliminare i dati in modo adeguato.

Legislazione e criteri

A parte le leggi nazionali esistenti sulla protezione dei dati, la normativa da prendere come riferimento per il futuro è il GDPR europeo (General Data Protection Regulation) che entrerà in vigore a maggio 2018. Le aziende dovranno essere in grado di cancellare dati velocemente e in modo permanente.

La normativa riguarderà non solo i Paesi membri dell’UE, ma anche tutte le compagnie che intrattengono con essi rapporti d’affari. Le aziende di Regno Unito, Stati Uniti e Asia dovranno pertanto sottostare allo stesso regolamento. Ci sono poi regolamenti specifici per determinate regioni; di seguito ne riportiamo alcuni che è sicuramente importante conoscere:

PCI DSS

Il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di riferimento per le aziende che usano o archiviano dati di pagamento con carta. Se ci pensiamo bene, si parla di quasi tutte le attività!

Lo standard PCI DSS definisce chiaramente il bisogno di cancellare i dati in modo sicuro; in particolare, il Requisito 3 impone di minimizzare le informazioni memorizzate relative ai titolari di carte e di sviluppare una politica di mantenimento e smaltimento dei dati che ne limiti la quantità e il periodo di conservazione sulla base dei tempi necessari per gli scopi di business, legali e/o di regolamento. I dati non più necessari devono poi essere identificati e cancellati in modo sicuro, implementando trimestralmente un apposito processo automatico o manuale.

Leggi il documento completo (in lingua inglese). Le linee guida accennano al fatto che il mantenimento dei dati dei titolari di carte, se prolungato oltre il necessario, costituisce un rischio inutile. Suggerisce quindi di implementare metodi di cancellazione sicura che garantiscano l’impossibilità di recuperare questi dati quando essi non siano più di utilità.

I dati delle carte di credito vengono presumibilmente raccolti in via continuativa e salvati in qualche forma di archivio; le aziende si trovano quindi di fronte al problema di dover essere in grado di cancellare man mano solo determinati dati. Se la vostra politica di mantenimento impone che i dati vengano conservati al massimo per 5 anni, come procedete allo smaltimento di quanto non più necessario senza compromettere l’integrità del resto?

ISO 27001

Molte grandi organizzazioni e provider di servizi IT aderiscono a questo standard di sicurezza, che assiste nella corretta gestione della sicurezza di dati quali informazioni contabili, proprietà intellettuali o informazioni affidate da terze parti. Lo standard ISO specifica che i dispositivi di storage devono essere opportunamente verificati prima del loro smaltimento o riutilizzo, per accertarsi che dati sensibili o eventuali software licenziati siano stati completamente rimossi. Dovrebbe inoltre esistere una procedura di accertamento dell’avvenuta cancellazione, e del suo effettivo successo. La vostra organizzazione adotta già queste misure?

ISO 27040

Questo standard offre una panoramica delle misure di storage security raccomandate, inclusa la cancellazione sicura. Si fa cenno specifico al fatto che metodi impropri di ‘cancellazione’ dei dispositivi di storage alla fine del ciclo vita siano da considerare tra le minacce alle infrastrutture. La cancellazione sicura è raccomandata infatti anche làddove siano utilizzati metodi di crittografia, e sopratutto in caso di sistemi virtualizzati in cui può essere difficile localizzare il dispositivo fisico su cui i dati sono salvati. Di fondamentale importanza è però la capacità di documentare l’avvenuta attività, ad esempio tramite certificati di cancellazione /crittografia o un registro di auditing. Se infatti non ci sono prove di avvenuta cancellazione, come è possibile dimostrare che essa sia stata effettuata? Inoltre, come si può sapere con sicurezza se i metodi utilizzati hanno avuto successo nell’eliminazione dei dati?

Come eliminare i dati virtualizzati?

Stabilito che la cancellazione sicura è una pratica di basilare importanza, è bene tenere a mente che eliminare dati da sistemi virtuali non deve necessariamente essere un processo complicato. Sono disponibili strumenti dedicati che consentono di concentrarsi su dati specifici, automatizzare i comandi o cancellare più dispositivi o unità logiche insieme, tutto da un sistema centralizzato. Il software per la cancellazione delle LUN, ad esempio,  presenta una funzionalità di cancellazione mirata e permanente che fornisce inoltre un report dettagliato di quando e come la procedura è stata completata – molto utile in caso di controlli o esigenze di conformità.

E’ il caso di utilizzare uno strumento ad hoc, invece dei semplici comandi di Windows, anche  quando si devono cancellare specifici file o cartelle da un computer o server. Ciò permette di cancellare in modo sicuro e permanente solo quanto necessario senza impattare il resto del sistema. Si potrebbe fare un passo in più, automatizzando l’intero processo: ad esempio, creare una procedura automatica di cancellazione di determinate aree del computer di un utente al momento dello spegnimento, oppure programmare uno script che elimini il contenuto delle cartelle su un server condiviso o una VM. Questo può essere particolarmente efficace se la vostra azienda utilizza, in condivisione, cartelle di progetto o documenti finanziari riservati che devono essere eliminati regolarmente minimizzando i fastidi.

Impiegando uno strumento certificato, come ad esempio il nostro software di cancellazione sicura di specifici file, potrete dormire sonni tranquilli: una volta completato il procedimento di cancellazione il software produce automaticamente un report a prova di manomissione.

Un processo end-to-end

La cancellazione sicura dovrebbe essere un processo che viene implementato in tutte le aree dell’infrastruttura IT e non solo sui dispositivi da dismettere. Se offrite servizi di hosting o siete provider di servizi IT, dovreste avere politiche ben chiare sull’eliminazione dei dati dei clienti quando essi devono essere rimossi dalle vostre infrastrutture e dovreste essere in grado di dimostrare che la procedura necessaria è stata completata con successo. Sia che la vostra organizzazione disponga di un reparto IT interno sia che utilizzi servizi IT in outsourcing dovreste prestare lo stesso livello di attenzione ai vostri dispositivi di storage e a come i vostri dati sono gestiti durante il loro periodo di utilizzo e quando non sono più necessari.

Vale la pena sottolineare che quest’articolo non è assolutamente una guida completa e che sistemi diversi possono aver bisogno di procedure pensate su misura. Il punto fermo è la necessità di assicurarsi, a prescindere dall’infrastruttura, che i dati vengano eliminati definitivamente adottando un procedimento sicuro. Mancanze in questo senso possono portare non solo alle ingenti multe disposte dalla normativa GDPR che sarà presto in vigore, ma anche, nell’eventualità di una fuga di dati, serie conseguenze per la reputazione aziendale e per i vostri stakeholders.

Usare un tool certificato può assistere nell’automatizzazione del processo di cancellazione anche virtuale, sollevandovi dalle incombenze e assicurandovi che i dati non finiranno nelle mani sbagliate.

Come effettuate la cancellazione dei dati nei sistemi virtualizzati? Avete politiche dedicate alla conservazione dei dati (retention policy) che prevedano una cancellazione programmata regolarmente?