Niszczenie dokumentów i przechowywanych danych to temat, który dziś znany jest wszystkim przedsiębiorcom i instytucjom publicznym. Żyjemy w czasach cyfrowych, a to oznacza, że dokumenty w wersjach papierowych powstają najpierw na naszych urządzeniach komputerowych i mobilnych.
I to właśnie w świecie cyfrowym pozostaje po nich ślad. Wszelkie dane przechowywane są m.in. na płytach CD, DVD, pamięciach flash, kartach pamięci czy na dyskach SSD. O ile stosunkowo łatwo jest zniszczyć dane które powstają na papierze, o tyle niszczenie cyfrowych nośników wymaga odpowiedniego sprzętu.
Komentarz Marcina Sobańca, managera kategorii biznesowej w HSM
Twarde dyski to obecnie podstawowy nośnik danych. Ich wyciek lub utrata niesie za sobą znacznie większe ryzyko dla bezpieczeństwa instytucji niż np. zagubienie niewielkiej teczki dokumentów papierowych. O ile jeszcze wiele lat temu zniszczenie dysków twardych było problemem, ponieważ urządzenia niszczące były bardzo duże, wymagające i skomplikowane w obsłudze, dziś ten problem praktycznie nie istnieje. Na rynku powszechne są rozwiązania, które umożliwiają niszczenie dysków i cyfrowych nośników danych wewnątrz każdej organizacji. Współczesne niszczarki zasilane są prądem jednofazowym, nie wymagają specjalnej konfiguracji i dostosowania pomieszczeń. Oprócz tego, z biegiem lat zmniejszyły się gabaryty i niszczarki są w pełni mobilne, dzięki czemu mogą wykonywać swoją pracę bezpośrednio w miejscu powstawania danych czy składowania elektronicznych nośników. To wszystko znacznie ułatwia proces niszczenia, a tym samym zwiększa spektrum zastosowania w firmach, chroniąc przechowywane i archiwizowane dane na odpowiednim poziomie. Warto też wspomnieć o samym procesie niszczenia, który nie jest skomplikowany a mimo to skuteczny i bezpieczny. Oprócz pocięcia na parę ścinków, dysk jest dodatkowo deformowany, co sprawia, że w zasadzie odzyskanie danych staje się nieopłacalne i praktycznie nieskuteczne. Dodatkowo, w przypadku danych o wysokim stopniu tajności stosuje się niszczenie dwuetapowe, które jest rekomendowane chociażby przez narodową agencję bezpieczeństwa Stanów Zjednoczonych (NSA).
W przypadku dokumentów i zgromadzonych danych, zanim zaczniemy ich utylizację musimy upewnić się, że możemy się ich pozbyć. Jeśli chodzi o czas przechowywania, to w tej materii wyznaczają ten parametr odpowiednie regulacji prawne, które sprawiają, że przechowywanie danych konieczne jest przez określony czas. Dla przykładu, faktury należy przechowywać przez 5 lat, a listy płac przez 50 lat. Kolejnym argumentem przemawiającym za koniecznością utylizacji chociaż części zbiorów jest ekonomika. Jeżeli danych nie trzeba już przechowywać lepiej je zniszczyć. Ich przechowywanie kosztuje, i to coraz więcej, niezależnie czy mówimy o archiwach papierowych czy nośnikach cyfrowych. Druga kwestia to bezpieczeństwo. Przechowywanie możliwych już do utylizacji danych wiąże się również z ryzykiem ich wypłynięcia poza organizację, co może wiązać się z niewyobrażalnymi kosztami. Mowa tutaj np. o odszkodowaniach, które często wykraczają poza możliwości finansowe przedsiębiorstwa, z którego dane wyciekły.
Średni koszt jednostkowego wycieku danych w roku 2023 w Stanach Zjednoczonych to 9,5 miliona dolarów, a na świecie to także imponująca kwota 4,5 miliona dolarów. W tej kwocie zawiera się koszt odszkodowań, wartość utraty klientów i innych czynności związanych z opanowaniem sytuacji po wycieku.
Należy pamiętać, że dokumenty i wszystkie nośniki danych, które możemy i chcemy zniszczyć należy utylizować w miejscu ich przechowywania. To o tyle istotne, że firmy w dużej mierze decydują się na utylizację danych we własnym zakresie. Jeśli nawet podejmują współpracę z firmą zewnętrzną, to według normy ISO/IEC, nadal na nich spoczywa odpowiedzialność za bezpieczeństwo danych.
W przypadku wycieku informacji zleceniobiorca nie bierze, i nie może wziąć za to odpowiedzialności. Tak sformułowane przepisy zachęcają firmy o rozbudowanym zapleczu informatycznym do zaopatrzenia się w urządzenia niszczące nośniki danych. Transfer i przewóz nośników informacji do miejsca niszczenia, niesie za sobą ryzyko wycieku na każdym etapie tego procesu. Wiele osób i instytucji nie zdaje sobie sprawy z faktu, że bezpieczeństwo danych jest tym aspektem, na którym nie warto oszczędzać. Owszem, profesjonalny sprzęt niszczący nośniki danych w odpowiednim standardzie jest kosztowny, jednak przepisy RODO i regulacje UODO przewidują kary nawet do 20 mln euro, a globalne koszty mogą być liczone w milionach dolarów. Oprócz instytucji publicznych największy problem z bezpieczeństwem danych mają firmy z kategorii MŚP. W okresie od listopada 2021 r. do października 2022 r. na całym świecie wykryto prawie 16 tys. incydentów cyberprzestępczości, w tym 700 spraw dotyczyło małych firm. To pokazuje, że problem nadal istnieje i mimo powszechnej informatyzacji biznes zapomina o radzeniu sobie z problemem właściwej utylizacji nośników. Firmy w Polsce powinny zatem zadbać o proces niszczenia wewnątrz przedsiębiorstw zanim będzie na to za późno.
