Sikker sletting


Et område som ofte neglisjeres i IKT-sikkerhet er i den fasen hvor informasjonen ikke lenger skal benyttes. Enten at elektroniske dokumenter skal slettes, at fysiske dokumenter og utskrifter skal kastes eller at elektroniske lagringsenheter skal skiftes ut. Informasjon vil alltid ha verdi selv om virksomheten ikke lenger skal benytte den, det er derfor viktig å sørge for at informasjonen ikke kommer på avveier.

Sletting av elektroniske dokumenter høres ut til å være en enkel sak. På datamaskinen benytter man enkelt «delete»-funksjonen, eller flytter dokumentet til den logiske «papirkurven», så tenker man ikke mer på det. Det man skal være klar over er at en slik sletting ikke fjerner dokumentet fra maskinen. Det vil være relativt enkelt å hente dokumentet fram igjen. Dette er sjelden et problem så lenge maskinen eller lagringsmediet fortsatt skal beholdes, men dersom dokumentet ligger på et flyttbart lagringsmedium som deles med flere, eller som sendes til andre, skal man være klar over at slettede dokumenter kan hentes frem igjen. På nettvett.no er det laget en egen veiledning om sikker sletting.

Dokumenter og utskrifter på papir havner ofte i søpla. Mange har egen returordning for papir, og tenker at det er godt nok. Dokumenter som inneholder sensitive opplysninger eller personopplysninger bør makuleres før det overlates til renovasjonsselskapet. Papirmakulatorer finnes i mange former, og kan kjøpes hos bokhandler og andre butikker. Sikkerhetsloven stiller strengekrav til makulering av sikkerhetsgraderte dokumenter, spesielt legges det vekt på at papiret kuttes i tilstrekkelig små biter. Skal man anskaffe en papirmakulator kan det derfor være lurt å sammenligne ulike makulatorer for å se på hvor små biter de kan kutte. Det kan også være en løsning å brenne papirdokumenter, men for de fleste vil det være uhensiktsmessig å anskaffe en forbrenningsovn for dette formålet.

Avhending av lagringsmedier krever litt mer planlegging. Lagringsmedier inneholder ofte store mengde informasjon, og det kan være vanskelig å ha oversikt over all informasjon som befinner seg på lagringsmediet. Det er i hovedsak tre fremgangsmåter for å slette informasjon fra lagringsmedier:

  • Bruke programvare for å overskrive dataene slik at de ikke lenger kan hentes fram.
  • Avmagnetisering ved å utsette lagringsmedier for sterke magnetfelt (degaussing). Dette vil kun fungere på magnetiske lagringsmedier som tradisjonelle harddisker, og ikke på nyere SSD-disker.
  • Ved knusing deles lagringsmediet opp i små biter som gjør det svært vanskelig å rekonstruere informasjonen.

Det er også mulig å kombinere de ulike metodene for å ytterligere redusere muligheten for å hente fram informasjon fra lagringsmediet i ettertid.

For å bruke programvare til sletting kan virksomheten selv kjøpe denne type programvare, og gjøre jobben selv. Avmagnetisering krever en avmagnetiseringesenhet (Degausser). Disse kan være kostbare, og dersom virksomhetens behov for sletting er et lite antall lagringsenheter, er kanskje dette en for dyr løsning. Kverning krever godt utstyr, og dette er neppe noe den enkelte virksomhet vil anskaffe. I slike tilfeller vil det være fornuftig å ta kontakt med en leverandør av slike tjenester, og inngå en avtale om mengde og prosess for å få destruert lagringsmediene.

Se veiledning om sikker sletting på nettvett.no.