你以為把檔案丟進回收筒,或者在雲端硬碟按右鍵刪除,資料就永遠消失了嗎?事實上,只要技術夠強,這些留下的數位碎片很可能被重新拼湊出來。當企業或個人停止使用雲端服務時,如果沒處理好,這些「數位遺產」就會變成嚴重的資安破口。
既然刪不乾淨,那該怎麼辦?台灣 CIO 雜誌 刊登的專欄指出,組織在運用雲端服務時,確保資料「安全清理」與「精確盤點」是雲端服務供應商與客戶必須共同承擔的責任。
為什麼這件事這麼重要?我們得先搞懂什麼是「資料安全清理」。簡單來說,這不是普通的刪除,而是要用特殊技術把儲存媒介上的資料徹底銷毀,讓任何鑑定手段都沒辦法還原。
這裡有個聽起來很酷的技術叫做「加密清除」。這就像是你把重要的寶藏放進一個堅固的保險箱,然後當眾把保險箱的唯一鑰匙給燒了。就算別人最後拿到了保險箱,因為沒有鑰匙解開裡面的加密資訊,裡面的內容對他們來說就只是一堆沒意義的亂碼,這就是一種不可逆的資料處置方式。
除了這種「燒鑰匙」的方法,還有所謂的「資料歸零處理」。想像有一張寫滿字跡的紙,我們用橡皮擦把所有字都擦掉,再用鉛筆在上面塗滿零,連續蓋過好幾次,直到原本寫了什麼都看不出來為止。在實務上,這甚至包含物理上的破壞,例如把硬碟丟進消磁機或是粉碎機,確保資料連個渣都不剩。
但是,在動手清理之前,你得先知道你的資料躲在哪裡。這就涉及到了「資料盤點」。
所謂的資料盤點清冊,就像是圖書館的圖書分類目錄。它記錄了資料的來源、儲存位置、是誰在用以及格式是什麼。如果不做盤點,就像是在一個沒有導覽圖的巨大迷宮裡找東西,你根本不知道哪裡還有殘留的副本或暫存檔。
有些資料是我們主動存進去的,但也有些是系統自動產生的,我們稱之為「衍生資料」,像是系統的登入紀錄或操作日誌。這些隱藏的資訊,通常需要雲端服務供應商提供技術支援才能找得出來。
我們該如何建立一份好的盤點清冊?邏輯很簡單,首先要了解業務需求,接著確定資料藏在哪些資料庫或電子郵件裡,然後幫這些資料貼上標籤,區分哪些是敏感的個人資料。最後,還要指派專人負責管理這些資料的正確與安全。
為什麼一定要這麼麻煩?因為這不只是為了安全,更是為了符合法律規範。像是大家常聽到的歐盟一般資料保護規則,或是台灣的個人資料保護法,都要求組織必須對手中握有的資料負起責任。
最後我們要問:如果你的企業明天要更換雲端服務商,你有把握舊的資料已經被完全處理掉了嗎?定期檢查與更新盤點清冊,並確實執行銷毀驗證,才是保護數位資產的長久之計。
[ 文章來源:資料安全清理與資料盤點定位及管理組織保有資料 ]
