Jak wymienić sprzęt w firmie, żeby uniknąć wycieku danych i chronić środowisko? Wytłumaczył nam to ekspert Iron Mountain

ESG to hasło, które wśród przedsiębiorców ostatnio odmieniane jest przez wszystkie możliwe przypadki. Niektórzy wciąż traktują to jako fanaberię, inni na stałe wpisują te założenia społecznej odpowiedzialności biznesu w strukturę firmy. Proszę podpowiedzieć, jakie wyzwania czekają firmę, która na to się zdecyduje.

To temat zyskujący na znaczeniu, ale wciąż jeszcze raczkujący, szczególnie w państwach Europy Wschodniej. Polityka zrównoważonego rozwoju w oparciu o etykę środowiskową dopiero się rozwija, ale coraz więcej dobrych nawyków przychodzi do nas z Zachodu. Mówiąc o takiej polityce, mamy na myśli przede wszystkim ekologię, ale nie w kontekście wyłącznie deklaracji a głębszych, mierzalnych i szczegółowych założeń. Iron Mountain wspiera się globalnymi raportami. Te wskazują, że nasz region aktualnie goni sąsiadów. Prawda jest taka, że ponad 50 proc. firm w Polsce nadal przetrzymuje wyeksploatowany sprzęt IT. To kierunek, na którym warto się skupić. Wycofywanie z użytku sprzętu w zgodzie ze środowiskiem daje biznesowi ogromne możliwości. W ten sposób można maksymalnie odzyskać wartość zużytych urządzeń. Mogą one zostać rozebrane na części pierwsze i poddane recyklingowi, a nawet wprowadzony ponownie do obiegu.

Firmy chyba przodują w generowaniu takich elektrośmieci. Co jakiś czas jakieś biuro stwierdza, że czas na upgrade. Wymienia dyski lub całe komputery. Pracownicy cieszą się, że otrzymają sprzęt, który się nie zawiesza i... co dalej może dziać się z urządzeniami, których firma już nie potrzebuje?

Zazwyczaj istnieją dwie drogi. Firmy, które już mają opracowaną politykę zarządzania bezpieczeństwem i retencji danych czy też zasobów IT, mają przed sobą prostą ścieżkę. Często posiadają już zaufanych partnerów biznesowych, którzy współpracują w zakresie opieki nad takimi zasobami. Jest to efektywniejsze i łatwiejsze, kiedy wycofane z użytku urządzenia są przekazywane do specjalistów. Zadaniem takiego partnera jest przede wszystkim zweryfikowanie i gradacja sprzętu IT, czyli stworzenie raportu, który powie nam, co powinniśmy poprawić i czy dobrze nim zarządzamy. Jeżeli wprowadzono dotychczas odpowiednią politykę i zachowywana jest cykliczność procesów, jest nam znacznie łatwiej działać w tym zakresie. W takim przedsiębiorstwie zapewnienie urządzeniom drugiego życia jest praktycznie bezproblemowe.

Czas nie jest sprzymierzeńcem urządzeń elektronicznych. Technologia szybko idzie do przodu, gdzie w świecie technologii sprzęt IT szybko zastępowany jest nowszymi modelami, a cykl życia zasobów znacząco się skrócił. Nawet miesiąc może być krytyczny dla sprzętu w kontekście odsprzedaży. Optymalnie jest realizować taką wymianę cyklicznie. Jeżeli firma chciałaby pilotażowo wprowadzić proces „sprawdzenia swoich zasobów”, sprowadza się to do rozpoczęcia audytu, zweryfikowania zasobów, a następnie podjęciu odpowiednich kroków. Można to zrobić z pomocą firmy zewnętrznej, która kompleksowo opiekuje się sprzętem, zabiera go do centrum przetwarzania danych, a następnie, w wyniku analizy wytwarza raport, co można poddać recyklingowi, a co można wprowadzić ponownie do obiegu i odsprzedać. Pozwala to tym samym pomóc innym osobom, które nie potrzebują najnowocześniejszego sprzętu. Przede wszystkim jednak nie generujemy e-odpadów, a wyeksploatowane urządzenia nie trafiają na składowiska śmieci. Dzięki temu firma może też stworzyć dodatkowy strumień przychodowy, np. w postaci zwrotu pieniędzy z remarketingu. To z punktu widzenia biznesu jedno z kluczowych zagadnień. Aspekty ESG mogą współgrać z celami biznesowymi.

Mówimy tu także o kwestii reputacji marki. Żeby uniknąć takiego ryzyka lub dotkliwych kar, w procesie wycofywania z użytku sprzętu należy przestrzegać rygorystycznych standardów. Należy też wprowadzić kontrolowany łańcuch dostawy i nadzoru (chain of custody).

Jest Pan w stanie powiedzieć, które ze sprzętów, których firmy chcą się pozbyć są najbardziej pożądane na rynku wtórnym? Na co przedsiębiorca powinien zwrócić uwagę, kiedy sprawdza stan magazynowy?

Większość firm, jeśli mówimy o średnich i dużych przedsiębiorstwach, ma swoje zasoby, serwery i backupy, czy też, idąc dalej, nawet korzystają z data center. To kluczowe elementy. Warto też zwrócić uwagę na laptopy. To najbardziej eksploatowane i najczęściej wymieniane urządzenia. Kiedy zdarza się sytuacja, w której dochodzi do wymiany całej serwerowni, mamy do czynienia ze sprzętem, który z pewnością nadal działa i można go dalej wykorzystywać. Nie zawsze jest on też wydawany do partnera, a sprzęty często są niepotrzebnie składowane. Cykliczne są też wymiany nośników danych oraz bibliotek serwerów. Kiedy nośniki nie są wykorzystywane, są zastępowane nowymi. Wtedy dobrze byłoby zastanowić się, co dalej z nimi zrobić: wyczyścić dane czy zniszczyć urządzenia.

Zatrzymajmy się przy danych. Co jakiś czas możemy usłyszeć informacje o wyrzuconych na śmietnik sprzętach, które na dyskach twardych, czy innych nośnikach, wciąż miały zapisane wrażliwe dane, do których ktoś uzyskał dostęp. Jak taki sprzęt przygotować do utylizacji, lub oddania, żeby potem tego nie żałować?

Wspomniał Pan o przypadku niewłaściwej utylizacji sprzętu IT, który może nieść poważne konsekwencje zarówno dla bezpieczeństwa firmowych danych, jak i środowiska. Mówimy tu także o kwestii reputacji marki. Żeby uniknąć takiego ryzyka lub dotkliwych kar, w procesie wycofywania z użytku sprzętu należy przestrzegać rygorystycznych standardów. Należy też wprowadzić kontrolowany łańcuch dostawy i nadzoru (chain of custody). Dzięki temu wyeliminujemy czynniki, które mogłyby wpływać na wyciek danych lub pogorszenie wizerunku. Tu pojawia się aspekt, który dotyczy najczęstszych błędów w obszarze utylizacji odpadów. Mówimy o braku raportowania i kontrolowania własnych zasobów IT. Często zdarza się, że firmy działają w tym zakresie na własną rękę. Brak wiedzy o cyklu życia urządzeń elektronicznych może spowodować, że wynikną nieprzyjemności związane z wyciekiem danych.

W takiej sytuacji wystarczy sformatowanie dysków, czy należy zastosować dodatkowe metody?

Procedury powinna regulować wewnętrzna polityka firmy. Drugi czynnik to doświadczenie i wiedza, jaką dysponuje przedsiębiorstwo. Samo formatowanie nie jest skuteczną metodą usuwania danych, bo można je odzyskać. Międzynarodowy standard NIST-800-88 mówi, jakie są metody trwałego usunięcia danych z nośnika, poprzez fizyczne niszczenie czy też takie metody jak elektromagnetyczne impulsy lub kilkukrotne nadpisywanie danych specjalistycznymi programami.

Czyli najpierw kasujemy, a potem kilkukrotnie zapełniamy dysk, żeby "wypchnąć" nowymi plikami te dane, które gdzieś się "schowały"?

Dokładnie tak. Kilkukrotnie musimy nadpisać dane, aby w ten sposób głęboko wniknąć w dysk, aby dane, których nie chcemy udostępnić, nie były odczytywalne. Największy plus tej metody jest taki, że sprzęt pozostaje zdatny do użytkowania i można mu dać drugie życie. W przypadku fizycznego usuwania danych, tracimy taką możliwość i przyczyniamy się do wzrostu ilości elektrośmieci.

Na koniec proszę wyjaśnić znaczenie skrótu, który często pojawia się w materiałach na temat zarządzania starym sprzętem. Chodzi mi o SITAD, czyli Secure IT Asset Disposition.

To jeden z odłamów zarządzania cyklem życia sprzętu IT. Dotyczy bezpieczeństwa i zarządzania wycofanymi urządzeniami elektronicznymi, od momentu opracowania inwentarza, poprzez przejście przez wszystkie kroki dotyczące zgodności z przepisami w zakresie usuwania danych, przygotowania sprzętu do remarketingu i nadania mu drugiego życia, aż do informacji zwrotnej do danej spółki o przebiegu procesu oraz losach sprzętu. Obejmuje ona informacje „czarno na białym” wskazujące m.in. na to, co stało ze starym laptopem, który oddano do partnera biznesowego. Wdrożenie tego rodzaju strategii pozwala ograniczyć ryzyko naruszenia danych, kar od regulatorów oraz pogorszenia wizerunku marki, przy jednoczesnej realizacji zobowiązań środowiskowych.

Rozmawiał Mateusz Albin