不妥處理棄置舊硬碟 引發資訊安全問題

2018年05月21日

 

企業隨業務擴張自然會增購系統,擴展運算平台,然而在棄置舊有系統的流程上,往往會忽略最重要的一環 —— 安全處理舊硬碟。假如未有妥善處理舊電腦與舊硬碟,有機會令到企業內部營運,甚至是客戶的個人資料外洩,損失難以估計。

 

二手硬盤殘餘個人資料

一般在電腦上可以簡易操控的「刪除檔案」程序,其實並不能把資料完全清除,而棄置舊硬碟不周更是數據洩漏的成因之一。英國資訊科技長官辦公室(Information Commissioner's Office,ICO)在 5 年前曾經作出統計,發現在包括 eBay 上搜羅購買所得的二手硬碟機中,有 11% 的設備內的個人資料未有全部刪除 ;在 2012 年,台灣亦曾經有商業銀行因為不善處理二手硬碟,令大量客戶私人資料外流,最終被當地金融監督管理委員會,判署違反內部控制規定,最終公司管理層被罰款 。

客戶體驗是所有行業最重要的營運核心,所有企業對數據處理政策的態度愈趨認真。早前香港互聯網協會與雲端安全聯盟香港澳門分會,聯合公布《香港中小企雲端應用、保安及私隱就緒程度》調查報告,發現自從《個人資料(私隱)條例》實行之後,已經有超過九成半中小企制定公司政策保護客戶資料。該條例列明,違反保障資料原則並不直接構成刑事罪行,惟私隱專員可發出執行通知,指令違反的人士 / 機構採取補救措施。假如企業不遵守執行通知屬於刑事罪行,一經定罪,可被判處最高罰款港幣 。

調查更指出,本地有近七成中小企有進行數據重整及備份,並首度增設數據處置政策舊硬碟處理為當中最主要的部分。不過目前傳統報廢流程仍有不足,單是破壞硬碟結構,並不足以完整地摧毀數據。要萬無一失地把舊數據刪除,目前市面上主要有「兩軟一硬」的方式,但不同的處理方法各有利弊。其中在「軟件層面」上,有廠商提供專業數據刪除,以及低階格式化(Low-level Format)的應用。雖然成本較低,但是在技術上依然有不足之處,因為數據依然有機會儲存在硬碟上的「磁區」之內,所以私隱資料依然有機會被復原。

 

專業服務符合美國標準

以「硬件層面」出發的處理方式雖然成本較高,卻能杜絕後患。現時市場上有專業服務商,除真實地「碎毀」硬碟之外,更提供硬盤「消磁」服務,過程符合美國國家安全局(US National Security Agency)訂立的「國防部資料清除標準」,為用戶與企業帶來符合規範的收費數據消除服務,完成後更會發行證書,以及硬碟廢料送到合資格的回收商處理,萬無一失確保數據不外洩。

 

了解更多:

資料來源:

https://nakedsecurity.sophos.com/2012/04/25/second-hand-hard-drivespersonal-information/&sa=D&ust=1525868155286000&usg=AFQjCNE2gI9iHD03xg3kBjL0h-w13CCHpA

https://www.fsc.gov.tw/ch/home.jsp?id%3D131%26parentpath%3D0,2%26mcustomize%3Dmultimessage_view.jsp%26dataserno%3D201206070001%26toolsflag%3DY%26dtable%3DPenalty&sa=D&ust=1525868136051000&usg=AFQjCNF6L5S1Hb4aPrbZRtzRgQQJmPqTtA

https://www.pcpd.org.hk/tc_chi/data_privacy_law/ordinance_at_a_Glance/ordinance.html