Las unidades de disco informan que se han borrado, pero los datos aún están en la unidad
Las organizaciones tienen la responsabilidad de proteger los datos de los terminales (endpoints) en todo momento, incluso cuando pasan de un empleado a otro, se descartan o se donan a organizaciones benéficas. La falta de protección de datos confidenciales y críticos, incluida la PII, la propiedad intelectual, los secretos comerciales y la información clasificada, es una violación de las leyes, incluidas HIPAA, GDPR, CCPA, etc., y es un riesgo para la seguridad nacional. La pérdida de datos pone en riesgo la propiedad intelectual de los competidores, conduce a una percepción negativa de la marca, cuesta millones de dólares por incidente en multas y respuesta a incidentes y, en algunos casos, puede causar daños personales significativos.
Los líderes de TI lo saben y son diligentes a la hora de tomarse en serio la eliminación de datos cuando un dispositivo se reutiliza o se pone fin a su vida útil. Antes de que se realice la transición de los endpoints y las unidades, los líderes de TI siguen las prácticas ecomendadas de la industria para borrar las unidades mediante El Borrrado Seguro ATA, desinfectar, formatear NVM, etc. o pagar por servicios administrados para realizar borrados de unidades certificados.Los dispositivos de almacenamiento proporcionan una respuesta que indica que el comando de borrado se completó correctamente y, en teoría, que todos los datos se borraron correctamente.
Desafortunadamente, la investigación ha demostrado que estos informes de borrado de unidades informan falsamente que la unidad ha borrado todos los datos. En 2017, NAID, el organismo de establecimiento de estándares que aboga por las mejores prácticas en la destrucción segura de datos, encargó un proyecto de investigación en 250 dispositivos que buscaban específicamente PII en el almacenamiento encontrado en sitios públicos como eBay. La investigación mostró que se encontró que el 44% de las unidades tenían PII en las unidades. Lo preocupante es que el proceso de recuperación "no fue sofisticado ni se requirió capacitación forense avanzada. Todos los métodos aprovecharon el shareware descargable". Una investigación adicional realizada por CPR Tools, líderes en descubrimiento avanzado de datos, destrucción y análisis forense, determinó que el 80% de las unidades de estado sólido tenían datos confidenciales recuperables (no solo PII), utilizando técnicas avanzadas de recuperación de datos. Como resultado de este tipo de investigación, la NSA emitió una guía que requiere que los SSD se destruyan en PM9-12.
Hay muchas razones por las que las unidades informan falsamente que los datos se borraron. Por ejemplo, en algunos casos, el software de verificación no escanea todos los bloques. En otros casos, los comandos no se implementaron correctamente debido a que varias personas trabajaban en el mismo código o al desgaste del desarrollador durante el desarrollo del software. Otras razones incluyen sectores defectuosos, fallas de hardware, fallas de programas de borrado y simplemente errores humanos. Un desafío adicional, específicamente con las SSD, es la nivelación de desgaste y la necesidad de tener bloques adicionales para mover datos que a menudo no se escanean cuando se emite un comando de verificación de borrado.
Validación de borrado seguro al final de la vida útil
Para abordar estas brechas, Cigent inventó TrueErase, una verificación basada en firmware que escanea cada bloque en un SSD de almacenamiento Cigent DataSafe para verificar qué tipo de bloque es y si se ha borrado. A continuación, TrueErase muestra gráficamente para que el usuario vea los resultados. Cigent TrueErase™ es el único método fiable para verificar que un SSD se ha borrado realmente y se puede reutilizar de forma segura. Para verificar la eficacia de TrueErase, CPR Tools utilizó las técnicas de recuperación de datos más avanzadas disponibles, incluida la extracción de cada chip de memoria flash de la SSD y la búsqueda de datos para verificar que todos los bloques de una unidad se habían borrado realmente después de una verificación de TrueErase.
Captura de pantalla del escaneo fallido de TrueErase: