ADISA allgemein: https://adisa.global/about-us/

ADISA-Produktsicherung: https://adisarc.com/product-assurance-2023/

Liste der SERI-Desinfektionssoftware: https://sustainableelectronics.org/knowledge-base/sanitization-software-examples-information-sheet/

Initiative „Circular Drive“: https://circulardrives.org

IEEE 2883-2022: https://standards.ieee.org/ieee/2883/10277/

PODCAST-TRANSKRIPT:

Podcast 22 – Säuberung? WÄHLEN? IoT? Datenbereinigung mit Jonmichael Hands und Steve Mellings 

Oktober 2023

Eine der wichtigsten Funktionen jeder R2-Einrichtung ist die ordnungsgemäße Verwaltung, Verarbeitung und Bereinigung von datentragenden Geräten in elektronischen Geräten. Wir haben zwei Gäste in dieser Folge von Ask the R2 Guru, international bekannte Experten für Datenbereinigungsvorgänge und -techniken. Und ja, wir werden den Unterschied zwischen Purge und Clear diskutieren, was eine DIAL-Bewertung ist und was mit diesen neuen Geräten im Internet der Dinge zu tun ist. Ich bin RG von SERI, Champions of Electronics Sustainability.

Wir reden viel über Datensicherheit und -bereinigung, weil dies eines der Hauptanliegen der Kunden von R2-Einrichtungen ist. Um Ihnen Ressourcen zur Verfügung zu stellen, mit denen Sie mit diesen Kunden sprechen können, möchten wir uns über die neuesten Entwicklungen in den Bereichen Datensicherheit und -bereinigung informieren. Der neueste internationale Standard zur Speicherbereinigung ist IEEE 2883-2022, der die verfügbaren Methoden zur Datenbereinigung nach Gerät beschreibt. Der ADISA ICT Asset Recovery Standard 8.0 ermöglicht es einem Kunden mit Datengeräten, ihn mit einer ITAD-Einrichtung abzugleichen, die eine Datenbereinigung basierend auf der Datensensibilität und den Bedürfnissen jedes Kunden durchführen kann. Außerdem werden die detaillierten Anforderungen für den gesamten Datensicherheits- und -bereinigungsprozess beschrieben. Obwohl der R2v3-Standard weit gefasst ist und die Best Practices für die Verwaltung gebrauchter Elektronik zur Wiederverwendung und zum Recycling beschreibt, ist ein wichtiger Teil des R2v3-Standards die Datensicherheit und -bereinigung, wie in Kernanforderung 7 und Anhang B beschrieben. Bei SERI wissen wir, wie wichtig Daten sind Sicherheit und Desinfektion gelten für fast jede R2-Einrichtung auf der Welt, und wir sind bestrebt, diese Bedeutung und Sorge hervorzuheben, wenn wir uns für die Nachhaltigkeit der Elektronik einsetzen.

Und jetzt möchte ich meine beiden Gäste vorstellen – Jonmichael Hands, Berater der Circular Drive Initiative und Mitglied der IEEE Security in Storage Working Group. Jonmichael ist einer der Autoren des IEEE 2883-Standards. Wir begrüßen auch Steve Mellings, CEO von ADISA, die Administratoren des ADISA ICT Asset Recovery Standard, Version 8.

Roger Greive (RG) Beginnen wir damit, Sie beide zu fragen: Was sind Ihrer Meinung nach die größten Datenprobleme oder Herausforderungen für Kunden von ITAD-Einrichtungen? Jonmichael?

Jonmichael Hände (JM): Ja, ich weiß, eines der wichtigsten Dinge für Daten ist einfach die Datenklassifizierung. Wir sehen, dass viele Leute einfach nicht richtig grundlegende Verwaltungsaufgaben für Daten mit niedrigem, mittlerem oder hohem Geschäftswert erledigen, für die das eine äußerst wichtige Voraussetzung ist Wie Sie die Risikotoleranz des Kunden beschreiben, welche Art von Medienbereinigungsmethode oder -technik verwendet werden soll, wie mit den Daten umgegangen wird, aber ja, ich denke, viele dieser Unternehmen suchen nur nach ITADs, um das herauszufinden, aber es liegt an ihnen Unternehmen zu klassifizieren

(RG): Und Steve?

Steve Mellings (SM): Ja, ich stimme zu und guten Morgen, oder guten Tag, wo auch immer Sie sein mögen, ich stimme zu, JM, ich denke, eine der Herausforderungen in der ITAD-Community besteht darin, dass es die Wunderwaffe zu sein scheint, nach der die Leute suchen und die niemand mag Die Antwort sollte uns gut gehen, es kommt darauf an, und leider hängt es auch vom Kunden ab, und daher wird die Branche oft mit der Beantwortung von Fragen überlassen, für die sie möglicherweise nicht über alle zur Beantwortung der Frage erforderlichen Informationen verfügt. Wie weit müssen wir bei der Bereinigung von einer logischen Lösung gehen? Perspektive und eine physische Perspektive und ich denke, das ist eine der größten Herausforderungen. Roger, um die Frage direkt zu beantworten: Ich denke, ITAD muss jetzt ein bisschen mehr zum Leitfaden werden, wenn man dem Kunden helfen möchte, ihn zu retten selbst war der Satz, den ich kürzlich gehört habe, weil dies immer komplexer wird – Desinfektion und immer anspruchsvoller, und ich denke, dass die einheitliche Idee für die Desinfektion meiner Meinung nach der Vergangenheit angehören wird . Und ich denke, was wir anstreben, ist, Struktur und Reife innerhalb des Prozesses aufzubauen, und die Branche hat weltweit, glaube ich, in den letzten 10, 15 Jahren einen langen Weg zurückgelegt, und ich denke, dass die Desinfektion ein Prozess und eine andere Technik ist Schichten und unterschiedliche Komplexitäten, und ich denke, wir müssen als Branche anfangen und aufhören, nach der Wunderwaffe zu suchen – der Wunderwaffe und dem Baukasten-Beutel – einem multiplen Lösungspunkt, wenn Sie so wollen, denn die Kunden werden unterschiedliche Risikobereitschaften haben und unterschiedliche unterschiedliche haben Bedrohungsgegner, und sie werden unterschiedliche Datenkategorien und auch unterschiedliche Budgets haben, und all diese unterschiedlichen Arten von Diensten müssen von der Industrie berücksichtigt werden, und das ist meiner Meinung nach wirklich eine Chance, einen wirklichen Mehrwert allein durch Wissen und Wissen zu schaffen Aufklärung des Kunden über diesen Prozess.

(RG): Jonmichael, Sie haben von Ihrer Position aus, da es sich um eine halbadministrative Funktion handelt, einen Überblick über die ganze Sache – was hören Sie von den ITAD-Einrichtungen selbst?

(JH): Ja ... ich habe einige dieser ITAD-Anbieter interviewt und mit vielen Leuten gesprochen, die Software dafür schreiben, wie Tools zur Medienbereinigung und Datenlösch-Suiten. Einige von ihnen, die größeren, sind gut vernetzt und in das Geschehen in der Speicherwelt und die allgemeinen Speichertrends eingebunden; einige davon oder nicht, oder? Und so sehe ich eines der Dinge, die sehr, sehr schlecht sind, darin, dass dies ein Warnsignal ist oder wenn Sie eine Medienbereinigungssoftware sehen, die besagt, dass wir 50 verschiedene Löschalgorithmen und dann den DoD-Standard und 15-Pass-Over-Writes unterstützen – das ist Alles nur Müll und nichts davon ist mehr erforderlich, also denke ich, dass es zunächst nur darum geht, die modernen Spezifikationen für die Medienbereinigung zu verstehen, und ich denke, wir würden darauf eingehen IEEE 2883-2022 In diesem Vortrag denke ich ein wenig nach, aber das ist derzeit der Goldstandard für Medienhygiene und es ist eigentlich ziemlich einfach zu lesen, also erwarte ich nicht, dass jeder dieses Dokument liest, aber auf jeden Fall, wenn Sie ein ITAD verwalten und Wenn Sie Kundendaten auf diese Weise verwalten, sollten Sie dies lesen.

(RG): Lasst uns einen Moment zurückgehen, Jonmichael, zurück zu NIST 800-88. NIST – National Institute for Standards and Technology, eine amerikanische Gruppe, hat vor mehr als 800 Jahren ein Dokument 88-10 erstellt. Erzählen Sie uns etwas über den Ursprung davon und wo es heute steht.

(JH): Also, die Sache ist die, und ich denke, ich sage einfach so, wie Sie es gerade gesagt haben: Ich glaube, das Dokument wurde 2015 veröffentlicht, also glaube ich, dass es mit dem Entwurf im Jahr 2014 enden soll 2013 und 2014 – die Speichertechnologien haben sich seitdem ziemlich verändert. Offensichtlich war ich 2014 Produktmanager für das allererste NDD-Laufwerk bei Intel, und dort haben wir die allererste NBD-SSD auf den Markt gebracht. im Juni 2014, also gibt es da ein bisschen Erwähnung, aber es ist wirklich nicht ganz so modern und man braucht Geräte, die in Zukunft tatsächlich den Großteil der Speicherpreise ausmachen, oder? … der Verbraucherbereich verlagert Hunderte Millionen von Ndot-Super-SSDs in den Verbraucherbereich, um auf diesen Unternehmensbereich zuzugreifen – Hunderte von Exabyte, also ist dies das bei weitem größte Datensegment nach Einheitenzahl, daher ist es ziemlich wichtig, das zu verstehen, aber … Meistens ist es eines der wichtigsten Dinge ist, dass es sich bei NIST nicht um eine internationale Spezifikation handelt und es keine „Soll-Vorgaben“ gibt, was bedeutet, dass dies nicht möglich ist – es gibt kein formelles Compliance-Programm für NIST-800-88. Es gibt viele Leute, die ihr Bestes gegeben haben, um grundsätzlich in der Lage zu sein, die Einhaltung oder Einhaltung der Spezifikation zu beschreiben, aber es gibt keine tatsächlichen Anforderungen in NIST 800-88. Ich glaube nicht, dass die Leute das wirklich verstehen, aber Leuten außerhalb der USA ist es egal, was NIST zu sagen hat, daher hat IEEE 2883-2022 einen viel größeren Anwendungsbereich, da es sich um eine internationale Spezifikation handelt. Die andere wichtige Sache, die zwischen NIST 800-88 und IEEE 2883-2022 passiert ist, ist die Abschaffung einiger älterer Zerstörungsmethoden wie Schreddern, sodass der Wortlaut in IEEE 2883-2022 die Verbrennung, Desintegration und das Schmelzen in Bezug auf die Partikelgröße viel präziser beschreibt Und so denke ich, einfach blind eine Festplatte zu zerschlagen, nun ja, die Spurdichte … Sie erinnern sich, diese modernen Festplatten haben 10 Festplattenplatten drin und auf jeder Platte befinden sich zwei Terabyte an Daten und noch mehr, tatsächlich mehr – einer von einigen davon Die neuen Laufwerke sind gerade erst mit 2.4 Terabyte Daten pro Festplattenplatte auf den Markt gekommen – 10 Platten und damit über 500,000 Spuren pro Quadratzoll. Wenn Sie einfach versuchen, eine Festplatte zu zerbrechen, und dabei winzige Fetzen von drei oder vier Millimetern Größe übrig haben, ist das heute kein Problem mehr, und deshalb glaube ich nicht, dass die Leute wirklich wissen, wie dicht sie sind Daten sind und um die Dinge nicht beängstigend zu machen, wir verstehen, wie sie funktionieren, weil Menschen sie entwickelt haben, sodass wir auch wissen, wie wir die Daten verschwinden lassen können.

(RG): Steve, Sie arbeiten ständig mit Einrichtungen auf praktischer Basis. Wie reagieren Sie auf diese von Jonmichael beschriebenen Änderungen in der Speichertechnologie?

(SM): Ich denke, das erste, was ich sagen muss, und ich denke, dass dies umfassend umgesetzt werden sollte, ist, dass wir uns wirklich hinter IEEE 2883 als Bereinigungsspezifikation stellen müssen, weil es wirklich die beste ist, die es gibt. Daran besteht meiner Meinung nach kein Zweifel … es gibt Teile, und JM schreit mich nicht an … es gibt Teile in ihrer Arbeit, die wir anders interpretieren werden, denke ich, Roger, und darüber werden wir gleich sprechen, aber aus einer logischen Perspektive , die Spezifikation für die Desinfektion ist die, die wir befolgen müssen. Nun ist es bei der praktischen Anwendung, die wir sehen, schwierig, die Konformität zu überprüfen. Daher hat JM bereits zuvor einige Softwareanbieter erwähnt und wir sehen bei verschiedenen Softwareanbietern einen unterschiedlichen Reifegrad. Einige verstehen das wirklich, und unter der Haube haben wir ein Labor, in dem wir Produkte testen und schauen, welche Befehle an Laufwerke gesendet werden, von denen wir wissen, dass sie diese Befehle im Verhalten unterstützen. Wenn es nicht unterstützt wird, schauen wir uns genau an, welche Intelligenz Die Software hat es und wir sind in der Lage, eine Vorstellung davon zu bekommen, wie das Gute, das Schlechte und das Hässliche aussehen. Im Moment gibt es nur ein paar wirklich gute Produkte auf dem Markt und einige andere bemühen sich, einige dieser Anforderungen zu erfüllen, aber es gibt andere, und JM hat dies erwähnt, die weniger gut sind und das, was auf der GUI passiert, nicht das widerspiegelt, was gerade passiert den Bus überhaupt und wir sehen, dass Software mehrere verschiedene Optionen zur Bereinigung bietet, aber tatsächlich nur eine grundlegende Überschreibung durchführt, unabhängig davon, was Sie auswählen. Und ich denke, das ist die Herausforderung für die ITAD, denn wo entsteht Vertrauen – wo gewinnt man zuerst Vertrauen, aber wo kann Vertrauen geschenkt werden, und ich denke, dass im Moment sehr viel Vertrauen entgegengebracht wird in der Software, die den grundlegenden Teil unserer Sanitisierungsstrategie innerhalb der Branche darstellt; Und ich denke, dass es einige fantastische Softwareprodukte gibt, hinter denen einige brillante Unternehmen stehen, aber es gibt auch einige, die es aufstreben, und schlimmer noch, es gibt wahrscheinlich einige, die nicht auf dieser Seite sind. Nun geht es bei dem einen Teil, und ich würde gerne auf eine Tangente eingehen, wenn ich darf, nur um den Zerstörungsteil, und ich denke, dass IEEE 2883-2022 tatsächlich die beste Spezifikation ist. Ich denke, und ich würde das gerne auch mit JM besprechen, wenn wir dürfen – ich denke, dass die ITAD-Anlage über andere Gegenmaßnahmen verfügt, die die Wahrscheinlichkeit eines Angriffs auf eine zerkleinerte Partikelgröße verringern, und weil wir zwei Mil in der haben Im Labor überprüfen wir derzeit die Größe mit einigen optischen Bauteilen und einer Softwareanalyse, damit wir sehen können, wie die Elektronik freiliegt. Wir können sehen, wie ein Angriff auf einen 2-Mil-Schnipsel erfolgen könnte, aber die Wahrscheinlichkeit, dass sich diese Bedrohung in einem echten Angriff manifestiert, ist meiner Meinung nach sehr, sehr gering, wenn ein Stück geschredderter Festplatte aggregiert wird, sodass ich nicht weiß, wo Es ist unter anderem geschreddertem Material versteckt, es ist anonymisiert, sodass ich nicht weiß, wo es herkommt, und es befindet sich in einer sicheren Einrichtung – ich denke, wenn ein Bedrohungsgegner, der über diese Art von technischen Fähigkeiten und Motivation verfügt, den ITAD-Sektor angreifen wollte, dann ich Ich glaube nicht, dass es sich um die Größe der zerkleinerten Partikel handeln würde, da die Wahrscheinlichkeit eines erfolgreichen Angriffs so gering ist. Wahrscheinlich wäre es näher am Kunden, wenn ein Fahrzeug gerade die Anlage verlässt und die Antriebe möglicherweise noch intakt sind, und von unserer Seite bei ADISA haben wir nur – ich glaube, ich habe dieses Jahr noch nicht mit Ihnen darüber gesprochen , aber wir haben gerade ein Dokument zusammengestellt und bilden ein Komitee, um IEEE 2883-2022 zu akzeptieren und in der ITAD-Community anzupassen. Wir werden den logischen Teil akzeptieren, weil wir glauben, dass er das Beste ist, was es gibt.  Die Anpassung besteht darin, dass wir empfehlen, zusätzliche Gegenmaßnahmen zu ergreifen, um die Wahrscheinlichkeit eines Angriffs auf geschreddertes Material zu verringern. Ich denke, genau da kann die Branche, Roger, diese Spezifikationen in diesen Normen wirklich nutzen und sie an Umgebungen anpassen, für die sie nicht unbedingt geschrieben wurden – was bedeutet, dass man das Beste aus allen Welten bekommt.

(RG): Wenn wir uns damit befassen, Jonmichael, liegt der Schwerpunkt stark auf der Säuberung im Vergleich zu den Clear-As-Methoden. Könnten Sie uns bitte die grundlegende Definition des Unterschieds zwischen diesen beiden erläutern und erklären, warum die Säuberung so wichtig ist?

(JM): Ja, klar, es war wirklich dazu gedacht, vor nicht-invasiver Datenwiederherstellung zu schützen. Beispiel: Jemand geht in ein Rechenzentrum, nimmt ein Laufwerk, fügt es in ein System ein und kann einfach grundlegende Softwaretools verwenden, um die LDA-Spanne zu lesen – die Blöcke des Geräts zu lesen, damit es schnell geht. Eine schnelle, kostengünstige und einfache Möglichkeit, einer solchen einfachen Datenwiederherstellung vorzubeugen

(RG): Was macht das? Was macht Clear eigentlich?

(JM): Ja, das ist also die Frage … die gibt es tatsächlich und der Grund, warum mir die Art und Weise, wie 2883 dargestellt ist, wirklich gefällt, können Sie zum Abschnitt „Klar“ gehen und sagen: „OK, ich habe ein SATA-Laufwerk … was ist klar für SATA?“ Ich habe ein NVMe-Laufwerk. Was ist für NVMe klar? Es gibt also ... also einen der größten Unterschiede, und ich werde gleich darauf eingehen, dass die SSDs heute so funktionieren: Wenn sie einen NAND-Controller haben, haben sie ein wenig DRAM; Der Controller greift grundsätzlich auf viele Pakete zu, aber NAND-Flash funktioniert so, dass er gelöscht werden muss, bevor er programmiert werden kann. Der Grund dafür ist einfach die grundlegende Physik, bei der schwebende Daten die Elektronen der Zellen aufladen und diese entfernen müssen Bevor Sie Ihre Zelle programmieren – aber aus diesem Grund haben SSDs freien Bereich, sie verfügen über eine Überprovisionierung, sie haben zusätzlichen Speicherplatz und die tatsächliche Zuordnung dessen, was der Host für einen Block hält, zu dem, was die SSD tut, ist tatsächlich logisch – sie ist nicht physisch Daher werden die Daten ständig dynamisch auf dem Laufwerk verschoben und verschoben. Daher gibt es Stellen auf dem Laufwerk, an denen es sich möglicherweise um Benutzerdaten handelte oder bei denen es sich jetzt um Benutzerdaten handelte oder die über den vom Host bereitgestellten Speicherplatz hinausgehen Daher ist einer der Hauptunterschiede zwischen „Clear“ und „Purge“ darin zu sehen, dass „Purge“ tatsächlich dafür sorgt, dass alle Daten vollständig entfernt werden, bei denen es sich um überdimensionierten Speicherplatz handelt, der jeden Ort blockiert, an dem sich Benutzerdaten befanden. Bei einem Clear handelt es sich also lediglich um das Entfernen von Benutzerdaten und von der Host-Schnittstelle sowie um deren Überprüfung. Andere Dinge wie Purge konzentrieren sich also stark auf den eigentlichen Sanitize-Befehl in SAS und SATA, bei dem der Sanitize-Befehl tatsächlich sehr robust für Sie ist Sie können den Desinfektionsbefehl nicht stoppen und dann beispielsweise sagen, dass Sie die Desinfektionsbefehle senden. Sie können nicht einfach das Laufwerk herausziehen und/oder versuchen, den Befehl abzubrechen, von dem aus wir die Desinfektion ausführen, bis er abgeschlossen ist, und dies nicht bestätigen Alle Befehle außer dem Lesen von Protokollen usw. – es werden alle Datenbefehle an das Laufwerk verweigert, sodass sichergestellt ist, dass es nach dem Senden des Befehls das Laufwerk selbst bereinigt – es kann nicht gestoppt werden, daher gibt es einige Verbesserungen bei der Bereinigung Dies macht den eigentlichen Sanitize-Befehl zu einer viel robusteren und zuverlässigeren Methode.

Es gibt also einige Stellen, die wir als Erstes verwenden würden, da die interne Wiederverwendung von einer Organisation zu einer anderen völlig akzeptabel ist. Der Unterschied besteht darin, dass die meisten älteren Laufwerke das Löschen immer in irgendeiner Weise unterstützen, wie wir die Spezifikation geschrieben haben, aber die Bereinigung – es gibt einige Anforderungen, insbesondere in Bezug auf die Arten der Bereinigung – so wie Sie über die Medienbereinigung sprechen, und ich wieder Ich bin ein Verfechter dessen, weil ich viele Leute bei ITAD sehe, die über Laufwerkslöschung oder Datenlöschung reden – das sind keine tatsächlichen Definitionen und Sanitization ist eine Definition und wir können sie definieren, oder? Die Idee von Sanitize Purge besteht im Wesentlichen darin, alle Benutzerdaten so entfernen zu können, dass eine Datenwiederherstellung selbst mit hochmoderner Ausrüstung nicht möglich ist, sodass die Bereinigung einem sehr raffinierten Angreifer dies verwehren könnte hat Zugriff auf die physische Baugruppe, die physische Schnittstelle und sogar auf Exploits für die Firmware, und so weiter – die Bereinigungsmethode ist so konzipiert, dass sie grundsätzlich alle Daten irgendwo entfernt, die Benutzerdaten waren, und zwar auf eine sehr robuste Art und Weise, also ja – nur um noch einmal die Wichtigkeit der Terminologie hervorzuheben Es gibt Bereinigungsmethoden, also Löschen, Bereinigen und Zerstören, und innerhalb der Bereinigung haben wir dann drei Techniken: Blocklöschen, Kryptolöschen und Überschreiben. Der Grund, warum es drei davon gibt, ist, dass es unterschiedliche Medientypen gibt, oder? Die IEEE 2883-Spezifikation deckt tatsächlich die wichtigsten Speicherschnittstellen ab, nämlich SATA, SAS und NVMe.

(RG): Können Sie bitte noch einmal sagen, welche drei Typen es gibt?

(JM): Es gibt also drei Bereinigungsmethoden: Löschen, Bereinigen und Zerstören, und innerhalb der Bereinigung gibt es drei Techniken: Überschreiben, Blocklöschen und Kryptolöschen, und natürlich die Leute, die die NVMe-Spezifikation und die SAS-Spezifikation für die SATA-Spezifikation für die Bereinigung geschrieben haben Befehl waren auch die Autoren von 3, also machen Sie sich keine Sorgen, dass dies in diesen Spezifikationen sehr, sehr deutlich zu sehen ist, wenn Sie den Sanitize-Befehl über die Speicherschnittstelle senden. Sie können eine dieser drei Techniken auswählen – Überschreiben wird hauptsächlich für Festplatten verwendet, da Festplatten wiederum nicht über das verfügen, was ich gerade beschrieben habe, nämlich eine SSD. Sie müssen die Daten löschen, bevor Sie sie schreiben. Auf einer Festplatte können Sie die Daten einfach überschreiben. Wenn Sie also Daten auf einer Festplatte löschen. Die Festplatte löscht eigentlich keine Daten, schreibt keine Nullen über diese Daten, sondern löscht nur. Wenn Sie Daten im Dateisystem löschen, aktualisiert sie lediglich das Dateisystem – es passiert nichts. Es befinden sich also Datenreste auf dem Laufwerk. Wenn Sie möchten, greifen Sie zu einer Festplatte und selbst wenn jemand das Dateisystem entfernt, verhindert das nicht die Datenwiederherstellung durch einen raffinierten Angreifer, der weiß, wie man die logische Schnittstelle untersucht und die Daten rekonstruiert.

(RG): Das ist also so, als würde man das Inhaltsverzeichnis aus einem Buch herausreißen, aber den Text des Buches belassen …

(JM): Genau, und das ist eine absolut fantastische Art, es zu beschreiben. Überschreiben ist also eine Möglichkeit für Festplatten, und das Gute daran ist, dass sogar wirklich alte Festplatten dies unterstützen. Nun ist die kryptografische Löschung tatsächlich die effektivste und effektivste Methode zur Medienbereinigung, aber der Grund, warum sie nicht von allen Laufwerken unterstützt wird, liegt darin, dass nicht alle Länder verschlüsselte Laufwerke unterstützen und es rechtliche Konsequenzen gibt, und ich weiß, dass es große Bedenken gibt, insbesondere bei Systemen wie dem Versand Laufwerke innerhalb eines Systems von großen OEMs, die diese in Regionen wie Russland oder China versenden, die möglicherweise keine Laufwerke mit Verschlüsselung wünschen, und daher ist dies äußerst bedauerlich, da durch die Kryptolöschung alle Daten sofort entfernt werden können, indem der Kryptoschlüssel bereinigt wird und alle Daten verschlüsselt bleiben und das geht also viel schneller, oder? Während das Überschreiben einer modernen Festplatte 20 oder 30 Stunden dauern kann, können Sie eine Krypto-Löschung in etwa ein oder zwei Sekunden durchführen, und wenn Sie alle Voraussetzungen für die Krypto-Löschung erfüllen, ist sie tatsächlich genauso sicher … das ist sie eine offizielle Löschmethode, was bedeutet, dass Sie selbst mit modernster Ausrüstung nicht auf die Daten zugreifen können.

(RG): Und ich würde den Hörern des Podcasts raten, sich eine Kopie von 2883 zu besorgen und einen Blick auf Anhang B zu werfen, denn dort ist eine wirklich tolle Beschreibung dessen, was Kryptolöschung ist und wie sie funktioniert. Es ist gut geschrieben, es ist auch nicht so technisch … es ist für normale Menschen verständlich.

(JM): Ja, der einzige Vorbehalt ... Ich weiß, das ist irgendwie Steves Steuerhaus. Ich bin jetzt mit all diesen erstaunlichen Desinfektionstechniken einverstanden. OK, und vielleicht möchten Sie je nach Speichermedium, unterschiedlichem Laufwerkstyp oder Ihrem Laufwerk unterschiedliche anwenden unterstützt, aber wie geht das, wenn Ihr Laufwerk ein Sanitize-Skript unterstützt, das die Anforderungen in einem ESP erfüllt? Leider ist das heute nicht möglich, und das ist der Punkt, an dem Drittanbieter Testhäuser und Zertifizierungslisten haben, die den Anbieter fragen und reden … das sind äußerst wichtige Dinge, die Sie wissen sollten, bevor Sie einige dieser Strategien umsetzen.

(RG): Und Steve, das führt direkt zu meiner nächsten Frage an Sie … ADISA, Ihre Organisation, hat den ICT Asset Recovery 8.0-Standard entwickelt, der diesen Prozess, aber alles andere drumherum umfasst … können Sie uns etwas mehr darüber erzählen, was im Allgemeinen passiert? ADISA 8.0 ist und funktioniert?

(SM): Ja, absolut Roger, wir machen das jetzt schon seit 12 bis 13 Jahren. Die ITAD-Zertifizierung, die im Vereinigten Königreich begann, findet immer noch überwiegend im Vereinigten Königreich statt, aber unser Fokus liegt auf Daten – Datenkonformität und Datenbereinigung, also schauen wir uns an, wo das Risiko durchdringen könnte Wir analysieren den Prozess und prüfen anhand von Kriterien Gegenmaßnahmen, die eingesetzt werden müssen, um dieses Risiko entweder für den physischen Vermögenswert, die Compliance oder den logischen Vermögenswert zu verringern. Deshalb haben wir uns in den letzten drei Jahren weiterentwickelt, nachdem wir mit dem Prozess begonnen haben. Wir sind nun ein anerkanntes britisches DSGVO-Zertifizierungssystem, was bedeutet, dass wir von der Regulierungsbehörde hier im Vereinigten Königreich als gesetzeskonform bewertet wurden, und das hat zwei Jahre gedauert Jahre der Entwicklung mit ihnen und wir haben im Vereinigten Königreich Prüfungen dagegen durchgeführt und wir haben aufgrund des Brexit eine EU-Version. Wir haben jetzt eine EE-Version, die auch beim irischen Datenkommissar erhältlich ist, und das hoffen wir um es zu schaffen, dies für ein EU-DSGVO-Compliance-System auf den Punkt zu bringen. Das Interessante dabei ist, und wenn ich kurz auf IEEE 2883-2022 eingehen möchte, ist, dass wir zum Zeitpunkt der Erstellung des Standards unsere Spezifikation für die Sanierung herausgezogen haben, so dass es sich um ein eigenständiges Dokument handelt, und der Grund, warum wir das getan haben, ist dieser Wir brauchten es, um uns mit den richtigen Kontrollen, Verfahren und ähnlichen Dingen weiterentwickeln zu können. Wir mussten uns häufiger weiterentwickeln als in einem dreijährigen Revisionszyklus eines Standards, da sich Technologie und forensische Datenwiederherstellungstechniken, würde ich sagen, fast monatlich weiterentwickeln und auch das Wissen, wie ich es ausdrücke, sich weiterentwickelt. Und um auf den Punkt zurückzukommen, den Sie über die Branche erwähnt haben, mit der die ITAD-Gemeinschaft sehr viel zu kämpfen hat, und ich denke, Zweifel an der Hygiene sind das Einzige, woran sie keine Zweifel haben dürfen, und das hier ist es Ich denke, wenn man sich IEEE anschaut, warum wir gerade, 2883 Ich sollte sagen, warum wir gerade seine Einführung empfohlen haben, ist dies die beste Spezifikation von a Auf lange Sicht kann es dazu führen, dass sehr viele Kopfschmerzen verschwinden und alle Zweifel verschwinden. Wie man die Compliance überprüfen kann, ohne das zu tun, ist komplex und erfordert, dass ein Labor ziemlich umfangreiche Tests durchführt, was wir im Moment tun, aber das ist nicht unbedingt der Fall Meiner Meinung nach geht es darum, dass die ITAD-Gemeinschaft dies tut und sich in ihrer Einrichtung darum kümmert. Es geht meiner Meinung nach darum, dass ihre Softwarepartner dort die Last übernehmen und tatsächlich damit beginnen, Produkte zu präsentieren, die, wenn man die Haube öffnet, tun, was sie sagen, und zwar bedeutet, dass wir dies anhand von Spezifikationen wie 2883 überprüfen können.

(RG): Wenn die IT-Einrichtung ein Produkt zur Datenbereinigung kauft, ist ein gewisses Maß an Vertrauen damit verbunden. Sie möchten sicher sein, dass es effektiv ist und sich an die sich ändernden Bedingungen anpassen kann, die Jonmichael mit Worten beschreibt der sich entwickelnden Technologie. Was ist mit allem anderen rund um den Datensicherheitsprozess, den Ihr ADISA-Standard 8.0 in Bezug auf die Zusammenführung eines Lieferanten dieser Geräte mit einer IT-Einrichtung zur Bereitstellung dieser Dienste anspricht – Sie nennen es DIAL?

(SM): Ja, Roger, das ist eine etwas unpopuläre Sichtweise … Als wir hier also mit der Arbeit mit der Regulierungsbehörde begannen und ich wusste, dass es sich um einen internationalen Podcast handelt, werden viele Leute in den USA wahrscheinlich denken, dass er nicht relevant ist Aber innerhalb der DSGVO in der EU und im Vereinigten Königreich sowie in sehr vielen globalen Datenschutzgesetzen verwenden sie Begriffe wie „angemessen“, und das liegt daran, dass das Gesetz auf einen Metzger und einen Bankier anwendbar sein muss und sie daher nicht angeben können, was außer dem Risiko anwendbar wäre Eigentümer, der Datenverantwortliche soll eine angemessene Bewertung durchführen, damit er anhand seiner Bedrohungsgegner, Datentypen, Datenkategorien, Datenmengen – all dieser Arten von Metriken – bestimmen kann, was für ihn angemessen wäre . Als wir der Regulierungsbehörde also unseren Industriestandard vorlegten, die Kontrollen, die Kriterien, die wir eingeführt haben, die mit den Kontrollen – ADISA hatte sie spezifiziert, und sie sagten sofort, das sei nicht angemessen, es brauche den Risikoeigentümer und das geht zurück auf Einer von JMs Punkten vorhin: Die Kunden müssen anfangen, mehr davon zu spezifizieren, weil das die einzige Möglichkeit ist, wirklich Beweise unter Kontrolle zu haben. Was wir also mit Standard 8 gemacht haben, ist, dass wir zu einem sehr alten Prozess zurückgekehrt sind, der aus CSG stammt, einem Ableger des GCHQ, dem heutigen nationalen Cybersicherheitszentrum namens Information Assurance Standard 1, das sich mit Tabellen zu geschäftlichen Auswirkungen befasste Es gäbe eine Reihe von Kennzahlen, anhand derer Sie sagen könnten, dass ich eine Auswirkungsstufe von 1,2,3, 4, XNUMX oder XNUMX oder was auch immer habe, und die Menschen in Ihrer Lieferkette würden Sie entsprechend behandeln. Und so haben wir diesen Prozess in die Data Impact Assurance Levels umgewandelt und das ist ein Prozess – fünf Fragen, die Kunden an ITAD durchgehen müssen und sie müssen darüber sprechen, wer ihre Bedrohungsgegner sind, wie hoch ihre Risikobereitschaft ist (I Ich bin eigentlich nicht damit einverstanden, dass es sich um ein Budget handelt.) Ich habe versucht, das Budget durchzubringen, aber sie haben das abgelehnt, aber niemand sagt: „Hey, ich habe eine große Risikobereitschaft, aber vielleicht sagt jemand, ich habe kein Budget und deshalb Ich muss akzeptieren, dass das Risiko den gesamten Prozess durchdringt, also der Bedrohungsgegner, die Risikobereitschaft, das Datenvolumen, die Datenkategorien. Und dann schauen wir uns auch die Auswirkungen einer Datenschutzverletzung an – was passieren würde, und das ermöglicht den Kunden des ITAD muss ihre eigene DIAL-Stufe entwickeln, also 1-2 oder 3, wobei drei die höchste ist, und das bedeutet, dass der Service, den die ITADs liefern sollen, der Wählbewertung entspricht. Wenn es sich also um eine Wählstufe 3 handelt, würden wir Ich würde viel mehr Ebenen der physischen Sicherheit erwarten – wir würden viel mehr Details über die Produktkette während des Transports erwarten, also wäre es eine Seriennummernverfolgung während des Transports, Sie verstehen schon –, dass es ITADs ermöglicht, ihren Service individuell anzupassen auf einer Kennzahl, die ihnen ihre eigenen Kunden mitteilen. Die Idee ist, dass dadurch das Konzept beseitigt wird, dass jeder eine Spezifikation in einen Auftrag einlädt, ohne wirklich zu verstehen, warum er immer nur Berührungspunkte anhäuft –, Standards auf die Spezifikationen und Zertifizierungen häuft und die Bereitstellung dieses ITAD-Dienstes wirklich schwierig macht Der Kunde sagt, ich will alles. DIAL wurde entwickelt, um den Kunden tatsächlich zum Mitmachen zu bewegen – das klingt zwar etwas provokant –, ihn dazu zu bringen, über seine Rolle dabei nachzudenken, über sein operatives Umfeld, damit die ITAD einen Service bietet, der ausreichend, aber nicht zu viel ist, und uns ermöglicht, ein gewisses Maß an Kostenkontrolle zu behalten, aber auch die Einhaltung der Vorschriften nachzuweisen und den Nachweis zu erbringen, dass wir einen vom Verantwortlichen festgelegten Service erbringen, was genau dem entspricht, was das Gesetz vorschreibt.

(RG): Dieser Prozess der Zusammenführung von Anbietern von Datengeräten mit den Einrichtungen, die die Sanierung dieser Geräte verwalten, mündet also in die größeren betrieblichen Aspekte von ADISA 8.0 mit Dingen wie der Verwendung von IEEE 2883 als Grundlage für diesen Standardisierungsprozess. Auf diese Weise beginnt es, R2v3 zu verknüpfen, eine ähnliche Methode mit einem Gesamtsatz an betrieblichen Anforderungen für Einrichtungen, die Datenbereinigung durchführen, und welche Sicherheitsmaßnahmen sie anwenden müssen. Es handelt sich um einen interessanten Prozess, der sich mit der Zeit ändern muss, insbesondere mit der Entwicklung von Dingen wie Internet-of-Things-Geräten oder Geräten wie Wearables oder Uhren, die möglicherweise nicht über eine eher standardmäßige oder erwartete Desinfektionsmethode verfügen. Eine Frage an Sie beide, während wir uns mit dieser Entwicklung von Geräten und den allgegenwärtigeren und manchmal verborgenen Datengeräten in anderen Geräten befassen: Wie können diese Änderungen vorhergesehen werden und wie werden sie angegangen? Jonmichael?

(JH): Ich weiß, dass SERI in diesem Bereich arbeitet und einige Spezifikationen hat, aber ich möchte nur im Namen der IEEE-Arbeitsgruppe für Sicherheitsgeschichten darüber sprechen, also wird es ja einen 2883-Punkt geben Als nächstes wird es die wahrscheinlichste Ausgabe von 2024 sein, die Dinge wie eMMC-NAND-Geräte enthält, die sich auf einem Telefon befinden würden, oder wie eine SD-Karte. Es wird eine weitere Spezifikation geben, die einfach definiert – OK, wenn Sie ein Gerät haben möchten Das kann sich selbst bereinigen, wie eine gute Bereinigung aussehen würde und im Grunde definieren, wie diese Bereinigung unabhängig von bestimmten Schnittstellen aufgebaut ist. Ich habe erwähnt, dass IEEE 2883-2022 einen großen Fokus auf die Speicherschnittstellen SATA, SAS und NVMe legt. Es überrascht nicht, dass viele der Autoren stark in die Speicherwelt investieren, und um fair zu sein, werden dort heute die meisten Daten der Welt gespeichert, aber es gibt einen großen Teil davon, ich glaube, ein Drittel des NAND-Marktes sind diese mobilen Geräte und Es ist wirklich so, als wären Sie Apple und würden die Werkseinstellungen zurücksetzen. Okay, wir vertrauen darauf, dass sie alle ihre Benutzerdaten entfernen, indem sie die Verschlüsselungsschlüssel bereinigen und dabei die richtigen Dinge tun, aber Sie kaufen ein Android-Telefon für 30 US-Dollar – Entfernt das Zurücksetzen auf die Werkseinstellungen tatsächlich die Daten? Es ist nicht ganz klar, also denke ich, dass es äußerst schwierig ist, jeden einzelnen Gerätetyp abzudecken, und ich begrüße SERI dafür, dass es versucht hat, aber um es klarzustellen: Ich denke, die Art und Weise, wie man darüber nachdenkt, ist die Priorität der Wiederverwendung und der Kohlenstoffemissionen, im Allgemeinen skaliert es mit den Kosten des Geräts. Wenn Sie also an ein Gerät denken, das mehr kostet als die Priorität für die Wiederverwendung und Nutzungsverlängerung dieses Geräts, sollte es höher sein, weil die COXNUMX-Emissionen aus der Herstellung an sich höher sein werden, weil es teurer ist, oder? Das bedeutet, dass die Herstellung teurer ist. So würde ich also über dieses Problem denken, und es ist eine Herausforderung, weil sie sagten, dass es Hunderte Millionen Geräte geben wird und wie stellen wir sicher, dass all diese Dinge letztendlich nicht zu desinfizieren sind Etwas sollte nicht größer sein als der Wertgewinn für die Desinfektion.

(RG): Und zugegebenermaßen sind die meisten Datenmengen, die in einem Speicherzentrum oder einem Raum voller Server gespeichert werden, viel größer als das, was in einer intelligenten Türklingel, einem Thermostat oder einem Mietwagen gespeichert ist, aber es sind immer noch Daten da draußen, die sich ständig bewegen Mit der Zeit und in jedem Land der Erde dringt es durch diese Geräte, die in unserem Leben immer allgegenwärtiger werden, in unsere Gesellschaft ein. Und wir haben eine Datenexperten-Arbeitsgruppe mit SERI, die sich mit diesem Thema befasst, und Steve, Ihr Cheftechnologe Phil Turner ist ein Mitglied dieser Gruppe, ebenso wie Sie, Jonmichael, und wir danken Ihnen beiden für Ihre Teilnahme daran, denn es ist ein kleines Problem Wir haben ein bewegliches Ziel im Hinblick auf die globale Sicht auf die Entwicklung der Technologie, die uns umgibt, erreicht, mussten uns aber gleichzeitig mit den tatsächlichen Prozessen befassen, die unsere Anlagen nutzen, und auch mit den verwendeten Standardisierungsmethoden.

Ich möchte noch einmal auf etwas zurückkommen, das Sie Jonmichaels Begriffe der nachhaltigen Aspekte und der COXNUMX-Auswirkungen unserer Arbeit angesprochen haben, und Steve, das ist etwas anderes, worüber Sie vielleicht sprechen können, wie die DIAL-Methode Ihre Möglichkeiten anspricht Beitrag zur Kreislaufwirtschaft … Wie passen diese Unternehmen zusammen und tragen zum Prozess der allgemeinen Nachhaltigkeit und Kreislaufwirtschaft bei?

(SM): Ich gehe hier zuerst vor, Roger, weil sie nicht weiterleiten, weil ich hier bei ADISA nicht der technische Köpfchen bin, also leite ich JM weiter, vielleicht um das aufzugreifen … wenn man sich die innere Zirkularität anschaut Bei ITAD könnte man über frühe, frühere Aktualisierungszyklen und solche Dinge sprechen, und man kann über das Recht auf Reparatur sprechen, und das ist nicht unbedingt das, was ich jetzt behandeln werde, aber ich werde mich mit dem einfacheren Thema befassen, nämlich der Zerstörung von Menschen einwandfrei funktionsfähige Geräte. Das könnte nun anekdotisch sein, denn ich habe keine wirklichen Kennzahlen dafür. Ich habe den Eindruck, dass dies typischerweise entweder auf Angst und Sorge vor Risiken zurückzuführen ist, sei es ein theoretisches Risiko oder ob ein tatsächliches Risiko für ihre Daten bestehen bleibt, oder es könnte einfach sein, dass es sich um ein Risiko handelt Einfache Lösung, mit anderen Worten: Wir möchten nur einen Prozess durchführen, bei dem wir alles vor Ort zerstören können und sehen können, wie es zerstört wird. Wenn wir als Branche über nachhaltige IT sprechen, müssen wir den Produktlebenszyklus so weit wie möglich verlängern. Bevor wir also über Reparatur und Vorbereitung zur Wiederverwendung sprechen, müssen wir uns mit all den guten Dingen befassen, die in R2v3 enthalten sind und die wir verwenden Nicht abgedeckt, wir müssen uns mit der Sanierung befassen und wir müssen sicherstellen, dass Menschen, die sich auf intellektuelle Weise in den Prozess einbringen, auf Standards für Zertifizierungen achten und Sicherheit aufbauen können, und darum geht es, Sicherheit aufzubauen und Vertrauen aufzubauen, dass sie es können Akzeptieren Sie ein gewisses Maß an Risiko, weil nichts perfekt ist, und akzeptieren Sie ein gewisses Maß an Risiko, um entweder aus Sicht der Nachhaltigkeit oder aus finanzieller Sicht das Gemeinwohl zu erreichen, und stellen Sie ihr „Wir müssen zerstören“ wirklich in Frage, denn wenn Sie zerstören müssen, ist das absolut die Sache jeder Organisation Anforderung, aber ich denke oft, dass es das klassische Sprichwort ist, dass man nie gefeuert wird, wenn man IBM kauft – natürlich gibt es auch andere Hersteller, aber ich denke, wenn man seine Geräte zerstört, bekommt man in den Augen von niemandem Ärger Vielmehr besteht ein Risiko für die Daten, weil die Medien effektiv zerstört wurden – es gibt Wiederherstellungstechniken, aber sie wurden effektiv zerstört. Ich denke, wir müssen das in Frage stellen. Was DIAL bewirkt, ist, dass es Organisationen ermöglicht, zu erkennen, wer sie selbst sind. Wenn ich also eine DIAL 1-Organisation bin und Laufwerke zerstöre, gibt es da eine große Diskrepanz. Wirklich, die einzige Art von Organisation, die Medien vernichten sollte, natürlich nicht nur Laufwerke, sind diejenigen, deren Daten für sie einen so hohen Wert haben, dass es sich fast um lebensbedrohliche Dinge oder Auswirkungen auf die Weltwirtschaft handelt – das ist dieser Ansatz Ich und sie sind rar gesät, und da ich mit einigen Diensten hier im Vereinigten Königreich zusammengearbeitet habe, denke ich, dass die Branche gerne von diesem Club mit hohem Risiko angezogen wird, weil er, wenn man so will, eher eine Bordsteinkante bietet. Die Realität ist, dass die meisten Geschäfte einigermaßen harmlos sind und die Angst, die die Entscheidungsfindung durchdringt, dazu führt, dass die Leute standardmäßig dazu übergehen, IBM zu kaufen und meine Geräte zu vernichten – und dem müssen wir entgegentreten. Mit DIAL können Organisationen erkennen, wer sie sind, und dann in die Lage versetzt, intern bestehende interne Prozesse und Verfahren in Frage zu stellen. Das Risiko? Nun, bei jedem Prozess gibt es immer ein Risiko, und deshalb ist die Veröffentlichung von 2883 für die Branche brillant, da es von Experten auf diesem Gebiet geschrieben wurde, die die Technologie verstehen und deren Beweggründe rein sind. Wir wollen lediglich, dass die Daten bereinigt werden. Nein, sie stammen nicht aus der Industrie, sie stammen nicht von einer Zertifizierungsstelle – sie stammen tatsächlich von einer wirklich klugen Gruppe von Ingenieuren, und deshalb müssen wir sie unterstützen.

(RG): Jonmichael? Zirkularität? Nachhaltigkeit?

(JH): Ja, das liegt mir offensichtlich sehr am Herzen. Ich bin Sekretär und Schatzmeister einer gemeinnützigen 501C6 namens Circular Drive Initiative, der Steve von ADISA angehört.

Wir begannen diese Reise mit dem Verständnis, als ich herausfand, dass einige dieser Hyperscaler, die meine Kunden waren, als ich noch bei Intel arbeitete, Millionen von Laufwerken pro Jahr vernichteten, und ich erhielt von diesen Leuten direkt die Bestätigung, dass dies der Fall ist.  Ich habe einfach angefangen, Fragen zu stellen. Okay, warum haben Sie keine Verschlüsselung auf den Laufwerken? Wendet ihr keine ordnungsgemäße Datenträgerbereinigung an?  Und all das, die Datenlöschung ist so programmiert – was macht ihr da eigentlich? Warum?  Ihr wisst ja bereits, dass sich auf den vorhin erwähnten Laufwerken keine Daten befinden, richtig?  Steve meinte gerade, es ginge um die Risikotoleranz – zum Beispiel bei Hyperscale-Unternehmen, wo Daten auf eBay landen und Kundendaten von Facebook im Umlauf sind, das ist kein gutes Szenario, richtig? Es ist katastrophal, insbesondere wenn es sich um Bankdaten aus Azure Storage oder AWS handelt, die sehr schlecht sind und ihre Risikotoleranz praktisch bei 0 liegt.  Wenn Sie sich also für eine von IEEE 2883-2022I zugelassene Bereinigungstechnik zur Bereinigung entscheiden und eine Verifizierung durchführen, bei der es sich im Wesentlichen um das Zurücklesen des gesamten LBA-Speicherplatzes des Benutzers handelt, den Sie nachweisen möchten, dass die Daten verschwunden sind – das ist die Idee hinter der Verifizierung: Wie beweisen Sie das? dass die Daten verschwunden sind. Sie können das Risiko auf nahezu 0 senken, und wie Sie sagten, ist es fast unmöglich zu sagen, dass es kein Risiko gibt, oder? Aber die Leute würden mehrere Methoden anwenden, zum Beispiel würden sie das Laufwerk entmagnetisieren und es dann außer Kraft setzen oder es dann in den Aktenvernichter werfen, und das ist ihr effektiver Weg, um das Risiko auf null zu reduzieren, oder? Es gibt jedoch Möglichkeiten, das Risiko praktisch auf Null zu reduzieren und das Laufwerk dennoch in einem wiederverwendbaren Zustand zu halten. Offensichtlich gibt es Voraussetzungen, wie zum Beispiel das Verständnis, dass man etwas mehr auf die Firmware und Software des Laufwerksherstellers achten muss, denn letztendlich ist die Art und Weise, wie IEEE 2883-2022 geschrieben wurde, eine Methode, die die bereinigten Befehle auf dem Laufwerk in hohem Maße nutzt Die Vision des Laufwerks besteht im Wesentlichen darin, dass das Laufwerk den Befehl „Alles bereinigen“ erhält. Es ist im Grunde narrensicher und gibt Ihnen die Gewissheit und Bestätigung, dass alle Daten verschwunden sind, aber im Grunde müssen Sie es immer noch tun, wenn das Gerät dies tut, können Sie es nicht Lesen Sie alle Daten zurück, zum Beispiel bei einer kryptografischen Löschung. Wenn Sie den Verschlüsselungsschlüssel des Mediums ändern, versuchen Sie, alle Daten zurückzulesen. Es werden nur Zufallsdaten sein. OK, wie können Sie einem Prüfer beweisen, dass es sich nicht einfach um die alten Zufallsdaten handelt? Daten, sondern neue Zufallsdaten und daher sind einige dieser Dinge eigentlich ziemlich komplex, aber wenn man die Anbieter versteht und mit ihnen zusammenarbeitet, mit Zertifizierungen arbeitet und mit seriösen Softwaretools arbeitet, die sich tatsächlich mit diesen Dingen befassen, wie ich gerade erwähnt habe, ist es so Wenn man sich die nächsttiefere Ebene ansieht, erkennt man, dass es mit Purge einen einfachen Weg gibt, das Risiko praktisch auf null zu reduzieren. Die Auswirkungen sind etwa die Auswirkungen, wenn diese Daten wiederhergestellt würden: niedrig, mittel, hoch, und dann ist die Gewissheit, wie sicher Sie sind, dass die Daten verschwunden sind. Mit der Host-Schnittstelle und den heute verfügbaren Methoden kann man sich sehr sicher sein – zu 99.99999 %. Ich glaube nicht, dass es jemandem gelungen ist, den ES 256 zu knacken. Wenn das Laufwerk also tatsächlich eine kryptografische Löschung durchgeführt hat, sind die Daten mit Sicherheit gelöscht. Aber Kunden davon zu überzeugen, dass das stimmt, ist viel einfacher. Es ist viel leichter für jemanden, sich einen Haufen geschredderter Festplatten anzusehen und zu sagen: „Ja, klar, ich bin mir ziemlich sicher, dass die Daten da weg sind“, als sich die Mühe zu machen, die Geräte-Firmware, die Kryptografie und all die anderen Aspekte der Datenträgerbereinigung zu verstehen. Viele Leute wählen den einfachen Weg, und wir versuchen, die Wiederverwendung deutlich zu vereinfachen.

(RG): Zusammenfassend lässt sich sagen, dass wir bei jedem Podcast unser Bestes geben, um praktische Informationen für R2-Einrichtungen bereitzustellen, und dass wir hier ziemlich schnell durchgehen könnten, was Sie beiden den Leuten vorschlagen würden, was sie sich ansehen sollten, was sie tun sollten Sie lesen, während sie weiterhin R2-zertifiziert bleiben – was tun sie, um darin besser zu werden? Jonmichael?

(JH): Ja, ich glaube, ich habe es bereits gesagt, aber ich möchte nur betonen, dass wir sehr sicher und gewissenhaft die richtige Terminologie verwenden und nicht mehr sagen, wir würden die Laufwerke löschen, sondern eine Medienbereinigung durchführen auf diesen Laufwerken und reduzieren Sie das Risiko auf Null. Das ist eine viel bessere Möglichkeit, über diese Dinge zu reden, und ich und ich hasse es, hier ein Geizhals zu sein, aber diese lockere Art der Datenlöschung und dieser ganze Bereich hat bei den Endkunden für große Unsicherheit gesorgt, was zur Vernichtung geführt hat Achten Sie also natürlich weiterhin auf die neuen IEEE-Sachen – wir arbeiten gerade an einer Reihe von Spezifikationen, aber jetzt erwarte ich nicht, dass jeder einzelne Techniker die gesamte Spezifikation gelesen hat, aber wenn Sie eine ITAD-Einrichtung betreiben, sollten Sie auf jeden Fall danach suchen Software und Laufwerke, die dies unterstützen, und die Software glaube ich, dass ADISA eine Liste einiger Produkte hat, die die Zertifizierung bestehen. Daher ist die Suche nach Software-Compliance-Suiten, die 2883 entsprechen, ein guter Ausgangspunkt, auch wenn Sie nicht alles lesen können Das Ganze ist aber recht einfach zu lesen. Ich wünschte, es wäre kostenlos. Ich denke, die Spezifikation liegt bei etwa 80 Dollar oder so. Wir haben versucht, es kostenlos zu machen, aber für das, was es wert ist, ist es nicht so schwer zu bekommen .

(RG): Gut... und Steve, was raten Sie einer durchschnittlichen R2-Einrichtung, wie sie das beurteilen soll?

(SM): Ich denke, das geht irgendwie auf einen Punkt zurück, den ich zuvor angesprochen habe, nämlich dass ich nicht glaube, dass die Datenbereinigung eine einmalige Lösung ist. Ich denke, viele Organisationen werden wahrscheinlich etwas einrichten, das ihren Zweck erfüllt, und sich dann ein wenig auf ihren Lorbeeren ausruhen. Ich denke, hier geht es um Wartung und um das kontinuierliche Streben nach Verbesserung. Ich bin mir sicher, dass die Leute eine Kopie von IEEE 2883 kaufen sollten, selbst wenn Sie nach einer Anleitung suchen, wie Sie Marketingmaterial zum Thema Sanitisierung strukturieren können, es gibt eine ganze Reihe wirklich guter, unkomplizierter Dokumente (es hört sich an, als würde ich hier auf Provisionsbasis arbeiten). ), aber es ist wirklich gutes, einfaches Wissen darin … Ich bin kein Techniker und habe sehr viel davon verstanden, was bedeutet, dass es sehr gut lesbar ist. Ich denke, dass Organisationen in ihrem Denkprozess zur Sanierung reifen müssen – wenn ich JMs Kommentar aufgreife, sprechen wir immer noch über das Schreddern von Festplatten oder das Überschreiben von Festplatten, das Löschen von Festplatten – wir müssen über Speichermedien sprechen, die viel größer und umfassender sind und wir müssen verstehen, wie einige dieser Speicher funktionieren und einige Nuancen, die sich sowohl auf unsere Materialhandhabung als auch möglicherweise auf die Desinfektionsspezifikationen auswirken, die wir ins Spiel bringen. Ich möchte auch sagen, dass Ihr bester Freund Ihr Softwareanbieter sein wird, und wenn Sie einen Softwareanbieter haben, der sich wirklich mit diesem Thema auskennt, der in Bezug auf den Entwicklungszyklus die Nase vorn hat und sich nicht darum kümmert, welche Speichermedientypen es gibt Sie verlassen heute das Unternehmen, schauen sich aber tatsächlich an, was heute auf dem Markt passiert, denn in 18 Monaten, zwei Jahren, drei Jahren werden sie die Speichermedien sein, mit denen sie sich befassen müssen – sie sind die Art von Anbietern, mit denen sie sich befassen müssen Setzen Sie Ihr Unternehmen ein, denn sie ersparen Ihnen die Notwendigkeit, dies bis ins kleinste Detail zu verstehen, und ich denke, das wäre mein Rat: Betrachten Sie dies nicht als eine einmalige Lösung; Betrachten Sie es als einen wichtigen Teil Ihres Wertversprechens und stellen Sie sicher, dass Sie nicht nur das folgende Spiel spielen, dass Sie tatsächlich einen Anbieter verwenden, der getestet wurde, oder dass Sie selbst getestet werden, damit Sie Ihren Kunden bestätigen können, dass Sie etwas anbieten die Art der Zusicherung, um die es geht, was wiederum Ihre Fähigkeit steigert, sie davon zu überzeugen, den Produktlebenszyklus zu verlängern und zu einem nachhaltigen ITAD zu führen.

(RG): Und Steve, auf der ADISA-Website gibt es eine Liste dieser Unternehmen, die Ihr Labor getestet hat, richtig? Diese Softwareunternehmen?

(SM): Ja, absolut, adisarc.com ist unsere Laborwebsite und nicht die Hauptwebsite von adisa.global. Sie können von der Hauptwebsite adisa.global aus darauf zugreifen und sehen, ob sie dort aufgerufen wird Produktsicherung 2023. Beachten Sie, dass es sich nicht um NIST 888-Konformität oder IEEE 2883-Konformität handelt, da sie viel umfassender sind. Wir schauen uns nur die Ergebnisse an, wir schauen uns an, wie sich die Software tatsächlich den Laufwerken präsentiert, von denen wir wissen, dass sie die Befehle und unterstützen Anschließend werden wir Laufwerke vorstellen, die die Befehle nicht unterstützen, und wir werden genau sehen, was die Software auch in solchen Szenarien tut. Also ja, gehen Sie zum Datenforschungszentrum der Arc-Website Website und Sie können unter der Produktgarantie 2023 fünf Produkte sehen, deren Konformität bereits bestätigt wurde.

(RG): und die R2-Website auch ein weiterer Eintrag Wir bieten dies auch als Ressource für R2-Einrichtungen an, um mit dem Prozess der Suche nach einer zuverlässigen Software für diese sehr wichtigen Funktionen der Datensicherheit und Datenbereinigung zu beginnen. Vielen Dank für Ihre Zeit und Ihr gemeinsames Fachwissen bei der Bewältigung dieses Problems – dieser Prozess ist noch nicht abgeschlossen und wir freuen uns darauf, Sie beide irgendwann in der Zukunft wieder bei uns zu haben, wenn sich diese Technologie weiterentwickelt und wir hoffen, dass sich unsere Art, damit umzugehen, weiterentwickelt parallel, also danke Jungs.

(JH/SM) Danke, Roger.

Das war's für diese Folge von Ask the R2 Guru. Vielen Dank fürs Zuhören und wie immer vielen Dank an das SERI-Team für die Unterstützung bei der Produktion dieses Podcasts. Eine vollständige Abschrift des Podcasts finden Sie im R2-Wissensdatenbank auf der SERI-Website. Zusammen mit diesem Transkript finden Sie Links zu den Ressourcen und Websites, die von unseren Gästen Jonmichael Hands und Steve Mellings erwähnt wurden. Es ist alles bei sustainable electronics dot org.

Episodenbeschreibung:

Jonmichael Hands und Steve Mellings sind beide Experten für Datensicherheit und Datenbereinigung. Jonmichael war einer der Autoren des IEEE 2883-2022 Data Sanitization Standard und Steve ist CEO von ADISA, dem Administrator von ADISA ICT Asset Recovery Standard, Version 8. In dieser Episode von Ask the R2 Guru engagiert Roger Greive diese beiden Experten eine lebhafte Diskussion über den aktuellen Stand der Datenspeicherung, Sicherheitspraktiken, neue Technologien bei der Datenspeicherung/-bereinigung und wie R2-Einrichtungen mit den neuesten Best Practices in diesem Bereich auf dem Laufenden bleiben können.

https://open.spotify.com/episode/1UFYQ9SRJFXi3Qik40x0bo

https://podcasts.apple.com/us/podcast/purge-dial-data-sanitization-with-steve-mellings/id1586381168?i=1000633502317