每个人的电脑上都可能有一些敏感数据,处理稍有不慎,麻烦就会接踵而至。尤其对某些公司而言,比如研发中心、国家机关部门等成千上万台电脑硬盘上的数据更是如此。在淘汰这些旧电脑时,硬盘上的数据安全该如何保证呢?
淼一科技(北京)有限责任公司(以下简称“淼一科技”)的创始人马剑告诉记者:“我们平常觉得把硬盘上的数据删除掉或者格式化就安全了,其实,如果遇到数据恢复的专业人士或者居心叵测者,可以轻松地恢复数据。”
谁的奶酪
所谓数据销毁,就是计算机或设备在弃置、转售或捐赠前必须将其所有的数据彻底删除,并无法复原,以免造成信息泄露。这个步骤对于有保密级别和隐私的数据尤为重要。因为,在格式化或者删除掉的状况下,其实旧数据并没有被真正删除,只是在文件系统里被做了一个特殊的标识,在专业工具的帮助下可以很容易找到文件的目录,进而恢复原始数据。
淼一科技主要执行三种数据销毁的方法:第一种是用软件销毁。其优点是销毁以后硬盘可以再利用,缺点是时间比较久,一般要1个小时以上,如果硬盘容量大,比如300G以上的硬盘,需要三个小时才能销毁完,而且需要监销员全程跟踪销毁进展。
第二种是用消磁机。优点是快捷,40秒可以销毁2块容量在2T以下的硬盘,缺点是数据销毁完后,硬盘无法再次使用,而且用肉眼看不出销毁前后的区别。
第三种是物理熔毁。将硬盘放在一个七八十公斤重的熔炉里面,熔炉的温度瞬间可以上升到1000摄氏度以上。相比前两者,其优点是绝对安全,缺点是搬运不便,不利于上门服务;销毁速度上可以做到20分钟熔毁5-10块硬盘。经过融毁,硬盘就变成面团状的柔体物质。
“物理熔毁的好处在于,业主可以看到硬盘彻底变形,心理上觉得踏实。使用消磁机,肉眼无法看出消磁前后的区别,目前用得比较多的是消磁机,”马剑说,“法国电力公司在中国有核电站项目,他们硬盘上的数据安全级别很高,我们提供上门服务,用消磁机帮助公司销毁硬盘数据。”
数据销毁需求最早来自军事领域,直到今天,数据销毁需求最旺盛的依旧是部队等军事单位。这些机构要淘汰的电脑往往涉及国家机密,一般由国家划拨经费,由国家保密局负责销毁。马剑说:“我们的客户主要来自外企和上市公司,小微公司不重视保密问题。”
早在2007年,马剑就开始关注数据销毁。马剑告诉记者:“之前我在戴尔工作,在销售电脑时发现客户有这方面的需求。刚开始只是给客户帮忙,后来发现这方面的业务量比较大,需要全心投入。于是我在2009年注册了公司,组织团队做数据销毁业务。”
市场驱动力
“我们在2012年10月给中华英才网的1209块硬盘做了数据销毁,这些数据存放在300多台服务器上。”马剑说。
中华英才网的电脑硬盘上含有大量简历,包括求职者的姓名、联系方式、地址、工作背景等隐私数据,如果不做数据销毁,隐私和敏感数据很可能会被他人利用,对求职者带来恶劣影响。在淘汰电脑时,需要把数据进行销毁,确保大量隐私信息不会落入旁人之手。
目前,越来越多的公司开始意识到数据安全问题的重要性,主要源于三方面的驱动力。第一个驱动力是ISO27001信息安全管理体系认证。马剑说:“一些市场调研公司、软件开发公司和医疗公司,一定要有ISO27001认证,该标准要求公司在淘汰硬盘时,必须通过某种方式把数据清除。”
英国曾做过一项统计,80%信息资料的损失与人为因素有关。所以,防止人为因素造成的信息风险成为信息安全的主要控制对象。从目前获得认证的企业看,较多的是电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
“如果这些公司要获得认证,就需要我们出具数据销毁报告,证明数据已经被销毁。如果被他人恢复出来,我们就要承担法律责任。”马剑说。
第二个驱动力是公司的隐私保护政策。随着知识产权纠纷和因数据泄露导致的民事诉讼案件的增多,优秀的IT公司会要求在硬件的生命周期尾期进行数据销毁,对消费者和用户有一个合理交代。
马剑说:“现在贩卖数据的人很多。比如你买过房、买过车,跟中介公司打过交道,一周之后每天会收到10条垃圾短信。”
一项调查显示,仅2011年上半年,中国手机用户平均每周收到垃圾短信13条,垃圾短信占全部收到信息的27.3%。除了大量广告信息外,中奖诈骗、冒充银行的诈骗、违法出售票据等涉嫌违法的垃圾短信也相当多。
“这些被中介公司倒卖的信息,很多都是从硬盘中被恢复出来的。现在淘汰比较多的是80G容量的硬盘,从硬盘残值的角度看,它只值50元,但如果从恢复数据的角度看,在市场上可以卖到300元。”马剑说。
这是一个地下产业链。通常硬盘里会存在大量的联系方式等数据,废品回收人员从顾客手中低价购买被用户淘汰的电脑,然后花钱请人进行数据恢复,再从恢复出来的数据中整理出联系方式贩卖给中介公司,最后中介公司通过短信发送器,将各种含有广告信息的垃圾短信发送给消费者。
在很多公司的网站下方都有一个隐私声明栏,里面会写到该公司如何使用消费者提供的隐私数据,以及如何和第三方公司分享隐私数据。以电子商务网站为例,通常含有海量的消费者信息,包括联系方式和银行卡号都被存储在网站服务器上。马剑说:“这些服务器到了报废期,就是考验公司隐私保护政策的执行力度之时。卖掉硬盘可以获得一点点残值回报,而销毁数据则会降低残值回报,鱼与熊掌不可兼得。严格执行隐私保护政策的公司才是值得尊敬的公司。”
第三个驱动力是越来越多的公司高管意识到数据销毁是一个能够树立公司声誉的做法。“即使没有人告诉我,没有人要求我怎么做,只要用户留下了个人隐私的痕迹,我都会自觉删除掉,这就维护了企业的品牌和社会声誉,”马剑说,“对于那些在乎声誉和品牌的高管,他会找专业的公司进行数据销毁。”
“再利用”前景
“数据销毁是我们2012年开始重点推的业务,目前大概已经销毁了2000多块,基本都是电脑硬盘。硬盘移动终端也可以进行数据销毁,以手机为例,由于其存储能力不及电脑硬盘,因此,只要放进消磁机里30秒钟就可以完成数据销毁。”马剑说。
人们习惯于把不用的物品束之高阁,实际上是一种资源浪费。假如所有的物品都能够得到及时处置,无论是通过再利用还是回收粉碎处置,那么,大量用来生产新产品的资源就能节约下来。假如人们能够及时处置闲置物品,大量物美价廉的二手物品就会流通起来并重新获得更长的生命周期,制造新品生成的温室气体就会得到遏制。
马剑说:“数据销毁以后,电脑就不存在安全隐患了。我们可以把电脑买回来,进行清洁、升级和修缮,然后转售给中小企业客户,在北上广城市里,还有很多农民工和低收入人群,此外,很多大学生也会选择购买二手电脑。”
中国再生资源集团占国内回收利用市场的50%,2011年其营业额为1500亿元人民币。换言之,中国国内回收利用市场的总价值为3000亿元人民币。假设在这3000亿元的废品回收市场里,电子产品只占10%,即300亿元,那么这就是IT设备资产处置的市场容量。假设10%的公司有数据安全意识,需要做数据销毁,那么数据销毁的市场规模就是30亿元。“在美国和日本,如果公司要淘汰100台电脑,找供应商上门回收需要付费,平均一台付费20美元,供应商会将电脑拉走以环保的方式处理掉。国外的废旧电脑资产不收费,但数据必须销毁掉。”马剑说。
回收以后的电脑价值在于零部件的再利用,比如电源、内存条等。再利用理念也是3R理念的一部分,所谓 3R是指Reuse(再利用)、Reduce(减少原料)、Recycle(物品回收)。在马剑看来,再利用应该优先考虑,因为生产一个新产品所产生的碳排放则远大于再利用的碳排放,同时还要消耗能源。如果不能再利用,也应该尽量减少碳排放。
马剑说:“在我看来,电脑如果能够再利用最好还是再利用,粉碎只是一个无奈之举。”