22 september 2007

Hoewel al lange tijd bekend en er al lange tijd tegen gewaarschuwd wordt: nog steeds vormen tweedehands harde schijven een goudmijn voor identiteitsdieven en industriële spionnen. Dat althans laat ook de nieuwste internationale studie weer zien. Het onderzoek suggereert dat meer dan eenderde van alle tweedehands harde schijven niet volledig zijn gewist als ze als tweedehands artikel worden verkocht. Het gaat daarbij om harde schijven die voorheen zowel particulier als bedrijfsmatig zijn gebruikt. Het onderzoek, uitgevoerd in Australië, Groot-Brittannië, Duitsland en de Verenigde Staten, ontdekte dan 37 % van 350 gebruikte harde schijven, gekocht online, in tweedehands computerzaken en computerbeurzen, nog steeds gevoelige gegevens bevatten. Informatie die van de betreffende schijven werd gehaald bevatte bank- en creditcard-gegevens, salarisdetails, medische gegevens, historische gegevens van e-commerce-transacties en financiële bedrijfsgegevens. Het onderzoek werd uitgevoerd door onderzoekers van het telecomunicatiebedrijf BT, de University of Glamorgan (Wales), de University of Perth (Australië) en Longwood University (Virginia, Verenigde Staten).

'A number of the 350 disks contained a substantial mixture of corporate and personal data', zegt Andrew Blyth, die het onderzoeksteam van de University of Glamorgan leidde. 'This suggests that many users are working on corporate data at home, which raises serious concerns. There are likely to be millions of hard drives on public sale, right now, that still contain highly confidential material'. Het onderzoek toont tevens aan dat alle campagnes gericht op het aanmoedigen van mensen om hun oude harde schijven goed en volledig te wissen weinig tot geen effect hebben. Het percentage harde schijven dat gevoelige data bevat is met 3 % gestegen in vergelijking met 2006. Brian Littlefair van BT's Security Research Centre in Suffolk zegt dat 'many people do not realise that merely formatting a disk, or deleting all the files stored on it, does not mean data cannot be recovered'. Het formatteren van een disk of het deleten van bestanden verandert slechts een paar gegevens die de plek(ken) van het bestand op de schijf identificeren, waardoor ze klaar gemaakt worden om overschreven te worden. Echter, zolang de gegevens niet werkelijk overschreven zijn kunnen ze makkelijk worden hersteld met behulp van vaak gratis beschikbare software. Het antwoord, zo zegt Littelefair, is om 'a dedicated hard-drive wiping software utility' te gebruiken. 'You have to the use proper tools to do this because it involves making multiple passes of each bit stored on the drive and overwriting it between 7 and 13 times with random data', zo zegt hij. Bedrijven die er niet voor zorgen dat klantengegevens van de harde schijven worden verwijderd riskeren niet alleen identiteitsdiefstal van hun klanten, teninste in Engeland. 'Not wiping data puts companies in breach of the UK Data Protection Act', zegt een woordvoerder van de UK Information Commissioner's Office in Cheshire. 'If firms breach enforcement notices they can face heavy fines'. Het groeiende aantal draagbare apparaten met harddrives maakt dat de sitauatie waarschijnlijk alleen maar slechter wordt. Volgend jaar wil BT het onderzoek uitbreiden naar tweedehands USB-sticks, iPods, BlackBerry's en smartphones. 'Some people just throw their phones in a charity box without deleting anything when they have finished with it – that's a clear data risk', zegt Littlefair. Hij verwacht dat USB-sticks het grootste probleem zijn. 'Some firms are already going to great lengths to protect their networks from USB data theft and virus introductions', zo stelt hij. 'I know of some who have filled in all USB ports to keep pen drives out of their networks'. Concluderend: het is niet echt nieuw, dit onderzoek, maar wat het meest verontrustende is, is dat ondanks dat de situatie blijkbaar niet verbetert.