Garante Privacy: cancellare i dati dai sistemi dismessi

Il Garante per la protezione dei dati personali ha reso disponibili le indicazioni per lo smaltimento di pc e altri apparecchi informatici nel pieno rispetto della tutela dei dati personali.

Il documento segue quello del 5 dicembre dove si affermava che aziende, privati ed enti pubblici avevano l’obbligo di provvedere alla cancellazione dei dati prima della rottamazione dei propri pc.

Secondo il garante “in caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche le misure e gli accorgimenti volti a prevenire accessi non consentiti ai dati personali in esse contenuti, adottati nel rispetto delle normative di settore, devono consentire l’effettiva cancellazione dei dati o garantire la loro non intelligibilità“.

Le misure possono essere preventive come per esempio la cifratura di singoli file o gruppi di file o la memorizzazione su supporti in forma automaticamente automaticamente cifrata al momento della loro scrittura, tramite l’uso di parole-chiave riservate note al solo utente.

Per quanto riguarda invece le misure per la cancellazione sicura dei dati, il garante indica l’utilizzo di programmi quali wiping program o file shredder “che provvedono, una volta che l’utente abbia eliminato dei file da un’unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre “binarie” (zero e uno) in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite strumenti elettronici di analisi e recupero di dati“.

Il numero di ripetizioni del procedimento – prosegue la nota – considerato sufficiente a raggiungere una ragionevole sicurezza varia da sette a trentacinque e incide proporzionalmente sui tempi di applicazione delle procedure, che su dischi rigidi ad alta capacità (oltre i 100 gigabyte) possono impiegare diverse ore o alcuni giorni), a secondo della velocità del computer utilizzato.

Altra misura è la formattazione “a basso livello” dell’hard disk “attenendosi alle istruzioni fornite dal produttore del dispositivo e tenendo conto delle possibili conseguenze tecniche su di esso, fino alla possibile sua successiva inutilizzabilità“.

Infine è possibile procedere alla demagnetizzazione in grado di garantire la cancellazione rapida delle informazioni anche su dispositivi non più funzionanti ai quali potrebbero non essere applicabili le procedure di cancellazione software.

Se poi non si è in grado di seguire queste indicazioni il garante suggerisce anche di distruggere fisicamente i supporti facendo ricorso a procedure o strumenti diversi a secondo del loro tipo, quali: sistemi di punzonatura o deformazione meccanica; distruzione fisica o di disintegrazione (usata per i supporti ottici come i cd-rom e i dvd); demagnetizzazione ad alta intensità.

Un ulteriore documento, da poco pubblicato sul sito del garante, illustra passo-passo le procedure operative per la cancellazione sicura dei dati memorizzati su supporti come dischi fissi ed unità rimovibili.
Tra i software opensource o comunque disponibili con licenze d’uso non commerciali, viene esplicitamente citato DBAN (acronimo di Darik’s Boot and Nuke). Il software, dotato di un’interfaccia testuale, deve essere eseguito avviando il sistema da un CD od un DVD di boot. DBAN viene infatti distribuito sotto forma di file .ISO il cui contenuto dovrà essere masterizzato su supporto CD/DVD ricorrendo a software quali Nero, CD Burner XP o similari. Il CD od il DVD di boot così creato dovrà essere inserito all’accensione del personal computer controllando nel BIOS che sia impostata la corretta sequenza di avvio (la prima periferica impostata per il boot del sistema deve essere il lettore CD/DVD).

Una volta avviato il computer con il disco di boot di DBAN, viene presentata una schermata di scelta contenente diverse opzioni di avvio. Premendo il tasto Invio, verrà dato inizio alla procedura interattiva di cancellazione del contenuto del disco o dei dischi fissi installati sul sistema: il software mostrerà una finestra attraverso la quale l’utente potrà scegliere manualmente il disco da cancellare.
“Effettuata la scelta, occorrerà specificare quale metodo di cancellazione si vuole applicare“, si osserva sul sito del garante. “Per la maggior parte degli utilizzatori sarà sufficiente il cosiddetto DoD short, derivato da standard militari USA: altri metodi, teoricamente ancora più sicuri, hanno lo svantaggio di richiedere tempi di elaborazone significativamente più lunghi, soprattutto se applicati a dischi di grande capacità“.

DBAN provvederà a distruggere completamente tutti i dati presenti sul disco selezionato riducendo al minimo le possibilità di recupero ricorrendo ad utilità specifiche.
Il software DBAN è integrato anche nel CD di emergenza “Ultimate Boot CD” del quale abbiamo parlato in passato.

Altri suggerimenti per evitare che i propri dati cadano nelle mani di terzi, sono pubblicati sul sito di Microsoft e disponibili in questa pagina.

Gli utenti del sistema operativo Apple Mac OS X, che incorpora una funzione di “svuotamento del cestino in modalità sicura”, potranno trovare dettagliate informazioni sul sito del produttore www.apple.it oppure ricorrere ad utilità opensource come Permanent Eraser che consente di effettuare cancellazioni sicure con un algoritmo di wiping avanzato.

Sul versante opposto, per memorizzare in modo sicuro i dati e difenderli “da occhi indiscreti”, il documento pubblicato sul sito del garante suggerisce il software multipiattaforma TrueCrypt, del quale abbiamo parlato in questo articolo.