Anche se potrebbero essere riutilizzati, milioni di dispositivi di archiviazione vengono distrutti ogni anno. Non serve una laurea in ingegneria per capire che questo è un male, sostiene Jonmichael Hands.
Egli è segretario e tesoriere della Circular Drive Initiative (CDI), un gruppo di aziende tecnologiche che promuove la ridistribuzione sicura dell'hardware di archiviazione. È anche dipendente della società di tecnologia blockchain Chia Network.
Chia Network potrebbe facilmente riciclare le unità di storage che i centri dati più importanti hanno deciso di non richiedere più. L'azienda ha contattato le società che smaltiscono la tecnologia obsoleta per le aziende che non ne hanno più bisogno nel 2021. La risposta è stata: "Siamo spiacenti, dobbiamo distruggere le vecchie unità". "
Nel raccontare la storia, Mr. Hands chiede: "Cosa vuol dire che li distruggete? "Hanno detto che i clienti non glielo avrebbero permesso, che avrebbero cancellato i dati e poi li avrebbero venduti. Secondo un fornitore ITAD, per un cliente sono stati distrutti cinque milioni di unità. "
Il periodo di garanzia tipico per i dispositivi di archiviazione è di cinque anni, dopo di che vengono ritirati dai grandi centri dati. Il CDI stima che il 90% dei dischi rigidi venga distrutto quando viene rimosso, ma le unità che contengono dati meno sensibili vengono risparmiate.
Perché, secondo Hands, "i fornitori di servizi cloud con cui abbiamo parlato parlavano di sicurezza, ma in realtà intendevano la gestione del rischio". Seguono una filosofia a rischio zero. Non può accadere una volta ogni milione di unità, una volta ogni 10 milioni di unità o una volta ogni 100 milioni di unità. È necessario lo zero. "
Ironicamente, oggi è piuttosto pericoloso distruggere i dispositivi. Le unità più recenti hanno 500.000 tracce di dati per pollice quadrato. Secondo Hands, un esperto di recupero dati potrebbe leggere i dati da un pezzo di soli 3 mm.
Lo Standard per la sanificazione dei dispositivi di memorizzazione è stato approvato l'anno scorso dalla IEEE Standards Association. Descrive tre tecniche per la sanificazione, o rimozione dei dati dai dispositivi.
Il metodo "clear" è il meno sicuro. Nonostante sia stato completamente cancellato, i dati possono ancora essere recuperati con strumenti specializzati. Se si desidera riutilizzare l'unità all'interno della propria azienda, è adeguato.
La tecnica più estrema consiste nel fondere o bruciare le unità. I dati, l'unità e i suoi componenti non potranno mai essere recuperati.
Una scelta sicura per il riutilizzo si trova a metà strada tra le due: l'epurazione. Il recupero dei dati dopo l'eliminazione di un'unità non è possibile con gli strumenti e i metodi moderni.
Un'unità può essere ripulita in diversi modi. I dischi rigidi, ad esempio, possono essere riempiti con nuovi modelli di dati che possono poi essere controllati per verificare che i dati originali siano scomparsi. Per le attuali capacità di memorizzazione potrebbero essere necessari uno o due giorni.
Per contro, una cancellazione crittografica richiede solo pochi secondi. La crittografia integrata è una caratteristica comune delle unità moderne, che rende impossibile leggere i dati su di esse senza la chiave di crittografia. Se la chiave viene persa, i dati vengono tutti criptati. I dati sono ancora lì, ma sono illeggibili. È possibile vendere il disco rigido.
Come membro fondatore del CDI, Seagate è uno dei principali fornitori di soluzioni di archiviazione dati. Le unità potrebbero essere rimesse in uso se, secondo le parole di Amy Zuckerman, direttore del settore sostenibilità e trasformazione di Seagate, "tutti i nostri clienti possono fidarsi universalmente della nostra cancellazione sicura". Su scala molto ridotta, ciò sta effettivamente accadendo. "
Seagate ha evitato di produrre più di 540 tonnellate di rifiuti elettronici (e-waste) nell'anno fiscale 2022 ricondizionando e rivendendo 1,16 milioni di unità disco e unità a stato solido (SSD). Sono incluse le unità restituite in garanzia e quelle riacquistate dai clienti.
Tre tonnellate di rifiuti elettronici sono state recuperate da un programma pilota di ritiro a Taiwan. Secondo la signora Zuckerman, la sfida attuale è quella di ampliare il programma.
Testate, ricertificate e vendute con una garanzia di cinque o sette anni, le unità ricondizionate sono in ottime condizioni. Secondo la signora Zuckerman, "stiamo assistendo all'acquisto da parte di piccoli centri dati e di operazioni di estrazione di criptovalute". I nostri successi sono stati più modesti e immagino che questo valga anche per altre persone che lavorano su questo tema". "
Il numero di volte in cui ogni unità può essere riparata e riutilizzata non è previsto. Al momento ci stiamo concentrando solo sul doppio uso, secondo la signora Zuckerman.
Tali piani hanno un grande potenziale. Le garanzie su una parte significativa dei 375 milioni di dischi rigidi venduti da tutte le aziende nel 2018 stanno per scadere.
Seagate guarda prima all'estrazione delle parti e poi al riciclo dei materiali per le unità che non possono essere riutilizzate. Nel programma pilota di Taiwan, i magneti e l'alluminio hanno costituito il 57% del materiale riciclato. Secondo la signora Zuckerman, l'innovazione è necessaria in tutti i settori se vogliamo recuperare una quantità maggiore dei 61 componenti chimici utilizzati nelle unità.
Altri dispositivi, come i router, possono trarre vantaggio dalla sanificazione e dal riutilizzo dei principi hardware. Secondo Tony Anscombe, chief security evangelist dell'azienda di sicurezza informatica ESET, "solo perché un'azienda ha una politica di sostituzione di qualcosa nell'arco di tre anni, non significa che sia in disuso per tutto il mondo".
"Un grande provider di servizi Internet (ISP) potrebbe smantellare alcuni router di livello enterprise che un ISP più piccolo avrebbe apprezzato molto", secondo il rapporto. "
La tecnologia aziendale è diventata sempre più sofisticata.
Tuttavia, è fondamentale disporre di una procedura di smantellamento che metta in sicurezza i dispositivi. I tipi di router principali utilizzati nelle reti aziendali sono stati acquistati da ESET. Su 18 router, solo cinque erano stati cancellati correttamente. I file rimanenti contenevano dati che potevano essere utili agli hacker, come informazioni sulla rete, sulle applicazioni o sui clienti. Uno dei router era stato apparentemente venduto senza i dati dopo essere stato consegnato a un'organizzazione che si occupa dello smaltimento dei rifiuti elettronici. Il proprietario originale è stato contattato da ESET. Anscombe afferma che sono rimasti sbalorditi. Anche se si affidano a una società di sanificazione e smaltimento dei rifiuti elettronici, le aziende dovrebbero cercare di sanificare i dispositivi da sole il più possibile. "
Quando i dispositivi ricevono ancora assistenza, Anscombe consiglia alle aziende di testare la procedura di sanificazione dei dispositivi. Il produttore può fornire assistenza se qualcosa non è chiaro a quel punto. Nel caso in cui il produttore lo tolga dal proprio sito web, consiglia anche di salvare tutta la documentazione relativa al processo.
Secondo Anscombe, le aziende dovrebbero creare e conservare un backup del dispositivo prima di sanificarlo. Se qualche informazione viene divulgata, è più semplice capire cosa è andato perso.
Infine, le organizzazioni dovrebbero rendere semplice per le persone segnalare le violazioni della sicurezza. Secondo Anscombe, è stato difficile informare le aziende delle informazioni scoperte sui loro router obsoleti.
Per aiutare le aziende a verificare che i dati siano stati rimossi da un dispositivo, è consigliabile affidarlo a un ricercatore di sicurezza e vedere cosa riesce a trovare. Molti team di sicurezza informatica dispongono di un membro che sa come rimuovere il coperchio del dispositivo e verificare se è stato accuratamente sanificato. "Le aziende possono inviare con fiducia i dispositivi per il riutilizzo o il riciclaggio se sanno come ripulirli correttamente dai dati. Secondo la signora Zuckerman di Seagate, l'era dell'economia lineare "take-make-waste" deve finire.
