أسطورة معيار مسح القرص الصلب في وزارة الدفاع الأمريكية

قليل من التقنيات في تاريخ البشرية تطورت بسرعة وبشكل كبير مثل القرص الصلب. فتخزين البيانات الذي كان يكلف مئات الآلاف من الدولارات وكان يملأ غرفة قبل 50 عاماً مضت يكلف الآن أقل من سعر تذكرة السينما، ويمكن أن يتسع في جيبك، ويمكنه أن يستوعب بيانات أكثر بآلاف المرات.

نظرًا لأن تكنولوجيا الحوسبة تتغير بسرعة كبيرة، فغالبًا ما يكون هناك تأخير بين المعايير الجديدة والاعتماد الواسع النطاق بين الجمهور؛ وهذا هو الحال مع مسح القرص الصلب. كما أن الجدل داخل مجتمع علوم الحاسب حول الطريقة الأفضل قد خلق حالة من الارتباك بين المستهلكين.

اليوم سنقوم بتفصيل معيار وزارة الدفاع DOD 5220.22-M الذي يُستشهد به كثيرًا لمساعدتك على فهم ما هو، وما هو ليس كذلك، ولماذا لم نعد نستخدم طريقة وزارة الدفاع الدقيقة لمحو البيانات هنا في CompuCycle.

لماذا يعد مسح البيانات ضرورياً

على مدى 20 عاماً على الأقل، أدرك الخبراء الحاجة إلى محو البيانات التي تتجاوز مجرد حذف الملفات أو حتى التهيئة مما يجعل من الصعب استعادة البيانات ولكن ليس مستحيلاً إذا كان لدى المرء الدافع والأدوات اللازمة. وبالتالي، فإن مسح البيانات ضروري لمنع وقوع المعلومات الحساسة في الأيدي الخطأ.

مصطلحا "مسح البيانات" و"محو البيانات" هما في الواقع نوع من التسميات الخاطئة. لا تنطوي العملية على تنظيف محرك الأقراص الصلبة من البيانات، وتستخدم برنامجًا للكتابة فوق البيانات المهمة الموجودة تحتها ببيانات عشوائية أو غير مفيدة بطريقة أخرى، مما يجعلها غير قابلة للاسترجاع. لذا فإن النتيجة النهائية هي نفسها، ولكن السؤال هو: كم مرة يجب الكتابة فوق البيانات الأساسية لضمان حمايتها؟

تاريخ معايير مسح البيانات

كان معيار المسح DOD 5220.22-M أحد أوائل البروتوكولات التي اعتمدها الكثيرون كطريقة محو، على الرغم من أنه لم يكن مخصصًا للاستخدام المدني أو حتى معيارًا حكوميًا رسميًا. ففي نهاية المطاف، لماذا تضع وزارة الدفاع المعيار وتفرض معايير محو البيانات للأفراد والشركات الخاصة؟

والأسلوب، وليس المعيار، هو أفضل وصف للوثيقة 5220.22-M. لم يكن القصد منها أبدًا أن تكون معيارًا، وبالتالي لم يكن لها أبدًا القدرة على العمل كمعيار. لم تتمكن أي شركة من شركات التخلص من أصول تكنولوجيا المعلومات من أن تكون "معتمدة" لمعايير المسح DOD 5220.22-M - لم يكن هناك مثل هذا الاعتماد أبدًا. وبدلاً من ذلك، فإنه يشير إلى طريقة معينة لتعقيم البيانات، وهي مجموعة من الخطوات، للكتابة فوق البيانات.

ظهر 5220.22-M في دليل تشغيل البرنامج الوطني للأمن الصناعي (NISP) في عام 1995. ودعت هذه الطريقة إلى ثلاث عمليات كتابة فوقية لجميع الأجزاء القابلة للعنونة من القرص الصلب: الكتابة فوقية أولاً بحرف (صفر مثلاً)، ثم الحرف المكمل لذلك الحرف (1)، ثم حرف عشوائي، مع التحقق من تدمير البيانات في النهاية.

بعد عام واحد فقط، أي في عام 1996، أصدر خبيران في هذا المجال - بيتر غوتمان وبروس شناير - خوارزميات محو البيانات الخاصة بهما، حيث تطلبت خوارزمية الأخير سبع تمريرات للكتابة فوق البيانات بينما تطلبت خوارزمية الأول ما يصل إلى 35 تمريرة! ومع ذلك، كانت طريقة غوتمان مخصصة لمعدات أجهزة تخزين البيانات السرية القديمة مثل محركات الأقراص ذات التردد المعدل (MFM)، والتي أصبحت قديمة بعد فترة وجيزة من تقديمه لورقته البحثية المتعلقة بالعملية.

في عام 2001، أشارت مذكرة لوزارة الدفاع إلى متغير من المعايير 5220.22 (5220.22-ECE) التي تتطلب سبع تمريرات للكتابة.

ولكن في عام 2006، اختفت الإشارة إلى معيار المسح DOD 5220.22-M من دليل NISP، وأصدر المعهد الوطني للمعايير والتكنولوجيا (NIST) NIST المنشور الخاص 800-88: إرشادات لتعقيم الوسائطبنسخة منقحة في عام 2012. وذكر المعهد في داخله أنه نظرًا لتقدم التكنولوجيا، "... بالنسبة لمحركات أقراص ATA المصنعة بعد عام 2001 (أكثر من 15 جيجابايت) فإن المسح بالكتابة فوق الوسائط مرة واحدة يكفي لحماية الوسائط من هجوم لوحة المفاتيح والهجوم المختبري."

وسرعان ما أصبح معيار NIST معيارًا قياسيًا في هذا المجال، حيث اعتمدته وزارة الدفاع والوكالات الحكومية الأخرى، بما في ذلك وكالة الاستخبارات المركزية ووزارة الطاقة، كإجراء مطلوب لتعقيم البيانات.

وبالتالي، فإن هذه التقنية ثلاثية المسارات بالذات مرتبطة الآن بوزارة الدفاع بالاسم فقط؛ فأي شركات أو برامج للتخلص من البيانات تدعي أنها "معتمدة من وزارة الدفاع" لأنها تستخدم DoD 5220.22-M هي شركات أو برامج مضللة للعملاء، سواء عن قصد أو بدون قصد.   

أصبحت عمليات الكتابة فوق المتعددة الآن غير ضرورية وطريقة غير فعالة لمسح البيانات.

عملية تعقيم البيانات في CompuCycle

هنا في CompuCycle، نستمر في الرجوع إلى كل من معيار المسح DOD 5220.22-M ومعيار NIST 800-88. نحن ندرك أن معيار المسح 5220.22-M قديم ولم يكن قابلاً للتطبيق أبدًا من وجهة نظر رسمية أو حكومية.

ومع ذلك، فإننا نعتقد أنه نظرًا لأن الكثير من عملائنا وعامة الناس قد اعتادوا على هذا المعيار، فإنه لا يزال له أهمية. في الواقع، حتى يومنا هذا، يتم تضمينه بشكل شائع كخيار في بعض برامج محو البيانات الشائعة التي تُستخدم في الأعمال اليدوية. نحن نعتقد أن المعيار نفسه يتماشى مع فلسفتنا المتمثلة في توخي الحذر الشديد عندما يتعلق الأمر ببيانات عملائنا السرية للغاية. لذلك على الرغم من أننا لم نعد نستخدم معيار DOD 5220.22-M بالضبط، يسعدنا أن نعبر عن أننا نتجاوز معيار DOD 5220.22-M لمسح البيانات كجزء من خدمات مسح القرص الصلب لدينا.

في الوقت نفسه، نحن نلتزم بإرشادات NIST 800-88 التي تأخذ في الاعتبار التدمير الكامل للبيانات بغض النظر عن نوع محرك الأقراص (SATA، SSD، إلخ)، سواء كان ذلك يعني استخدام المسح البرمجي وحده أو تسهيل التدمير المادي للأجهزة أيضًا.

من خلال الالتزام بأحدث الإرشادات في هذا المجال، ولكن أيضًا من خلال فهمنا للماضي وكيفية وصولنا إلى المشهد الحالي، نحن قادرون على تقديم تعقيم آمن تمامًا للبيانات بنسبة 100% من الوقت.