Nowy pomysł na utylizację zasobów it. Pułapki, których należy unikać.

Blogi i artykuły

Podczas gdy pozyskiwanie zasobów IT jest zwykle głównym celem każdej strategii biznesowej opartej na technologii, to, co dzieje się, gdy te zasoby IT osiągną koniec życia, ale nadal zawierają informacje o firmie i jej Klientach, często jest traktowane bezrefleksyjnie.

Brooks Hoffman
Brooks Hoffman
Principal, Asset Lifecycle Management Iron Mountain
23 listopada 20217 minut
Rethinking IT asset disposition: Pitfalls to avoid - E-waste

Być może Twoja firma kupowała używane telefony lub laptopy i znajdowała w nich osobiste dane poprzednich właścicieli.

A może czytałeś o ogromnych karach finansowych dla korporacji globalnych za niezgodne z prawem dysponowanie zasobami IT.

Albo oglądałeś niepokojące wiadomości o zlokalizowanych w krajach rozwijających się wysypiskach śmieci pełnych zużytej elektroniki - dewastujących regiony, w których się znajdują i stanowiących cel działań cyberprzestępców świadomych, że wśród śmieci znajdują się cenne informacje, które można łatwo zdobyć.

Głównym elementem strategii biznesowej opartej na technologii jest zwykle zakup aktywów IT, jednak ich losy po osiągnięciu końca okresu eksploatacji, gdy nadal zawierają informacje o firmie i jej klientach, są często traktowane jako kwestia poboczna.

Przemyślenie od nowa kwestii utylizacji aktywów IT (ITAD) i nadanie jej większej ważności ma kluczowe znaczenie w sytuacji, gdy cykle produkcyjne ulegają skróceniu, technologia rozwija się w coraz szybszym tempie i coraz więcej firm korzysta z usług w chmurze. Klienci będą musieli poradzić sobie z rosnącą ilością aktywów IT po zakończeniu okresu ich eksploatacji, a dokonanie właściwych wyborów w zakresie strategii ITAD będzie miało wpływ na ograniczenie ryzyka biznesowego i ochronę środowiska.

E-odpady: najszybciej rosnąca kategoria odpadów

Co roku wytwarzamy na całym świecie około 53 milionów ton odpadów elektronicznych (e-odpadów), a według Organizacji Narodów Zjednoczonych do 2050 roku ilość ta ma się podwoić. E-odpady to najszybciej rosnąca grupa odpadów na świecie) (53,6 mln ton w 2019) - Światowe Forum Ekonomiczne IT - nie tylko poprzez zużycie energii, ale także sam sprzęt komputerowy - stanowi obecnie istotną część naszego śladu ekologicznego. Odpady te są do tego toksyczne - metale ciężkie (rtęć, ołów, kadm i inne) mogą wyprzedostawać się z nich do środowiska, powodując szereg problemów. Nie jest więc zaskoczeniem, że coraz więcej krajów odmawia przyjmowania odpadów elektronicznych. Ostatnio uczyniła to Tajlandia.

Wyzwania związane z bezpieczeństwem I zgodnością z prawem

E-odpady stwarzają również bezpośrednie problemy natury prawnej oraz problemy związane z bezpieczeństwem. Około 25 amerykańskich stanów i Dystrykt Kolumbii przyjęło przepisy wymagające określonego poziomu recyklingu elektroniki i wprowadziło kary w przypadku niewłaściwego zarządzania tym procesem. Kanadyjska prowincja Ontario zaczęła egzekwować nowe przepisy dotyczące e-odpadów, których celem jest osiągnięcie 70% wskaźnika recyklingu. Istnieje też wiele przepisów i regulacji dotyczących ochrony i prywatności danych, które mają szeroki wpływ na gospodarkę aktywami IT - w tym prawo międzynarodowe. Na przykład firmom, gdzie obowiązuje regulacja RODO, grożą surowe kary za nieprzestrzeganie przepisów, potencjalnie do 20 milionów euro lub 4% rocznego globalnego przychodu, w zależności od wagi i okoliczności naruszenia.

Typowe błędy w zakresie utylizacji sprzętu IT (ITAD)

Jasne procedury i bezpieczne ITAD są niezbędne, ale łatwo tu o błąd. Oto kilka typowych pułapek.

Zbytnie uproszczenie

W wielu firmach panuje przekonanie, że utylizacja przestarzałego sprzętu IT to nic trudnego - wystarczy wyczyścić urządzenia i pozbyć się ich. Niestety, nie jest to aż tak proste. Skomplikowane procesy czyszczenia, niszczenia i rozmagnesowania nośników wymagają sprawdzonych procedur i sprawności operacyjnej. Samo usunięcie, sformatowanie lub zresetowanie może nie spowodować pełnego usunięcia danych. Jeśli dane nie zostaną w odpowiedni sposób usunięte lub jeśli nośniki nie będą odpowiednio niszczone, ryzyko naruszenia bezpieczeństwa danych nadal istnieje.

Pozostawienie utylizacji działowi it.

Chociaż przypisanie odpowiedzialności za utylizację sprzętu pracownikom IT może wydawać się logiczne czy wręcz intuicyjne, to niekoniecznie jest to właściwe rozwiązanie. Proces bezpiecznego pozbywania się sprzętu informatycznego obejmuje aspekty techniczne, prawne, logistyczne i administracyjne, do których dział IT może, ale nie musi mieć odpowiednie umiejętności, które wymagają:

  • Koordynacji działań z osobami i działami, które wykorzystują dane i urządzenia, których żywotność dobiegła końca
  • Wdrażania konkretnych procedur niezbędnych do pełnego usunięcia wszelkich istniejących danych
  • Ocena, czy łańcuch nadzoru (chain of custody), (śledzenie, kto i kiedy miał dostęp do urządzeń) jest dokładnie rejestrowany
  • Ocena referencji dostawcy zewnętrznego w zakresie ochrony środowiska i bezpieczeństwa danych

Jest oczywiste, że dział IT ma tu do odegrania pewną rolę, ale mają ją również inni: administratorzy, odpowiednie działy i kierownictwo wyższego szczebla.

Niedocenianie własnej odpowiedzialności prawnej

Wraz ze wzrostem ilości e-odpadów zwiększa się zakres obowiązujących przepisów i regulacji, jak również rosną kary za ich nieprzestrzeganie. Jeden z dostawców usług finansowych został niedawno ukarany grzywną w wysokości 60 milionów dolarów za nieprawidłowe przeprowadzenie likwidacji dwóch centrów danych. I nie jest to jedyna firma, którą ukarano.

Nie chodzi tu tylko o prawo i przepisy regulujące kwestie związane z e-odpadami, które należy brać pod uwagę. Jak wspomniano powyżej, e-odpady podlegają również przepisom RODO i POPIA, a także standardom branżowym, takim jak PCI-DSS.

Korzystanie z bezpłatnych usług

Istnieją firmy, które oferują usługi ITAD bezpłatnie lub za bardzo niską cenę, zazwyczaj twierdząc, że pokrywają koszty własne z odsprzedaży urządzeń. Do tej sytuacji dobrze pasuje powiedzenie, że dostajesz to, za co płacisz. Korzystanie z bezpłatnych lub bardzo tanich usług ITAD nie jest wcale rzadkie i prawdopodobnie będzie wiązało się z wykonaniem przez usługodawcę jednej lub kilku z poniższych czynności:

  • Pozyskiwanie znacznych przychodów z recyklingu sprzętu, co oznacza, że usługa wcale nie jest darmowa
  • Pozbywanie się sprzętu w sposób nieodpowiedzialny z punktu widzenia środowiska naturalnego (np. wysyłanie go za granicę lub wyrzucanie na wysypiska śmieci w kraju)

Krótko mówiąc można zaoszczędzić środki finansowe w bardzo krótkim okresie, narażając jednak firmę na ryzyko i przyczyniając się do negatywnego wpływu na środowisko, który recykling ma ograniczać.

Ignorowanie łańcucha nadzoru (chain of custody).

Być może intuicyjnie nie łączysz koncepcji prawnej, takiej jak łańcuch nadzoru z utylizacją zasobów IT, ale naprawdę jest to klucz do właściwego przebiegu procesu. Niezależnie od tego, czy utylizacja będzie realizowana we własnym zakresie, czy będzie prowadzona przez firmę zewnętrzną, niezbędny jest pełny zapis tego, gdzie i do kogo trafiły zasoby IT, umożliwiający stwierdzenie, że proces ITAD został przeprowadzony w sposób odpowiedzialny i zgodnie z przepisami - zarówno pod względem środowiskowym, jak i z punktu widzenia bezpieczeństwa danych. Istnieje też dodatkowa korzyść z bezpiecznych praktyk łańcucha nadzoru - zniechęcają one do kradzieży. Kradzież urządzeń podczas realizacji procesu utylizacji może być poważnym problemem. Im mniejszy i bardziej wartościowy przedmiot, tym większe prawdopodobieństwo jego zniknięcia, a złodzieje są mniej skłonni do podejmowania prób kradzieży majątku, o którym wiedzą, że jest nadzorowany.

Wszystko są to pułapki, w które może wpaść nawet najbardziej świadoma organizacja. Największą jednak pułapką jest nienadawanie odpowiedniego priorytetu utylizacji zasobów IT.

Lepiej jest myśleć o utylizacji zasobów IT na początku ich cyklu życia.

Brooks Hoffman jest członkiem zespołu ds. zarządzania produktem dla usługi Secure IT Asset Disposition („SITAD”) firmy Iron Mountain. Przed rozpoczęciem pracy w Iron Mountain był współzałożycielem i dyrektorem finansowym firmy LifeSpan, zajmującej się utylizacją aktywów IT z siedzibą w Denver w stanie Kolorado.