Неполное удаление данных: риски при продаже ноутбука

от

«Ты продал ноутбук, не отформатировав диск, и думаешь, что стерли просто одну папку. На самом деле, если ты работал с документами, сертификатами или даже просто логинился в рабочий кабинет ФСТЭК, новому владельцу открывается гораздо больше, чем содержимое удаленной папки. Ключом к твоим данным может стать всё, что осталось на диске: остаточная информация из файлов, кэш браузера, ключи SSH и даже записи реестра. Это не просто история посещений, это потенциальный инцидент ИБ по 152-ФЗ, если речь о корпоративном устройстве.»

Что остаётся на диске после продажи

Продавая ноутбук, ты передаешь не только железо. Жесткий диск или SSD, это архив, где данные редко удаляются навсегда. Операционные системы, особенно Windows, удаляют лишь ссылку на файл, помечая место как свободное. Сам файл остается на диске до тех пор, пока поверх него не запишут новую информацию. Простое удаление в корзину или даже Shift+Delete не защищает от восстановления.

Процесс форматирования бывает разным. Быстрое форматирование, это почти то же самое, что удаление: пересоздается файловая таблица, но данные остаются на физических секторах. Полное форматирование включает перезапись секторов нулями, что делает восстановление сложнее, но не всегда невозможным для специализированных лабораторий, особенно с современными SSD и их функцией wear leveling.

Особую опасность представляют не сами документы, а их следы. Текстовый файл с паролями можно стереть, но его фрагменты могут остаться в файле подкачки (pagefile.sys), в точках восстановления системы или в теневых копиях (Volume Shadow Copy). Даже если сам файл был перезаписан, его имя или часть содержимого могут сохраниться в журналах событий Windows или в метаданных других файлов.

Конкретные артефакты, которые можно обнаружить

Новый владелец, запустив простые утилиты для восстановления данных или проанализировав нетронутые системные файлы, может обнаружить следующее.

  • Файлы из «удаленной» папки. Восстановление напрямую с помощью программ вроде R-Studio, Recuva или PhotoRec.
  • Кэш браузера. Сохраненные логины, пароли (часто в зашифрованном, но иногда в доступном виде), cookies сессии, история посещений, включая внутренние ресурсы компании.
  • Электронные письма. Если использовался почтовый клиент (например, Outlook или Thunderbird), локальные копии писем с вложениями, включая служебные документы, остаются в файлах базы данных (.pst, .ost).
  • SSH и GPG-ключи. Частные ключи для доступа к корпоративным серверам, хранящиеся в стандартных директориях в профиле пользователя.
  • Конфигурационные файлы. Файлы с настройками приложений, где могут быть прописаны учетные данные для баз данных, API-токены, адреса внутренних систем.
  • Временные файлы (Temp). Автосохранения документов, временные копии скачанных файлов, миниатюры изображений, которые система создает для предпросмотра.
  • Записи реестра Windows. Список установленного ПО, последние открытые файлы, информация о сетевых подключениях, возможно, закодированные пароли от Wi-Fi.
  • Логи приложений. Файлы журналов могут содержать фрагменты обрабатываемых данных, IP-адреса, имена пользователей.

Когда это становится проблемой регуляторики (152-ФЗ, ФСТЭК)

Ситуация перестает быть бытовой, если на этом ноутбуке велась работа с персональными данными или информацией, составляющей коммерческую, служебную или иную охраняемую законом тайну.

Согласно 152-ФЗ, оператор персональных данных обязан обеспечить их безопасность, включая защиту от неправомерного или случайного доступа. Продажа носителя с неуничтоженными ПДн — прямое нарушение этого требования. Фактически, произошла утечка, о которой ты, как ответственное лицо, можешь и не знать. Новый владелец становится несанкционированным лицом, получившим доступ к информационным ресурсам.

Требования ФСТЭК России (например, приказы № 17, № 21) к защите информации не ограничиваются только сетевым периметром. Они распространяются и на рабочие станции. Несоблюдение правил утилизации или передачи носителей информации может трактоваться как невыполнение мер по обеспечению безопасности. Если на диске остались ключи шифрования, конфигурационные файлы средств защиты информации (СЗИ), это может считаться серьезным нарушением, ставящим под угрозу всю систему защиты.

Как правильно готовить устройство к продаже: инструкция

Чтобы минимизировать риски, недостаточно просто удалить файлы или отформатировать диск. Нужна процедура гарантированного уничтожения данных.

  1. Резервное копирование нужных данных. Убедись, что все важные файлы перенесены на новый носитель и доступны на нем.
  2. Выход из всех учетных записей. В браузерах, почтовых и мессенджерах, облачных хранилищах выполни «выход на всех устройствах», если такая функция есть. Удали все связанные с устройством сессии в настройках аккаунтов.
  3. Полная перезапись диска. Это ключевой этап.
    • Для HDD: Используйте утилиты для безопасного стирания, которые перезаписывают весь диск случайными данными несколько раз (например, 1–3 прохода по стандарту DoD 5220.22-M). Можно использовать DBAN (Darik’s Boot and Nuke) или встроенные функции некоторых BIOS/UEFI.
    • Для SSD/NVMe: Механизм wear leveling усложняет перезапись конкретных ячеек. Самый надежный метод — команда Secure Erase. Она дает контроллеру диска команду на электрическое обнуление всех ячеек памяти. Эту команду поддерживают многие утилиты от производителей накопителей или универсальные инструменты, запускаемые с загрузочной флешки.
  4. Переустановка операционной системы. После гарантированного стирания диска установи чистую ОС. Это делается не для удаления твоих данных (они уже уничтожены), а чтобы передать устройство в рабочем состоянии новому владельцу.
  5. Программное или физическое уничтожение (для корпоративных устройств). Если ноутбук списывается в организации, он должен пройти процедуру утилизации согласно внутреннему регламенту. Часто это физическое уничтожение накопителя (размагничивание, измельчение) с составлением акта. Простая передача на склад без такого акта создает риски.

Что делать, если ноутбук уже продан

Осознание проблемы постфактум неприятно, но требует действий.

  • Оцени масштаб. Вспомни, какие именно данные могли остаться. Были ли там персональные данные сотрудников или клиентов, служебная переписка, ключи доступа?
  • Смени пароли и отзови доступы. Немедленно смени пароли ко всем учетным записям, к которым мог быть сохранен доступ на том ноутбуке: корпоративные порталы, почта, мессенджеры, облака, системы контроля версий (Git). Отзови все выданные токены доступа (OAuth, API-ключи) и сессионные ключи.
  • Если это корпоративное устройство — сообщи в службу информационной безопасности. Это не вопрос твоей личной ответственности, а потенциальный инцидент. Служба ИБ должна оценить риски, возможно, принять меры по мониторингу активности (на предмет попыток входа с новых IP), обновить сертификаты или ключи шифрования на связанных системах.
  • Зафиксируй факт. Даже если инцидент не привел к явным негативным последствиям, его стоит задокументировать. В будущем это может быть важно для внутреннего аудита или при проверке регулятором.

Вывод

Забытая папка на проданном ноутбуке — лишь верхушка айсберга. Реальная угроза исходит от системных артефактов, которые пользователь не видит и о которых часто не задумывается. В бытовом контексте это риск приватности, в корпоративном — прямое нарушение требований регуляторики, создающее угрозу для всей организации. Единственный способ избежать этого — относиться к диску как к носителю секретов, требующему не удаления, а гарантированного уничтожения данных перед передачей в чужие руки. Если продажа уже состоялась, действия должны быть не паническими, а системными: смена учетных данных, оценка рисков и, в корпоративной среде, обязательное взаимодействие со службой ИБ.

Оставьте комментарий