За последнее десятилетие данные стали чрезвычайно ценным активом. Это побудило правительства, защитников конфиденциальности и различные некоммерческие организации обратить более пристальное внимание на то, как крупные компании собирают, хранят и обмениваются информацией о клиентах.
Развилась целая индустрия утилизации данных — большая отрасль, в которой компании разрабатывают специальные процессы, обеспечивая надлежащую утилизацию устаревшего оборудования без утечки конфиденциальных данных третьим сторонам. Крупнейшие в мире технологические компании ежегодно уничтожают миллионы устройств хранения данных, а в сумме затраты идут на миллиарды долларов. Это огромная индустрия со своими отдельными правилами.
По данным Financial Times, и Amazon, и Microsoft (два главных оператора центров обработки данных в мире) сейчас предпочитают физически уничтожать все свои устройства, несущие данные, которые они больше не собираются использовать. Одной очистки данных с дисков для них недостаточно. Уничтожение миллионов девайсов каждый год в их случае предпочтительнее, чем наличие любого риска утечки информации. В то же время некоторые активисты и гос. организации пытаются изменить эту парадигму и призывают компании переходить просто на очистку своих использованных дисков и их последующую продажу на вторичном рынке.
Ежегодно компании в мире закупают порядка 19 млн SSD и 180 млн HDD для хранения данных. Цифры, на самом деле, гигантские. И при этом как минимум четверть от этого числа каждый год приходится уничтожать — из-за того, что устройства отслужили свое, морально устарели, или в них обнаружились опасные дефекты. Такие компании, как Google, Amazon и Microsoft, а также банки, правоохранительные органы и правительственные учреждения ежегодно уничтожают диски на десятки миллиардов долларов. Причем большая часть из этого отправляется прямо на мусорки, даже без попыток извлечь ценные материалы и компоненты.
Сейчас только в одних Соединенных Штатах ежегодно уничтожается от 20 до 70 миллионов жестких дисков. Большинство из них собирается в ЦОДах и измельчается на мелкие кусочки. Общая сентенция — лучше уничтожить пару тысяч лишних HDD, чем потерять кусочек данных и рисковать PR-скандалом.
Если хоть один корпоративный файл сохранится после очистки диска и попадет на черный рынок — восстановить доверие клиентов потом будет очень сложно. В результате каждый год миллиарды долларов в буквальном смысле перемалываются, причем по мере роста объема данных в интернете масштабы этого действа растут.
Так ли важно физически уничтожать диски?
Консалтинговая фирма Gartner прогнозирует, что в течение следующих трех лет по всему миру будет построено еще около 700 центров обработки данных. Становится всё более актуальным вопрос о том, что компаниям делать с миллионами тонн устаревшего оборудования. Сейчас большинство просто превращается в труху, а потом идет на свалку. Десятки тысяч тонн покрошенного железа каждый год уходят в землю. Те, кто видит это своими глазами, обычно в шоке от масштабов потерь.
Большинство компаний, занимающихся ЦОДами, выбрасывают диски через несколько лет, хотя, по мнению нескольких отраслевых экспертов, устройства еще могут прослужить годы или даже десятилетия. Согласно исследованиям, более 90% накопителей уничтожаются во время их планового вывода из эксплуатации, хотя большая часть из них все еще нормально функционирует. К сожалению, мало у кого есть время индивидуально проверять каждый диск. Часто инженерам просто дается общая установка, и после трех-пяти лет оборудование считается устаревшим и уходит в утиль, даже если физически с ним всё нормально.
Компании, конечно, пытаются уничтожать меньше устройств. Так, в прошлом году Google заявила, что продлит срок службы оборудования в своих облачных серверах с трех до четырех лет. Amazon Web Services в феврале продлили свой срок с четырех до пяти лет. А месяц назад Microsoft объявила о продлении срока службы своих серверов и сетевого оборудования с четырех сразу до шести лет.
Постепенно процент материалов, успешно восстанавливаемых из уничтоженных накопителей данных, тоже растет. Модели показывают, что если сегодняшние тенденции сохранятся до 2050 года, 68% материалов в новых жестких дисках будут состоять из переработанных и измельченных дисков б/у. Это порядка $20-$25 млрд дополнительной экономии на материалах ежегодно. Около $12 «бонусных» миллиардов в одних только США.
Вывод из эксплуатации оборудования ЦОД уже превратился в полноценную индустрию, этим занимаются десятки крупных фирм. Многие предлагают полноценную очистку накопителей с последующей их продажей на вторичных рынках. Они говорят, что отремонтированное и хорошо очищенное оборудование ничем не уступает по производительности новому, плюс это дешевле для компаний и куда «зеленее». Некоторые материалы, используемые для создания жестких дисков, довольно редки, и на Земле их осталось не так много (палладий, например, встречается в 30 раз реже, чем золото).
По крайней мере, у IT-гигантов есть какие-то финансовые резоны реже избавляться от накопителей и искать способы их эффективной переработки. Но не только операторы центров обработки данных используют миллионы SSD/HDD. Огромные объемы устройств находятся в разных госкомпаниях, министерствах, полицейских управлениях, налоговых службах и так далее. У них почти нет финансовых стимулов экономить на новых дисках, а вот попадания данных в чужие руки нужно избежать любой ценой. Поэтому они почти всегда выбирают полное физическое уничтожение оборудования, чтобы снизить свои риски. Изменить их подход будет гораздо сложнее. Никто не хочет оказаться в таком положении, как Morgan Stanley.
Фейл Morgan Stanley
Почему компании и разные организации продолжают тоннами перемалывать диски? Потому что мало кто хочет прослыть источником утечки данных. Никакому руководителю такой скандал не нужен. Лишние тысячи долларов трат на безвозвратную утилизацию — ладно (эти же траты и так всю жизнь были). А вот если ты пошел по другому пути, и в результате получил PR-провал на весь мир — тут можно и своего поста лишиться. Тогда зачем рисковать?
Хрестоматийный пример того, к чему всё это может привести — Morgan Stanley. Вторая по величине коммерческая транснациональная корпорация США, крупнейший банк, 70 тысяч сотрудников и сотни серверов. Недавно в рамках мирового соглашения её обязали заплатить $35 миллионов — за то, что она не смогла «должным образом защитить конфиденциальные данные клиентов». Такой штраф на банк наложила Комиссия по ценным бумагам и биржам США (SEC). При этом компания официально не признает себя виновной, но заявила, что не станет оспаривать выводы SEC.
Комиссия по ценным бумагам и биржам обнаружила, что Morgan Stanley не смогла защитить данные клиентов, плохо справившись с выводом из эксплуатации некоторых своих облачных хранилищ. В 2015 году она наняла для утилизации компанию по перемещению и хранению данных, «не имеющую опыта в услугах по их уничтожению». Этой компании банк поручил вывести из эксплуатации тысячи своих жестких дисков и серверов, которые содержали незашифрованную личную информацию о финансовых расходах миллионов клиентов Morgan Stanley.
Вместо того, чтобы должным образом избавиться от оборудования, компания якобы продала его третьей стороне за несколько миллионов. А эта третья сторона, в конце концов, выставила технику на интернет-аукцион. Откуда об утечке и узнала комиссия SEC. В сумме таким образом было «утеряно» несколько сотен отдельных жестких дисков и 42 сервера.
Конечно, продавать железо, да еще и содержащее такую уникальную информацию, — куда выгоднее, чем заниматься его утилизацией. Morgan Stanley сама отдает тебе оборудование, да ещё и платит за это! Профит-профит.
Что будет с этой контрактной фирмой — в деле не говорится. Скорее всего, её владельцев ждет срок. Но Morgan Stanley от этого не легче. Отмыться от скандала в ближайшее время будет сложно, а все конкуренты смогут пропиариться на теме «храним ваши данные бережно, не то что некоторые».
Гурбир С. Гревал, один из руководителей SEC, сказал по поводу произошедшего:
Клиенты доверяют свою личную информацию профессионалам, в данном случае в сфере финансов, понимая и ожидая, что она будет защищена. Эта компания в данном случае, к большому сожалению, не справилась с этим. Часть данных даже не была зашифрована.
Если конфиденциальная информация не будет должным образом защищена, она может попасть в чужие руки, и результатом становятся катастрофические последствия для инвесторов. Сегодняшние наши действия дают четкий сигнал финансовым учреждениям о том, что они должны серьезно отнестись к своим обязательствам по защите данных пользователей.
В общем, учитывая разгоревшийся скандал, вряд ли переход на продажу или очистку старых дисков будет ускоряться. Несмотря на потери для конкретных компаний и для экологии, несмотря на некоторое давление со стороны общества, изменения в этой сфере происходят очень медленно; все двигаются с чрезвычайной осторожностью. До сих пор считается, что проще и безопаснее дробить устройства на мелкие кусочки, а потом заказывать новые. Как максимум — это уничтожение дисков откладывают на пару лет, как в случае с Google и Microsoft.
Кстати, если интересно, у нас в FirstVDS расклад тоже пока такой. Диски проходят полную очистку, проверяются с помощью специализированного ПО и отправляются в утилизирующую компанию, или утилизируются собственными силами на мощных шредерах размером с полкомнаты.