Парадокс, в котором зашифрована истинная власть над данными

В цифровом мире существует странная асимметрия: создавать данные легко, хранить сложно, а уничтожить гарантированно — почти искусство. Добавить терабайт — вопрос бюджета. Защитить — вопрос архитектуры. А доказать, что данные больше не существуют, — это уже вопрос зрелости всей системы.

Удаление — это не отсутствие данных.
Удаление — это активное, необратимое и подтверждённое событие.
И именно в нём скрыта настоящая власть над информацией.

Если вы можете создать данные, скопировать их, переместить, заархивировать, но не можете доказуемо и окончательно их уничтожить, — значит, вы не контролируете жизненный цикл данных. А значит, не владеете ими по-настоящему.

Управлять данными — это контролировать весь их путь: от момента создания, через стадии использования и хранения, до окончательного удаления. Цифровой суверенитет не проявляется в накоплении терабайтов, а в способности гарантированно решать, чему жить, а чему исчезнуть, без паники и случайностей. В этом смысле удаление — это не потеря, а высший пилотаж управления данными.

Иллюзия удаления

Для пользователя удаление выглядит просто.
Кнопка «Delete». Корзина. Очистить.

Для ЦОДа это почти всегда иллюзия. В реальной инфраструктуре данные живут одновременно:

  • в рабочих системах;

  • в снэпшотах;

  • в резервных копиях;

  • в репликах;

  • в архивах;

  • в логах;

  • в тестовых средах.

Удалить файл в приложении — значит убрать ссылку, но не обязательно уничтожить сами данные. Они могут физически существовать ещё годами, перемещаясь между уровнями хранения и переживая несколько миграций инфраструктуры.

Статистика показывает, что до 85% корпоративных данных составляют избыточные или устаревшие массивы, которые никогда больше не используются. Но мало кто задаётся следующим вопросом:

А можем ли мы вообще их удалить — по-настоящему?

Почему гарантированное удаление так усложнено

Многослойность хранения

Современный ЦОД — это не «диск с файлами», а сложная иерархия, включающая в себя быстрые массивы, объектное хранение, ленточные библиотеки, офлайн-копии и прочее. Данные могут существовать одновременно в нескольких слоях, управляемых разными системами, иногда — разными организациями.

Удаление в одном слое ничего не гарантирует, если в другом осталась копия.

Лента: надёжность против простоты

Магнитная лента — чемпион по долговечности, энергоэффективности и стоимости хранения. Именно поэтому она остаётся основой долгосрочных архивов и «последнего рубежа» резервного копирования.

Но лента создаёт отдельный парадокс: она не подключена постоянно, доступ к данным отложен во времени, а картриджи могут храниться годами без обращения. Если данные записаны на ленту, но затем должны быть удалены, то нужно найти все копии, определить, на каких картриджах они находятся, гарантировано уничтожить так, чтобы ни одна из копий не могла быть восстановлена.

Физически это означает либо контролируемое стирание, либо уничтожение носителя, либо криптографическое «убийство» данных. Каждый вариант технологически и организационно сложен.

Модели удаления: от иллюзий в реальность

Логическое удаление — комфортный самообман

Самая распространённая модель, ибо проста. Ссылки на данные удаляются, блоки помечаются как «свободные» и остаётся лишь ждать, что «они когда-нибудь перезапишутся». Всё это легко «всплывает» при цифровой экспертизе (forensics) к радости одних и огорчению других.

Это не удаление. Это вежливое игнорирование.

Перезапись — хорошо, но не всегда возможно

Классический подход из эпохи HDD — многократная перезапись блоков. Но в современном ЦОД SSD скрывают реальное размещение данных, контроллеры делают переназначение (ремапинг), а виртуализация ломает прямой доступ к носителю.

Перезапись превращается в лотерею.

Самый эффективный подход для блочных хранилищ, потому что данные хранятся в зашифрованном виде, а ключ шифрования уничтожается. Физически данные остаются, но становятся криптографическим шумом. Всё это происходит мгновенно, масштабируемо и процесс уничтожения становится доказуемым. Но при одном условии — архитектура должна быть изначально спроектирована правильно. Задним числом криптографическое стирание не внедришь.

Модели безвозвратного удаления данных на разных носителях

HDD: обманчивая простота

Жёсткие диски долгое время считались «самыми понятными» носителями с точки зрения удаления. Прямой доступ к секторам создаёт иллюзию контроля. Даже при многократной перезаписи нет 100% гарантии, если система не проектировалась с учётом удаления.
Поэтому в критичных сценариях физическое уничтожение остаётся финальным аргументом.

Лента: медленно, надёжно и беспощадно

Лента — самый честный носитель. Она не делает вид, что умеет стирать по байтам.Информация на ленте либо хранится, либо уничтожается. Путем полной перезаписи, если это возможно, ну или трактором переехать. Поэтому в долгосрочных архивах лента часто оказывается самым надёжным инструментом безвозвратного удаления, как бы парадоксально это ни звучало.

Облако: доверяй, но не проверяй

В облаке вы не владеете носителем. Вы владеете лишь обещанием. Удаление означает:

  • запись в лог;

  • выполнение внутренней процедуры провайдера;

  • ожидание, что копии исчезнут «где-то там».

Даже крупные провайдеры редко раскрывают сроки физического удаления, судьбу реплик и детали утилизации носителей. Поэтому для регуляторных данных облако без дополнительных механизмов — самый непрозрачный сценарий удаления.

Почти удалили: самые опасные ошибки (наверно)

Самые страшные инциденты — не когда данные утекли. А когда все уверены, что они удалены, но это не так.

Ошибка №1. «Мы удалили прод, но забыли про бэкапы»

Классика жанра: данные были удалены из основной системы, но бэкапы продолжают жить. Спустя какое-то время через аудит или суд данные внезапно «восстанавливаются».

Ошибка №4. Тестовые среды и «временные копии»

Самый человеческий фактор: «Скопируй прод в тест, потом удалим». Не удалили.
По статистике, огромная доля утечек персональных данных происходит именно из тестовых сред, которые никто не считает «настоящими».

В одной из самых известных судебных историй по электронному обнаружению доказательств в США удалённые электронные письма нашли на резервных копиях, что стало критичным для дела.В рамках иска Лауры Зубулаке против UBS Warburg суд установил, что переписка, которую компания считала удалённой из активной системы, продолжала существовать на резервных лентах и была восстановлена. При этом часть резервных лент вообще отсутствовала, что привело к санкциям против UBS за несоблюдение обязанностей по сохранению доказательств.

Вывод: резервные копии и архивы часто хранят “удалённые” данные. Их восстановление стало ключевым элементом судебного процесса — пример того, что удаление в рабочей системе не означает уничтожения данных в резервных хранилищах.

В утечке сети FriendFinder Networks в 2016 году были обнаружены миллионы аккаунтов, которые были отмечены как удалённые, но физически всё ещё находились в базе и были включены в утечку.

Вывод: даже после логического удаления записи могут оставаться физически в хранилище и быть доступными злоумышленникам — классический пример “удаления, которое не удаляет”.

В начале 2000‑х во время расследования падения Enron исследователи по компьютерной судебной экспертизе восстанавливали удалённую переписку и документы с жёстких дисков и переделанных резервных копий, чтобы понять, что происходило внутри компании. Это знаменитый пример, когда удаление не спасало от восстановления информации техническими средствами экспертов.

В 2017 году в одном обсуждении инженеры упоминали случай, когда злоумышленники удалили резервные копии Veeam в результате атаки программой-вымогателем, но затем оказалось, что некоторые файлы можно было восстановить из моментальных снимков или незатёртых артефактов на уровне файловой системы — до тех пор, пока они не были окончательно перезаписаны. Это подчёркивает, что «удаление» не всегда означает полное уничтожение, если инфраструктура не проектировалась с учётом защиты резервных копий.

Регуляторы требуют доказательств

Наконец-то пригодилось
Наконец-то пригодилось

Современные законы о данных не верят на слово. 152-ФЗ и другие регуляторные режимы требуют:

  • ограниченных сроков хранения;

  • права на удаление;

  • доказуемости выполнения процедур.

Недостаточно сказать: «Мы удалили». Нужно уметь показать:

  • когда;

  • что именно;

  • каким способом;

  • без возможности восстановления.

А теперь честно: сколько инфраструктур умеют это делать сквозным образом — от приложения до последней резервной копии на ленте?

Как доказать аудитору, что данные действительно уничтожены: практические подходы

Как показать третьей стороне, что данные не просто «исчезли», а уничтожены гарантированно? Ведь для ЦОД, банков, госструктур и медицинских организаций это не шутки: аудиторы и регуляторы требуют доказательств выполнения политики хранения и удаления данных.

Стандарты для уничтожения конфиденциальной информации на цифровых носителях делят методы на три уровня:

1.     Очистка — программное удаление, перезапись.

2.     Деградация — более интенсивная очистка: несколько циклов перезаписи, криптографическое стирание.

3.     Физическое уничтожение — ломаем, дробим, расплавляем.

В корпоративной практике применяются несколько подходов, каждый из которых имеет свои плюсы и минусы:

Чтобы убедить аудитора, что данные уничтожены, нужно комбинировать методы:

  1. Журналы удаления + хэши.

  2. Криптографическое уничтожение с уничтожением ключей.

  3. Физическое уничтожение носителей по истечении срока хранения.

  4. Проверка процедур и контроль аудита.

Они это умеют: примеры конкретных компаний и их практик удаления данных

Облачные провайдеры

Amazon Web Services
В инфраструктуре AWS удаление объекта в S3 инициирует асинхронную очистку всех реплик в распределённом хранилище. Версионные объекты исчезают в соответствии с политиками жизненного цикла, а для блочных и объектных сервисов активно применяется криптографическое стирание. Диски, выводимые из эксплуатации, проходят многоступенчатую процедуру уничтожения — от размагничивания до физического дробления.
Критичность такого подхода очевидна: облачный провайдер обязан гарантировать, что удалённые данные однажды не «всплывут», иначе невозможна работа с корпорациями и государственным сегментом.

Google Cloud
В Google удаление реализовано через формализованный конвейер Data Deletion Pipeline. Сначала данные получают статус логически удалённых, после чего запускается фоновая очистка всех копий в распределённой файловой системе. Одновременно уничтожаются ключи шифрования и носители.
Особенность подхода — акцент на криптографическом уничтожении как наиболее быстром и масштабируемом методе гарантированного удаления в распределённых системах.

Microsoft Azure
Azure делает ставку на управляемый жизненный цикл данных: настроенные политики автоматически удаляют устаревшие объекты. При выводе оборудования из эксплуатации физические носители проходят сертифицированное уничтожение в дата-центрах.
Основной мотив — соответствие требованиям GDPR и ожиданиям корпоративных клиентов уровня Fortune 500, для которых доказуемое удаление данных является частью договорных обязательств.

Финансовый сектор

Goldman Sachs
В инвестиционном банке удаление данных встроено в архитектуру управления информацией. Информация классифицируются уже на этапе создания — от персональных данных до транзакционной истории и отчётности. Для каждого класса определён срок хранения, по истечении которого запускается централизованный процесс удаления. Все операции фиксируются в аудиторских системах, обеспечивая доказуемость для регуляторов.
Для финансового сектора это принципиально: нормативы требуют не только хранения данных, но и подтверждения их своевременного уничтожения без возможности восстановления.

JPMorgan Chase
Здесь ключевую роль играют регламенты хранения данных и режим юридического запрета на их удаление. Пока данные подпадают под юридическое удержание, они не подлежат удалению. Как только ограничения снимаются, запускается автоматизированный процесс уничтожения, охватывающий не только основные системы, но и архивы с резервными копиями.
Фактическая причина такой строгости — необходимость доказать регуляторам, что банк не хранит избыточные клиентские данные дольше установленного срока.

Технологические компании и интернет-сервисы

Apple
Удаление пользовательских данных встроено в конвейер обработки запросов на удаление персональных данных. После запроса пользователя начинается каскадное удаление информации из сервисов экосистемы, включая iCloud. Уничтожение ключей шифрования делает данные криптографически недоступными, даже если физические копии ещё присутствуют в инфраструктуре.
Так реализуется принцип защиты конфиденциальности на этапе проектирования и соответствие требованиям законодательства о персональных данных.

Meta Platforms
Запрос на удаление аккаунта в Meta инициирует оркестрацию процессов по десяткам внутренних сервисов. Каждый из них обязан подтвердить удаление своих копий данных, формируя сквозную систему отчётности. Полный цикл может занимать до 30 дней — из-за резервных копий, кэшей и геораспределённых реплик.
Причина — масштаб: в условиях глобальной распределённой инфраструктуры удаление превращается в управляемую операцию согласования между сервисами.

Хранение и архивы на ленте

Iron Mountain
Компания специализируется на сертифицированном уничтожении носителей, включая ленточные картриджи. Применяются физическое дробление, размагничивание и плавление, а заказчик получает официальный акт уничтожения с указанием серийных номеров носителей.
Для корпоративных архивов это критично: организации обязаны иметь документальное подтверждение физического уничтожения архивных данных, особенно при завершении сроков хранения.

Государственные стандарты и регуляторы

National Institute of Standards and Technology
Руководство NIST SP 800-88 задаёт базовую модель уничтожения данных: логическая очистка, криптографическое или многократное стирание и физическое уничтожение. Эти рекомендации лежат в основе практик облачных провайдеров, банков и государственных структур, формируя единый язык описания операций удаления.

Почему зрелые компании инвестируют в удаление

Несмотря на различия в индустриях, мотивация у всех перечисленных организаций совпадает. Во-первых, юридическая защита: хранение лишних данных увеличивает риски исков и штрафов. Во-вторых, кибербезопасность: утечка старых архивов часто наносит больший ущерб, чем компрометация актуальной базы. В-третьих, экономика — бесконечное хранение кратно увеличивает совокупную стоимость владения инфраструктурой. В-четвёртых, регуляторные требования вроде GDPR и отраслевых стандартов прямо предписывают контролируемое удаление. И, наконец, управление жизненным циклом данных: без гарантированного и доказуемого уничтожения архитектуру хранения нельзя считать зрелой — она остаётся системой накопления, но не системой управления информацией.

Как организовать процесс удаления данных и сделать это правильно и безболезненно (по-возможности)

Как понимать, где хранятся данные

Знание местоположения данных — ключевой элемент. Данные поступают из разных источников: базы данных, приложений, файлов, внешних сервисов. Их нужно выявлять с помощью сканирования всех хранилищ, отслеживать потоки, вести каталог метаданных и реестр источников. Если все точки хранения известны заранее, инвентаризация проходит без долгих поисков, а аудит и проверка соответствия требованиям становятся простыми и прозрачными.

Потоки и уровни хранения данных

Организация удаления невозможна без понимания архитектуры хранения:

  • Озеро данных (Data Lake) — централизованное хранилище сырых или малообработанных данных для дальнейшей обработки и анализа.

  • Хранилище данных (Data Warehouse) — структурированные данные, подготовленные для бизнес-аналитики и отчётности.

  • Архив — «холодное» хранение данных, включая ленточные библиотеки, где доступ редок, но надёжность важна.

  • Резервные копии — защитная мера от потерь и сбоев.

На каждом уровне нужно вести метаданные: что за данные, откуда они поступили, какие трансформации были применены. Это упрощает последующую работу с удалением и аудит.

Удаление данных должно быть управляемым и проверяемым процессом. Триггером может служить истечение срока хранения или юридический запрос. Процесс обычно включает следующие шаги:

Для бэкапов и ленточных архивов особенно эффективен метод криптографического удаления: уничтожение ключей шифрования формально делает данные недоступными, что соответствует требованиям NIST SP 800-57 и ENISA.

Доказуемость удаления

Документированное удаление данных — не формальность, а юридическая необходимость. Основные стандарты, на которые опираются организации: NIST SP 800-88, PCI DSS 9.8, ISO 27040, GDPR Art. 17.

Архитектура доказуемого удаления включает:

  • Оркестратор удаления (Deletion Orchestrator) — сервис, который управляет процессом удаления.

  • Журнал доказательств удаления (Deletion Evidence Ledger) — журнал, фиксирующий детали: какие данные, где хранились, когда удалены и каким методом.

  • Криптографическое уничтожение данных (Cryptographic Erasure) — уничтожение ключей шифрования для резервных копий и архивов.

Даже если исторические бэкапы не переписываются, они должны быть недоступны для обработки, а данные будут удалены при ротации.

Универсальная логика удаления

Процесс удаления выглядит как последовательная цепочка:

[Инвентаризация данных]

[Модуль управления политиками хранения]

[Проверка юридической блокировки]

[Определение объёма данных для удаления]

[Оркестратор удаления данных]

├─ Удаление из базы данных
├─ Очистка объектного хранилища
├─ Очистка индексов
├─ Пометка архивных записей как удалённых
└─ Логическое истечение срока действия резервных копий

[Журнал доказательств удаления]

Соблюдение этой логики позволяет управлять удалением на всех уровнях хранения — от оперативных систем до ленточных библиотек, и обеспечивает полную трассируемость.

Вывод

В мире резервных копий, снэпшотов, репликаций и архивов данные живут собственной жизнью и легко переживают смену систем, администраторов и даже поколений инфраструктуры. Именно поэтому большинство инцидентов, регуляторных претензий и судебных споров начинаются не с утечки «активных» данных, а с восстановления того, что считалось давно удалённым.

В этом контексте безвозвратное удаление перестаёт быть «технической операцией». Это управленческое решение и элемент цифрового суверенитета. Организация, которая умеет осознанно ограничивать сроки хранения, управлять копиями во всех слоях и гарантированно завершать жизненный цикл данных, снижает риски, упрощает инфраструктуру и повышает доверие — со стороны клиентов, партнёров и регуляторов.

Буду рад обсуждению, возражениям и примерам из практики. Тема безвозвратного удаления редко бывает теоретической — чаще всего она вскрывается через инциденты и неприятные сюрпризы. Было бы интересно узнать с чем вы сталкивались.
Ваш опыт и замечания напрямую повлияют на содержание следующих публикаций — о стратегиях управления жизненным циклом данных, роли ленты и архивов, «холодном» хранении, а также о типичных архитектурных ошибках, из-за которых действительно важную информацию теряют, а ненужную — не могут уничтожить.