Descarte de resíduos eletrónicos: É responsabilidade de todos

As Nações Unidas recentemente divulgaram algumas estatísticas impressionantes sobre o lixo eletrónico:

• Em 2022, foram produzidas 62 milhões de toneladas de resíduos eletrónicos, um aumento de 82 por cento em relação a 2010.
• Este número está a caminho de aumentar mais 32 por cento, para 82 milhões de toneladas até 2030.
• Milhões de dólares em recursos estrategicamente valiosos desperdiçados, descartados.
• Apenas 1 por cento da procura de elementos de terras raras é satisfeita pela reciclagem de resíduos eletrónicos.

Talvez a estatística mais notável e alarmante seja esta: em 2022, menos de um quarto (22,3 por cento) dos resíduos eletrónicos do ano foi documentado como devidamente recolhido e reciclado.

Esta falta de eliminação adequada de equipamentos é horrível não só para o meio ambiente, mas também para a cibersegurança.

Porque os MSPs devem lidar corretamente com os resíduos eletrónicos

Como fornecedor de serviços geridos (MSP), muitas vezes é responsável pelo equipamento dos seus clientes desde o início até ao fim. O que outrora foi uma coleção de tablets invejável pode rapidamente tornar-se obsoleta como o pão de ontem. No entanto, quando a sua coleção de tablets ou IoT se torna desatualizada, não pode simplesmente atirá-la para o lixo. Embora tecnicamente possa, os especialistas alertam que isso é desaconselhável. Descartar lixo eletrónico desta forma é prejudicial para o ambiente e reflete uma má higiene cibernética.

Ficarias surpreendido com a frequência com que as empresas ignoram um dos maiores riscos de segurança: equipamentos de TI antigos guardados em armazém ou, pior ainda, deitados no lixo”, diz Russell Lawson, especialista em eliminação adequada de lixo eletrónico e fundador da Compliance Companion. Lawson trabalha com empresas na conformidade com a ISO 27001 e segurança da informação. “Vi em primeira mão como computadores desatualizados, discos rígidos e até impressoras em rede podem facilmente tornar-se responsabilidades sérias se não forem manuseados corretamente”, afirma. Ele acrescenta que muitas pessoas assumem que limpar um dispositivo ou realizar uma reposição de fábrica é suficiente, mas não é.

Essas são palavras que os MSPs devem lembrar ao ajudar um cliente a descartar dispositivos obsoletos.

Resíduos de dados e riscos de hardware

Os dados persistem. Mesmo que você pense que desapareceram, ainda existem vestígios. Um cibercriminoso determinado pode recuperar uma quantidade surpreendente de informações de um disco rígido descartado”, explica Lawson. Ele partilha que já encontrou casos em que empresas acreditavam ter apagado tudo, apenas para descobrir que registos de clientes, documentos internos e até credenciais de login ainda estavam acessíveis. “Isso é um desastre à espera de acontecer.”

Lawson também destaca a questão da reativação de hardware. “Um laptop descartado pode parecer inútil, mas se não tiver sido devidamente descomissionado, ainda pode conter credenciais em cache ou configurações de rede armazenadas. Se a pessoa errada se apoderar dele, esse dispositivo antigo pode tornar-se um ponto de entrada nos seus sistemas. Não é apenas um risco hipotético—isso acontece. Eu já vi isso acontecer”, acrescenta Lawson.

Como as empresas podem eliminar em segurança equipamentos informáticos obsoletos

Portanto, agora que está suficientemente assustado, o que devem as empresas fazer em vez disso?

"Em primeiro lugar, a eliminação segura precisa ser inegociável. Existem ferramentas adequadas para isso – Blancco, DBAN e outras que cumprem os padrões de segurança", diz Lawson. Ele observa que, para discos rígidos, sobrescrever os dados várias vezes é a melhor prática. E para dados altamente sensíveis? "Recomendo sempre a destruição física. Trituração, desmagnetização ou simplesmente um furador de pilares robusto – qualquer coisa que garanta nenhuma chance de recuperação."

Assim, pode ser aconselhável que os MSPs mantenham uma caixa de ferramentas literal na sua caixa de ferramentas. “Trabalhar com fornecedores certificados de eliminação de ativos de TI é outra obrigação. Eu aconselho sempre as organizações a usarem fornecedores que oferecem certificados de destruição para provar a conformidade com as regulamentações de segurança e ambientais”, sugere Lawson, observando que fornecedores certificados ISO 27001 ou empresas de eliminação certificadas NAID AAA são boas opções porque seguem procedimentos rigorosos de manuseamento e eliminação.

Os MSPs devem liderar o caminho na eliminação responsável de ativos de TI

O aspeto ambiental também é crucial. "Não se deve simplesmente deitar fora computadores antigos num aterro—não só é prejudicial para o planeta, mas dependendo de onde opera, pode até ser ilegal," explica Lawson. Programas de renovação segura são uma ótima opção, desde que os dispositivos passem primeiro por uma correta limpeza de dados. Lawson enfatiza que é aqui que os MSPs precisam estar particularmente envolvidos.

Os MSPs devem oferecer ativamente a gestão do ciclo de vida dos ativos de TI como parte dos seus serviços—ajudando as empresas a rastrear, higienizar e eliminar com segurança os seus equipamentos,” diz Lawson. Ele incentiva os Diretores de Segurança da Informação (CISOs) a aplicarem políticas de eliminação de ativos de TI, em vez de apenas documentá-las.

As auditorias ajudam, também. O que parece seguro no papel nem sempre reflete o que está a acontecer na prática”, observa Lawson, acrescentando que perdeu a conta ao número de empresas que não levaram a sério a eliminação de TI — até descobrirem dados sensíveis de clientes num disco rígido que acabou nas mãos de terceiros. “E por essa altura? É tarde demais. Uma estratégia sólida de eliminação de TI focada na segurança não é apenas sobre conformidade; é sobre evitar um incidente de segurança completamente evitável.”

A eliminação adequada de equipamentos de TI obsoletos é uma responsabilidade chave para os MSPs. Não se trata apenas de cumprir regulamentos; trata-se também de proteger os dados dos seus clientes e o ambiente. Ao adotar uma abordagem proativa com apagamento seguro de dados, fazer parcerias com fornecedores de eliminação certificados e gerir o ciclo de vida completo dos ativos, os MSPs podem prevenir problemas de segurança e reduzir o impacto ambiental.

Nota: Este artigo foi originalmente publicado em SmarterMSP.com.