Internet glömmer aldrig. Innebörden av det är att data som har raderats på internet/webben/molnet långt ifrån alltid verkligen har raderats. Enda sättet att undvika sådana här zombiedata är att ha hundraprocentig koll på hur ni själva, era internetoperatörer, applikations- och molnleverantörer hanterar data.

Vem har det?

Det här är inget nytt som har dykt upp med internet. Redan på åttiotalet upptäckte många pc-användare att filer som de hade raderat fanns kvar på disketter och hårddiskar. Det var bara filsystemets referenser som togs bort, alla data fanns kvar. Och även om nya data skrevs på disken kunde det finnas delar av raderade filer kvar som kunde återvinnas.

Med mer moderna användargränssnitt med vilka man drar filer till papperskorgar blir det ännu enklare att återvinna raderade data.

Läs också: Nytt domedagsvalv på Svalbard ska skydda viktiga data

När raderade data i molnet inte tas bort ordentligt är det inte bara irriterande. När dataskyddsförordningen, även känd som GDPR, börjar gälla i EU 25 maj 2018 blir det oerhört viktigt för företag att kunna garantera hur data hanteras. Annars väntar det som är högst av upp till fyra procent av omsättningen eller 20 miljoner euro i böter.

Det som gör hanteringen extra svår i molnet är att det i regel finns flera kopior av data, till exempel flera kopior av en fil. Det innebär att varje kopia verkligen måste tas bort för att en fil ska raderas.

Tänk dig en användare som lagrar filer på en molntjänst. Filerna synkas mellan molntjänsten och användarens olika enheter, som bärbar dator, smartmobil och surfplatta. Samma princip gäller om det är en fil som hanteras av en serverapplikation av en användare, filen kopieras mellan servern på användarens företag och molnleverantörens servrar. Eventuellt är det flera servrar på användarens företag som hanterar filen.

Vissa molntjänster lagrar äldre versioner när en fil ändras och för att garantera tillgänglighet replikeras filen mellan olika servrar i olika datacenter. Och varje server som hanterar filen säkerhetskopieras. Resultatet blir att det finns ett stort antal kopior av filen i omlopp. Samma princip gäller för andra sätt att hantera data än i filer, till exempel rader i en databastabell.

När användaren ”raderar” filen, eller andra data, i molnet kan det finnas kopior av den kvar på många ställen. Om filen tas bort lokalt och via användarens konto på molntjänsten är det ofta bara de synliga referenserna till den som tas bort. Om användaren ångrar sig och vill ha tillbaka filen så tas bara raderingsmarkeringen för den bort.

Vissa molnleverantörer erbjuder återställningsperioder på 30 dagar, eller ännu längre. Då syns inte referenser till filen, men den finns kvar. Det finns vissa leverantörer som har funktioner för fullständig borttagning, men det är inte någon standard och det är svårt att veta om det verkligen fungerar.

Läs också: Nya viruset Brickerbot förstör alla uppkopplade prylar som infekteras

IDG News berättar till exempel om säkerhetsföretaget Elcomsoft som hittat kopior av surfhistorik som skulle vara raderad på Icloud. Ett annat exempel är att användare av Dropbox hittade filer som skulle vara raderade i januari. Det berodde på en bugg i Dropbox mjukvara. Ytterligare ett exempel är att det tog tre år att ta bort bilder som raderats på Facebook. Och även efter det kan de ha funnits kvar i olika säkerhetskopior.

Kort sagt, med tanke på säkerhetskopior, lösningar för dataredundans och olika policy för att behålla data så är det svårt att veta om raderade data verkligen raderas. Till och med om molnleverantörer formaterar om och behandlar diskar magetiskt (degauss) så kan det hända att data faktiskt finns kvar.

Allt det här är illa nog för konsumenter, men för företag är det ännu värre. Dels så innebär GDPR att det kan bli ekonomiskt kostsamt, dels finns det säkerhetsrisker. Det kan vara känsliga data som simmar runt i molnets stora datasjö, trots att de borde vara raderade.