Sanitering (klassifisert informasjon) - Sanitization (classified information)

Sanitization er prosessen med å fjerne sensitiv informasjon fra et dokument eller annen melding (eller noen ganger kryptere den), slik at dokumentet kan distribueres til et bredere publikum. Når hensikten er hemmeligholdsbeskyttelse , som for eksempel i håndtering av klassifisert informasjon , forsøker sanering å redusere dokumentets klassifiseringsnivå, muligens gi et uklassifisert dokument. Når hensikten er personvern , kalles det ofte dataanonimisering . Opprinnelig ble begrepet sanitization brukt på trykte dokumenter; den har siden blitt utvidet til å gjelde datamaskimedier og problemet med dataoverholdelse også.

Redaksjon i sin sanitiseringsmessige betydning (som skiller seg fra den andre redigeringssansen ) er utslettingen eller slettingen av tekst i et dokument, eller resultatet av en slik innsats. Det er ment å tillate selektiv avsløring av informasjon i et dokument mens andre deler av dokumentet holdes hemmelig. Resultatet er vanligvis et dokument som er egnet for publisering eller for formidling til andre i stedet for den tiltenkte publikummet til originaldokumentet. For eksempel, når et dokument blir stevnet i en rettssak, blir informasjon som ikke er spesielt relevant for den aktuelle saken ofte omdirigert.

Offentlig hemmelighold

I sammenheng med regjeringsdokumenter, redaction (også kalt sanitering ) refererer generelt mer spesifikt til prosessen med å fjerne sensitiv eller gradert informasjon fra et dokument før utgivelsen, under declassification .

Sikker dokumentredaksjonsteknikker

Et amerikansk regjeringsdokument fra 1953 som har blitt redigert før utgivelsen.
En kraftig redigert side fra en søksmål fra 2004 innlevert av ACLU - American Civil Liberties Union v. Ashcroft

Den tradisjonelle teknikken for å redigere konfidensielt materiale fra et papirdokument før den offentliggjøres, innebærer å overskrive deler av teksten med en bred svart penn, etterfulgt av å kopiere resultatet - den skjulte teksten kan gjenopprettes fra originalen. Alternativt kan ugjennomsiktig "dekkbånd" eller "redaksjonstape", ugjennomsiktig, avtakbar klebebånd i forskjellige bredder påføres før kopiering.

Dette er en enkel prosess med bare mindre sikkerhetsrisiko. For eksempel, hvis den svarte pennen eller tapen ikke er bred nok, kan nøye undersøkelse av den resulterende fotokopien fremdeles avsløre delvis informasjon om teksten, for eksempel forskjellen mellom korte og høye bokstaver. Den nøyaktige lengden på den fjernede teksten er også gjenkjennelig, noe som kan hjelpe deg med å gjette plausible formuleringer for kortere redigerte seksjoner. Der datamaskingenererte proporsjonale skrifter ble brukt, kan enda mer informasjon lekke ut av den redigerte delen i form av den nøyaktige plasseringen av synlige tegn i nærheten.

Det britiske nasjonalarkivet publiserte et dokument, Redaction Toolkit, Guidelines for the Editing of Exempt Information from Documents Before to Release , "for å gi veiledning om redigering av unntatt materiale fra informasjon fra offentlige organer."

Sikker redigering er et langt mer komplisert problem med datafiler . Tekstbehandlingsformater kan lagre en revisjonslogg for den redigerte teksten som fremdeles inneholder den redigerte teksten. I noen filformater lagres ubrukte deler av minnet som fremdeles kan inneholde fragmenter av tidligere versjoner av teksten. Der teksten blir redigert, i Portable Document Format (PDF) eller tekstbehandlingsformat, ved å legge grafiske elementer (vanligvis sorte rektangler) over tekst, forblir originalteksten i filen og kan avdekkes ved ganske enkelt å slette den overliggende grafikken. Effektiv redigering av elektroniske dokumenter krever at all relevant tekst eller bildedata fjernes fra dokumentfilen. Dette krever enten en veldig detaljert forståelse av den interne driften av dokumentbehandlingsprogramvaren og filformatene som de fleste databrukere mangler, eller programvareverktøy designet for å desinfisere elektroniske dokumenter.

Redaksjon krever vanligvis en markering av det redigerte området med årsaken til at innholdet blir begrenset. Amerikanske myndighetsdokumenter som blir frigitt i henhold til Freedom of Information Act er merket med unntakskoder som angir årsaken til at innholdet er blitt holdt tilbake.

US National Security Agency (NSA) publiserte et veiledningsdokument som gir instruksjoner for redigering av PDF-filer.

Trykksaker

En side av et klassifisert dokument som er sanitert for offentlig utgivelse. Dette er side 13 i en rapport fra US National Security Agency [2] om USS Liberty- hendelsen , som ble avklassifisert og utgitt for offentligheten i juli 2003. Klassifisert informasjon er sperret slik at bare den uklassifiserte informasjonen er synlig. Notasjoner med ledelinjer øverst og nederst siterer lovpålagt autoritet for ikke å avklassifisere visse seksjoner. Klikk på bildet for å forstørre det.

Trykte dokumenter som inneholder klassifisert eller sensitiv informasjon inneholder ofte mye informasjon som er mindre følsom. Det kan være behov for å frigjøre de mindre følsomme delene til uklart personell. Det trykte dokumentet vil følgelig bli renset for å skjule eller fjerne sensitiv informasjon. Kart har også blitt redigert av samme grunn, med svært følsomme områder dekket med et hvitt papir.

I noen tilfeller fjerner sanitering av et klassifisert dokument nok informasjon til å redusere klassifiseringen fra et høyere nivå til et lavere. For eksempel kan rå etterretningsrapporter inneholde sterkt klassifisert informasjon, for eksempel identiteten til spioner , som blir fjernet før rapportene distribueres utenfor etterretningsbyrået: den første rapporten kan klassifiseres som topphemmelig mens den sanerte rapporten kan klassifiseres som hemmelig.

I andre tilfeller, som NSA-rapporten om USS Liberty- hendelsen (til høyre), kan rapporten renses for å fjerne all sensitiv data, slik at rapporten kan frigjøres til allmennheten.

Som det fremgår av USS Liberty- rapporten, rengjøres papirdokumenter vanligvis ved å dekke de klassifiserte og følsomme delene og deretter kopiere dokumentet, noe som resulterer i et desinfisert dokument som er egnet for distribusjon.

Datamedia og filer

Datamaskindokumenter (elektroniske eller digitale) er vanskeligere å sanitere. I mange tilfeller, når informasjon i et informasjonssystem blir endret eller slettet, forblir noen eller alle dataene lagret . Dette kan være en designulykke, der den underliggende lagringsmekanismen ( disk , RAM , etc.) fremdeles lar informasjon leses, til tross for den nominelle slettingen. Den generelle betegnelsen for dette problemet er data remanence . I noen sammenhenger (spesielt den amerikanske NSA, DoD og relaterte organisasjoner), refererer desinfisering vanligvis til å motvirke problemet med dataoverholdelse; redaksjon brukes i betydningen av denne artikkelen.

Imidlertid kan oppbevaring være en bevisst funksjon , i form av en angre buffer, revisjonshistorikk, "papirkurven", sikkerhetskopier eller lignende. For eksempel vil tekstbehandlingsprogrammer som Microsoft Word noen ganger brukes til å redigere sensitiv informasjon. Dessverre viser ikke disse produktene alltid brukeren all informasjonen som er lagret i en fil, så det er mulig at en fil fortsatt kan inneholde sensitiv informasjon. I andre tilfeller bruker uerfarne brukere ineffektive metoder som ikke renser dokumentet. Verktøy for fjerning av metadata er designet for å effektivt desinfisere dokumenter ved å fjerne potensielt sensitiv informasjon.

I mai 2005 publiserte det amerikanske militæret en rapport om dødsfallet til Nicola Calipari , en italiensk hemmelig agent, ved et amerikansk militært kontrollpunkt i Irak. Den publiserte versjonen av rapporten var i PDF-format, og hadde blitt redigert feil ved bruk av kommersielle programvareverktøy. Kort tid etter oppdaget leserne at de blokkerte delene kunne hentes ved å kopiere dem og lime inn i en tekstbehandler.

Tilsvarende innleverte advokater for kommunikasjonstjenesteleverandøren AT&T 24. mai 2006 et juridisk kort om deres samarbeid med innenlandsk avlytting fra NSA. Tekst på sidene 12 til 14 i PDF-dokumentet ble redigert feil, og den dekkede teksten kunne hentes ut ved å klippe og lime inn.

På slutten av 2005 ga NSA ut en rapport med anbefalinger om hvordan du trygt kan desinfisere et Microsoft Word-dokument.

Problemer som disse gjør det vanskelig å pålitelig implementere sikkerhetssystemer på flere nivåer , der databrukere med forskjellige sikkerhetsklareringer kan dele dokumenter. Challenge of Multilevel Security gir et eksempel på en desinfiseringsfeil forårsaket av uventet oppførsel i Microsoft Words endringssporingsfunksjon.

De to vanligste feilene for feil redigering av et dokument er å legge til et bildelag over den sensitive teksten uten å fjerne den underliggende teksten, og sette bakgrunnsfargen slik at den samsvarer med tekstfargen. I begge disse tilfellene eksisterer det redigerte materialet fortsatt i dokumentet under det synlige utseendet og er gjenstand for søk og til og med enkel kopiering og liming. Riktig redigeringsverktøy og prosedyrer må brukes for å fjerne sensitiv informasjon permanent. Dette oppnås ofte i en flerbruker-arbeidsflyt der en gruppe mennesker merker deler av dokumentet som forslag som skal redigeres, en annen gruppe verifiserer at reduksjonsforslagene er riktige, og en sluttgruppe bruker redigeringsverktøyet for å fjerne de foreslåtte elementene permanent.

Se også

Referanser

  1. ^ ' Redaksjon Toolkit, Retningslinjer for redigering av unntatt informasjon fra dokumenter før utgivelse
  2. ^ "Redaksjon av PDF-filer ved hjelp av Adobe Acrobat Professional X" (PDF) . Veiledning for sikkerhetskonfigurasjon . National Security Agency Information Assurance Directorate.
  3. ^ BBC Report (2. mai 2005). "Lesere avklassifiserer 'amerikansk dokument" . BBC.
  4. ^ [1]
  5. ^ Declan McCullagh (26. mai 2006). "AT&T lekker sensitiv info i NSA-drakt" . CNet News. Arkivert fra originalen 17. juli 2012.
  6. ^ NSA SNAC (13. desember 2005). "Redigere med tillit: Hvordan trygt publisere sanerte rapporter konvertert fra Word til PDF" (PDF) . Rapport # I333-015R-2005. Information Assurance Directorate, National Security Agency, via Federation of American Scientists . Hentet 2006-05-29 . Sitatjournal krever |journal=( hjelp )
  7. ^ Rick Smith (2003). Utfordringen med sikkerhetsnivå på flere nivåer (PDF) . Black Hat Federal Conference. Arkivert fra originalen (PDF) 2009-01-06.

Eksterne linker