Po co komu backup

Po co komu backup

Jaką rolę odgrywa backup w naszje Organizacji? Czy to tylko wymog techniczny, prawny czy może przede wszystkim bycie wiarygodnym w oczach naszych klientów

Po co komu backup?

W świecie cyberbezpieczeństwa często mówi się o firewallach, systemach EDR, monitoringu bezpieczeństwa czy wykrywaniu incydentów. Są to oczywiście bardzo ważne elementy ochrony organizacji, jednak istnieje jeden obszar, który mimo swojego znaczenia wciąż bywa traktowany po macoszemu.

Mowa o kopiach zapasowych.

W wielu organizacjach backup funkcjonuje wyłącznie jako zadanie techniczne. Administrator skonfigurował harmonogram wykonywania kopii, system nie zgłasza błędów, więc wszyscy zakładają, że problem został rozwiązany.

Niestety rzeczywistość pokazuje coś zupełnie innego.

W momencie awarii, ataku ransomware lub błędu ludzkiego bardzo często okazuje się, że kopie zapasowe są niekompletne, uszkodzone lub nigdy nie były testowane.

Czy backup rzeczywiście pozwoli nam odzyskać dane i przywrócić działanie organizacji?


Backup to nie plik. To zdolność do odtworzenia działania

Jednym z najczęściej popełnianych błędów jest utożsamianie backupu z samą kopią danych.

W praktyce kopia zapasowa ma wartość wyłącznie wtedy, gdy pozwala przywrócić:

  • dane,
  • systemy,
  • usługi,
  • procesy biznesowe.

Z punktu widzenia organizacji nie ma większego znaczenia, czy dane znajdują się na serwerze, macierzy czy taśmie.

Znaczenie ma jedno:

Czy po incydencie organizacja będzie mogła dalej działać?

Dlatego nowoczesne podejście do backupu jest ściśle związane z odpornością organizacyjną i ciągłością działania.


Dlaczego backup jest tak ważny

Przyczyn utraty danych może być bardzo wiele.

Najczęściej są to:

  • awarie sprzętu,
  • błędy administratorów,
  • przypadkowe usunięcie danych,
  • błędy aktualizacji,
  • awarie aplikacji,
  • ataki ransomware,
  • błędy dostawców usług,
  • zdarzenia losowe, takie jak pożar lub zalanie.

W praktyce nie chodzi o to, czy incydent wystąpi.

Pytanie brzmi:

Kiedy wystąpi i jak organizacja sobie z nim poradzi?

Dobrze zaprojektowany backup pozwala ograniczyć skutki takich zdarzeń do minimum.


Zasada 3-2-1 – fundament bezpiecznego backupu

Od wielu lat za podstawę bezpiecznego przechowywania danych uznawana jest zasada 3-2-1.

Oznacza ona:

  • 3 kopie danych,
  • przechowywane na 2 różnych nośnikach,
  • z czego 1 kopia znajduje się poza główną lokalizacją.

Przykładowo:

  • dane produkcyjne na serwerze,
  • kopia na lokalnym repozytorium backupowym,
  • dodatkowa kopia w innej lokalizacji lub chmurze.

Takie podejście znacząco zwiększa odporność organizacji na awarie oraz zdarzenia losowe.

W ostatnich latach coraz częściej mówi się również o rozszerzeniu tej zasady o kopie offline lub immutable, które są odporne na modyfikację przez ransomware.


Backup bez testów jest tylko teorią

W wielu organizacjach regularnie wykonywane są kopie zapasowe.

Problem polega na tym, że nikt nie sprawdza, czy da się je odtworzyć.

To jeden z najpoważniejszych błędów.

Nie można zakładać, że skoro proces backupu zakończył się statusem „OK”, to dane są bezpieczne.

Dopiero test odtworzeniowy daje pewność, że:

  • dane są kompletne,
  • kopie nie są uszkodzone,
  • procedury działają poprawnie,
  • personel wie, jak przeprowadzić odtworzenie.

W praktyce testy odtworzeniowe powinny być realizowane cyklicznie i dokumentowane.

Brak testów oznacza brak pewności, że organizacja będzie w stanie odzyskać swoje dane.


DRP – czyli co zrobić, kiedy wydarzy się najgorsze

Sam backup nie wystarczy.

Organizacja musi wiedzieć:

  • kto odpowiada za odtworzenie,
  • jakie systemy przywracane są w pierwszej kolejności,
  • gdzie znajdują się kopie,
  • jakie są procedury awaryjne,
  • jakie zasoby są niezbędne do odtworzenia usług.

Właśnie temu służy DRP, czyli Disaster Recovery Plan.

Plan odtworzeniowy opisuje sposób przywrócenia działania organizacji po poważnym incydencie.

Powinien uwzględniać:

  • role i odpowiedzialności,
  • procedury techniczne,
  • zależności pomiędzy systemami,
  • kolejność odtwarzania usług,
  • komunikację kryzysową.

Najważniejsze jednak jest to, że DRP nie może być wyłącznie dokumentem leżącym w segregatorze.

Powinien być regularnie testowany i aktualizowany.


RTO i RPO – dwa parametry, które powinien znać każdy zarząd

Podczas projektowania backupu bardzo często pojawiają się dwa skróty: RTO i RPO.

RTO – Recovery Time Objective

RTO określa maksymalny dopuszczalny czas przywrócenia usługi.

Przykład:

Jeżeli system sprzedażowy posiada RTO wynoszące 4 godziny, oznacza to, że organizacja akceptuje maksymalnie czterogodzinną niedostępność tego systemu.

RPO – Recovery Point Objective

RPO określa maksymalną ilość danych, które organizacja może utracić.

Przykład:

RPO wynoszące 1 godzinę oznacza, że w przypadku awarii można stracić maksymalnie dane z ostatniej godziny.

To właśnie RTO i RPO powinny być punktem wyjścia do projektowania strategii backupu.

Najpierw określamy potrzeby organizacji, a dopiero później dobieramy technologię.


Backup a ISO 27001

Norma ISO 27001 od wielu lat wskazuje na konieczność stosowania odpowiednich mechanizmów zabezpieczających informacje.

W praktyce oznacza to między innymi:

  • wykonywanie kopii zapasowych,
  • ochronę danych,
  • testowanie procedur odtworzeniowych,
  • zarządzanie ryzykiem związanym z utratą informacji.

Backup nie jest więc dodatkiem do systemu bezpieczeństwa.

Stanowi jeden z jego podstawowych elementów.


Backup a ISO 22301

ISO 22301 koncentruje się na ciągłości działania organizacji.

Z perspektywy tej normy backup jest jednym z narzędzi umożliwiających utrzymanie działania usług po wystąpieniu zakłócenia.

Norma zwraca szczególną uwagę na:

  • analizę wpływu na biznes (BIA),
  • określenie RTO i RPO,
  • planowanie odtworzenia,
  • testowanie procedur,
  • ciągłe doskonalenie.

To właśnie tutaj backup przestaje być zagadnieniem technicznym i staje się elementem odporności organizacyjnej.


Backup a NIS2 i KSC 2.0

Nowe regulacje związane z cyberbezpieczeństwem coraz mocniej akcentują znaczenie odporności operacyjnej.

Zarówno dyrektywa NIS2, jak i projektowana ustawa KSC 2.0 wymagają od organizacji wdrożenia środków pozwalających utrzymać działanie usług również podczas incydentu.

Dotyczy to między innymi:

  • zarządzania ryzykiem,
  • ciągłości działania,
  • odtwarzania po awarii,
  • testowania zabezpieczeń,
  • dokumentowania działań.

Oznacza to, że organizacja nie może ograniczyć się wyłącznie do wykonywania kopii zapasowych.

Musi również wykazać, że potrafi skutecznie odzyskać dane i przywrócić działanie usług.


Podsumowanie

Backup nie jest celem samym w sobie.

Jego zadaniem jest umożliwienie organizacji dalszego funkcjonowania pomimo awarii, błędu lub cyberataku.

Dobrze zaprojektowana strategia backupu powinna uwzględniać:

  • zasadę 3-2-1,
  • testowanie odtworzeń,
  • określenie RTO i RPO,
  • plan DRP,
  • wymagania ISO 27001,
  • wymagania ISO 22301,
  • wymagania NIS2 i KSC 2.0.

Bo ostatecznie nie chodzi o to, czy posiadamy backup.

Chodzi o to, czy po incydencie będziemy w stanie wrócić do działania.

← Wróć do listy artykułów