Po co komu backup
Jaką rolę odgrywa backup w naszje Organizacji? Czy to tylko wymog techniczny, prawny czy może przede wszystkim bycie wiarygodnym w oczach naszych klientów
Po co komu backup?
W świecie cyberbezpieczeństwa często mówi się o firewallach, systemach EDR, monitoringu bezpieczeństwa czy wykrywaniu incydentów. Są to oczywiście bardzo ważne elementy ochrony organizacji, jednak istnieje jeden obszar, który mimo swojego znaczenia wciąż bywa traktowany po macoszemu.
Mowa o kopiach zapasowych.
W wielu organizacjach backup funkcjonuje wyłącznie jako zadanie techniczne. Administrator skonfigurował harmonogram wykonywania kopii, system nie zgłasza błędów, więc wszyscy zakładają, że problem został rozwiązany.
Niestety rzeczywistość pokazuje coś zupełnie innego.
W momencie awarii, ataku ransomware lub błędu ludzkiego bardzo często okazuje się, że kopie zapasowe są niekompletne, uszkodzone lub nigdy nie były testowane.
Czy backup rzeczywiście pozwoli nam odzyskać dane i przywrócić działanie organizacji?
Backup to nie plik. To zdolność do odtworzenia działania
Jednym z najczęściej popełnianych błędów jest utożsamianie backupu z samą kopią danych.
W praktyce kopia zapasowa ma wartość wyłącznie wtedy, gdy pozwala przywrócić:
- dane,
- systemy,
- usługi,
- procesy biznesowe.
Z punktu widzenia organizacji nie ma większego znaczenia, czy dane znajdują się na serwerze, macierzy czy taśmie.
Znaczenie ma jedno:
Czy po incydencie organizacja będzie mogła dalej działać?
Dlatego nowoczesne podejście do backupu jest ściśle związane z odpornością organizacyjną i ciągłością działania.
Dlaczego backup jest tak ważny
Przyczyn utraty danych może być bardzo wiele.
Najczęściej są to:
- awarie sprzętu,
- błędy administratorów,
- przypadkowe usunięcie danych,
- błędy aktualizacji,
- awarie aplikacji,
- ataki ransomware,
- błędy dostawców usług,
- zdarzenia losowe, takie jak pożar lub zalanie.
W praktyce nie chodzi o to, czy incydent wystąpi.
Pytanie brzmi:
Kiedy wystąpi i jak organizacja sobie z nim poradzi?
Dobrze zaprojektowany backup pozwala ograniczyć skutki takich zdarzeń do minimum.
Zasada 3-2-1 – fundament bezpiecznego backupu
Od wielu lat za podstawę bezpiecznego przechowywania danych uznawana jest zasada 3-2-1.
Oznacza ona:
- 3 kopie danych,
- przechowywane na 2 różnych nośnikach,
- z czego 1 kopia znajduje się poza główną lokalizacją.
Przykładowo:
- dane produkcyjne na serwerze,
- kopia na lokalnym repozytorium backupowym,
- dodatkowa kopia w innej lokalizacji lub chmurze.
Takie podejście znacząco zwiększa odporność organizacji na awarie oraz zdarzenia losowe.
W ostatnich latach coraz częściej mówi się również o rozszerzeniu tej zasady o kopie offline lub immutable, które są odporne na modyfikację przez ransomware.
Backup bez testów jest tylko teorią
W wielu organizacjach regularnie wykonywane są kopie zapasowe.
Problem polega na tym, że nikt nie sprawdza, czy da się je odtworzyć.
To jeden z najpoważniejszych błędów.
Nie można zakładać, że skoro proces backupu zakończył się statusem „OK”, to dane są bezpieczne.
Dopiero test odtworzeniowy daje pewność, że:
- dane są kompletne,
- kopie nie są uszkodzone,
- procedury działają poprawnie,
- personel wie, jak przeprowadzić odtworzenie.
W praktyce testy odtworzeniowe powinny być realizowane cyklicznie i dokumentowane.
Brak testów oznacza brak pewności, że organizacja będzie w stanie odzyskać swoje dane.
DRP – czyli co zrobić, kiedy wydarzy się najgorsze
Sam backup nie wystarczy.
Organizacja musi wiedzieć:
- kto odpowiada za odtworzenie,
- jakie systemy przywracane są w pierwszej kolejności,
- gdzie znajdują się kopie,
- jakie są procedury awaryjne,
- jakie zasoby są niezbędne do odtworzenia usług.
Właśnie temu służy DRP, czyli Disaster Recovery Plan.
Plan odtworzeniowy opisuje sposób przywrócenia działania organizacji po poważnym incydencie.
Powinien uwzględniać:
- role i odpowiedzialności,
- procedury techniczne,
- zależności pomiędzy systemami,
- kolejność odtwarzania usług,
- komunikację kryzysową.
Najważniejsze jednak jest to, że DRP nie może być wyłącznie dokumentem leżącym w segregatorze.
Powinien być regularnie testowany i aktualizowany.
RTO i RPO – dwa parametry, które powinien znać każdy zarząd
Podczas projektowania backupu bardzo często pojawiają się dwa skróty: RTO i RPO.
RTO – Recovery Time Objective
RTO określa maksymalny dopuszczalny czas przywrócenia usługi.
Przykład:
Jeżeli system sprzedażowy posiada RTO wynoszące 4 godziny, oznacza to, że organizacja akceptuje maksymalnie czterogodzinną niedostępność tego systemu.
RPO – Recovery Point Objective
RPO określa maksymalną ilość danych, które organizacja może utracić.
Przykład:
RPO wynoszące 1 godzinę oznacza, że w przypadku awarii można stracić maksymalnie dane z ostatniej godziny.
To właśnie RTO i RPO powinny być punktem wyjścia do projektowania strategii backupu.
Najpierw określamy potrzeby organizacji, a dopiero później dobieramy technologię.
Backup a ISO 27001
Norma ISO 27001 od wielu lat wskazuje na konieczność stosowania odpowiednich mechanizmów zabezpieczających informacje.
W praktyce oznacza to między innymi:
- wykonywanie kopii zapasowych,
- ochronę danych,
- testowanie procedur odtworzeniowych,
- zarządzanie ryzykiem związanym z utratą informacji.
Backup nie jest więc dodatkiem do systemu bezpieczeństwa.
Stanowi jeden z jego podstawowych elementów.
Backup a ISO 22301
ISO 22301 koncentruje się na ciągłości działania organizacji.
Z perspektywy tej normy backup jest jednym z narzędzi umożliwiających utrzymanie działania usług po wystąpieniu zakłócenia.
Norma zwraca szczególną uwagę na:
- analizę wpływu na biznes (BIA),
- określenie RTO i RPO,
- planowanie odtworzenia,
- testowanie procedur,
- ciągłe doskonalenie.
To właśnie tutaj backup przestaje być zagadnieniem technicznym i staje się elementem odporności organizacyjnej.
Backup a NIS2 i KSC 2.0
Nowe regulacje związane z cyberbezpieczeństwem coraz mocniej akcentują znaczenie odporności operacyjnej.
Zarówno dyrektywa NIS2, jak i projektowana ustawa KSC 2.0 wymagają od organizacji wdrożenia środków pozwalających utrzymać działanie usług również podczas incydentu.
Dotyczy to między innymi:
- zarządzania ryzykiem,
- ciągłości działania,
- odtwarzania po awarii,
- testowania zabezpieczeń,
- dokumentowania działań.
Oznacza to, że organizacja nie może ograniczyć się wyłącznie do wykonywania kopii zapasowych.
Musi również wykazać, że potrafi skutecznie odzyskać dane i przywrócić działanie usług.
Podsumowanie
Backup nie jest celem samym w sobie.
Jego zadaniem jest umożliwienie organizacji dalszego funkcjonowania pomimo awarii, błędu lub cyberataku.
Dobrze zaprojektowana strategia backupu powinna uwzględniać:
- zasadę 3-2-1,
- testowanie odtworzeń,
- określenie RTO i RPO,
- plan DRP,
- wymagania ISO 27001,
- wymagania ISO 22301,
- wymagania NIS2 i KSC 2.0.
Bo ostatecznie nie chodzi o to, czy posiadamy backup.
Chodzi o to, czy po incydencie będziemy w stanie wrócić do działania.