Backup / artykuł premium

Backup odporny na ransomware - co naprawdę chroni firmę przed utratą danych

Backup nie jest folderem z kopią plików. Jest procesem, który ma pozwolić firmie wrócić do pracy po awarii, błędzie człowieka, usunięciu danych albo ataku ransomware. Różnica między „mamy kopię” a „potrafimy odtworzyć firmę” ujawnia się dopiero w kryzysie.

Ataki ransomware są szczególnie trudne, ponieważ uderzają nie tylko w dane produkcyjne, ale często także w kopie zapasowe. Jeżeli backup jest stale podłączony, dostępny tym samym kontem administratora i nie ma izolowanej retencji, może zostać zaszyfrowany lub usunięty razem z resztą środowiska. Dlatego odporność backupu trzeba projektować, a nie dopisywać po incydencie.

3-2-1 to minimumTrzy kopie, dwa typy nośników, jedna kopia poza głównym środowiskiem.
Odtwarzanie jest testemBackup bez regularnego restore testu jest deklaracją, nie dowodem.
Izolacja ma znaczenieKopia odporna na ransomware nie może być łatwo usunięta przez przejęte konto.

W artykule

  1. Model backupu odpornego na ransomware
  2. RPO i RTO w praktyce
  3. Porównanie poziomów ochrony
  4. Procedura po incydencie
  5. Wniosek strategiczny

Model 3-2-1 nadal działa, ale wymaga doprecyzowania

Klasyczna zasada 3-2-1 jest dobrym punktem wyjścia, ale we współczesnym środowisku warto dodać dwa warunki: co najmniej jedna kopia powinna być logicznie lub fizycznie izolowana, a część backupu powinna być niezmienna przez określony czas. W praktyce oznacza to kopie offline, WORM, immutable object storage, separację kont administracyjnych albo repozytoria niedostępne z domeny produkcyjnej.

Poziom odporności na ransomware

Wykres pokazuje orientacyjną odporność różnych sposobów ochrony danych. Im wyższy wynik, tym trudniej atakującemu zniszczyć wszystkie kopie jednocześnie.

Kosz i wersjonowanie plików30/100
Backup lokalny online48/100
Backup 3-2-168/100
Kopia izolowana/offline86/100
Immutable + testy restore96/100

To model poglądowy. Ostateczna odporność zależy od uprawnień, retencji, separacji kont, konfiguracji repozytoriów i regularnych testów odtwarzania.

RPO i RTO: dwa skróty, które powinien znać zarząd

RPO określa, ile danych firma może stracić, mierząc czas od ostatniej poprawnej kopii. RTO określa, jak szybko system powinien wrócić do działania. Dla dokumentów archiwalnych RPO może wynosić 24 godziny, a RTO 2 dni. Dla systemu sprzedażowego te wartości mogą być dużo ostrzejsze. Bez tych parametrów backup bywa projektowany „na oko”.

ZasóbPrzykładowe RPOPrzykładowe RTOPraktyczny wniosek
Dokumenty biurowe12-24 godziny1 dzień roboczyWażne jest wersjonowanie i ochrona przed masowym usunięciem.
System księgowy1-4 godziny4-8 godzinKonieczne są częstsze kopie i test odtworzenia bazy.
Sklep internetowy15-60 minut1-4 godzinyBackup musi uwzględniać bazę, pliki, integracje i płatności.
Poczta firmowa4-12 godzin1 dzieńPotrzebna jest polityka retencji i niezależne archiwum.
Maszyny wirtualne15 min - 4 godziny1-8 godzinLiczy się możliwość uruchomienia usług w środowisku zapasowym.

Czym backup różni się od synchronizacji?

Synchronizacja jest wygodna, ale potrafi błyskawicznie rozprowadzić błąd. Jeżeli użytkownik usunie katalog albo malware zaszyfruje lokalne pliki, zmiana może pojawić się także w chmurze. Backup powinien tworzyć niezależne punkty w czasie, których nie da się łatwo nadpisać zwykłą pracą użytkownika.

Synchronizacja pomaga, gdy

  • pracownicy pracują z różnych miejsc,
  • potrzebna jest współpraca na plikach,
  • ważne jest szybkie udostępnianie dokumentów.

Backup jest konieczny, gdy

  • trzeba odtworzyć stan sprzed incydentu,
  • dane są zaszyfrowane lub skasowane,
  • firma musi spełnić wymagania retencji.

Procedura po incydencie: najpierw nie szkodzić

Po wykryciu ransomware pierwszą reakcją nie powinno być natychmiastowe odtwarzanie na tym samym środowisku. Najpierw trzeba odizolować zainfekowane urządzenia, zabezpieczyć logi, ustalić moment pierwszych objawów, zweryfikować integralność kopii i sprawdzić, czy konta administracyjne nie są przejęte. Dopiero potem można wybrać punkt odtworzenia.

Najdroższy błąd po ataku

Odtworzenie danych do nadal skompromitowanego środowiska może spowodować ponowne zaszyfrowanie. Dlatego restore powinien być częścią procedury reagowania, a nie samotną czynnością administratora.

1Kopia poza głównym środowiskiem administracyjnym.
2Retencja chroniona przed usunięciem lub nadpisaniem.
3Regularny test odtworzenia z dokumentacją wyniku.

Wniosek: backup trzeba kupować razem z procedurą

Firmy często porównują backup po pojemności i cenie. Tymczasem prawdziwe pytanie brzmi: kto, z czego, gdzie i w jakiej kolejności odtworzy pracę firmy? Dobra usługa backupu powinna zawierać dokumentację, alerty o nieudanych kopiach, separację kont, testy odtworzeniowe oraz listę systemów krytycznych. Bez tego organizacja ma magazyn kopii, ale nie ma planu powrotu do działania.

Backup odporny na ransomware nie jest najtańszą kopią. Jest kombinacją separacji, retencji, automatyzacji, testów i spokojnej procedury działania pod presją.

Źródła i punkty odniesienia: