Backup i disaster recovery – dlaczego są tak istotne

Autor: Przemysław Kucharzewski

Dodano: 15 czerwca 2020
a9a69750edf9b8f64e6029d4dabf4f25d0bd7b53-large

Warto skupić się na jednym z podstawowych elementów bezpieczeństwa, które powinno być stosowane nie tylko przez firmy, ale przez każdego z użytkowników ogólnie rozumianych systemów komputerowych, czyli tworzeniu kopii zapasowej i odtwarzaniu awaryjnym. Kiedyś wydawało mi się, że to takie „must have” w każdym biznesie. Teraz po sprawdzeniu w praktyce, w szczególności w szeroko rozumianym segmencie małych i średnich firm, stwierdzam, że w naszym kraju mamy prawie samych twardzieli, którzy liczą na łut szczęścia i wierzą, że jakoś uda im się przetrwać bez żadnego incydentu związanego z utratą danych.

W pewnym stopniu zainteresowanie backupem wynikło z RODO, które w art. 32 wprost wymienia kopię zapasową jako jedno z podstawowych i obligatoryjnych zabezpieczeń danych osobowych. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  • pseudonimizację i szyfrowanie danych osobowych;

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Na wstępie – kilka definicji

Backup (Kopia zapasowa lub kopia bezpieczeństwa) to procesy, polityki i procedury dotyczące tworzenia kopii bezpieczeństwa danych w celu ich odtworzenia po utracie lub uszkodzeniu. Natomiast mianem Disaster recovery (odtwarzanie awaryjne) określa się procesy, polityki i procedury związane z wznowieniem lub utrzymywaniem infrastruktury teleinformatycznej, krytycznej dla organizacji, po wystąpieniu katastrofy naturalnej lub wywołanej przez człowieka.

Skutki utraty danych

Kopia zapasowa jest sprawą niezbędną, bo utrata danych to namacalne straty – czy to czasu, pieniędzy, utraconych zysków, wizerunku czy klientów. I to wszystko jest aktualne dziś.

Uwaga

Utrata danych to wymierna strata, która może spowodować nawet bankructwo firmy. Może kosztować organizację setki tysięcy czy nawet miliony złotych.

Trochę statystyk

Dane zaczerpnięte z różnych źródeł (w tym CHIP, Gartner, IDC, producenci systemów backupowych):

  • 45 proc. użytkowników traci w ciągu roku jakieś dane (dane z Polski, czyli dotyczy to co drugiej osoby)

  • 78 proc. użytkowników nie testuje swoich rozwiązań, nie wiedząc więc, czy odzyska swoje dane (znany jest mi przypadek ataku ransomware na firmę handlową, gdzie zaszyfrowaniu uległy dane z systemu ERP. Firma robiła przez kilka lat backup zupełnie nieświadomie. Ta nieuwaga kosztowała ją ok. 200.000 złotych haraczu. Na szczęście hackerzy byli na tyle „uczciwi”, że odszyfrowali pliki bazy danych)

  • ponad 60 proc. firm, które utraciły kluczowe dane, bankrutuje w ciągu 12-24 miesięcy po awarii (dane z rynku USA)

  • 67 proc. kopii zapasowych tworzonych manualnie na zewnętrznych nośnikach ma więcej niż 6 miesięcy (te 67 proc. zostało potwierdzone moimi własnymi ankietami podczas jednego z webinarów wśród resellerów IT)

  • 59 proc. kopii zapasowych na pendrive, dyskach zewnętrznych jest niezabezpieczona przed niepowołanym dostępem (czyli np. trzymana w niezamkniętej szufladzie biurka albo mówiąc wprost leżących na samym biurku – oczywiście dane niezaszyfrowane)

  • jedynie 4 proc. endpointów zabezpieczonych jest profesjonalnym backupem wykonywanym codziennie.

Jak firmy tracą dane

Najbardziej medialna przyczyna utraty danych to szyfrowanie kryptolokerami. Głośno było choćby o przypadku jednej z największych hurtowni części samochodowych w Polsce albo o znanym przewoźniku o zasięgu międzynarodowym. Otóż te organizacje miały olbrzymie problemy (w tym finansowe), gdyż praktycznie musiały wrócić technologicznie do lat 70-tych, bo ich działalność była "uziemiona" na czas 2-3 tygodni. Jak to się zaczęło? Od niewinnego załącznika wyglądającego jak plik pdf. Ktoś kliknął i cóż - praktycznie wszystkie dane i na serwerach i na wielu stacjach roboczych zostały zaszyfrowane;

Najczęściej przyczyną utraty danych jest błąd ludzki: czy to przypadkowe usunięcie danych, nadpisanie ich, czy nawet sformatowanie dysku, niewylogowanie/niezablokowanie się z systemu i pozostawienie „otwartego” dostępu do plików czy też danej aplikacji i „złośliwa” działalność kolegi czy koleżanki. Oczywiście, kryptolokery można powiązać z błędem ludzkim, bo zazwyczaj da się uniknąć infekcji przez zwiększoną uwagę i chwilę zastanowienia nad tym, co się robi. Zdarza się także, że utrata danych nie jest wynikiem błędu, a celowego działania np. odchodzącego pracownika, który przed odejściem jest w stanie skasować czy to lokalnie czy na serwerze szereg plików, które, de facto, są własnością firmy i mają swoja wartość (czy to lista potencjalnych klientów czy treść umów do podpisania czy planowanych zamówień);

Często zdarzają się też fizyczne uszkodzenia sprzętu – każdy dysk twardy ma swoją trwałość, każdy kontroler RAID może się zepsuć (jak lodówka czy pralka). O zwiększonej podatności na awarię dysku twardego możemy się dowiedzieć na podstawie symptomów czy też informacji systemowych. Ale jak już ta awaria nastąpi to bardzo często dane są nie do odzyskania, albo wymagają usług firm specjalistycznych, które nierzadko wyceniają je na wielokrotnie więcej niż koszt systemu backupowego (kwoty rzędu kilkunastu – kilkudziesięciu tysięcy złotych);

  • Błędy działania aplikacji – znam przypadki, gdy błędy w aplikacji powodowały utratę danych

  • Wirusy komputerowe, ataki hackerskie – cóż – zapewne każdy padł kiedyś ofiarą czy to złośliwego oprogramowania czy też celowego działania hackerów;

  • Klęski żywiołowe, przepięcia w sieci energetycznej – zdarzają się – czy to pożar, czy powódź, czy zalanie, uderzenie pioruna;

  • Kradzież sprzętu albo nośników danych – na pewno każdy z Was słyszał o tym, że komuś skradziono notebooka z samochodu. Notebooka można mieć ubezpieczonego, ale nikt nie zwróci nam skradzionych danych. Można dostać 3-4-5 tysięcy odszkodowania, a nierzadko dane są wielokrotnie więcej cenne.

Uwaga

Dane (nie tylko osobowe) zawsze powinny być przechowywane w trzech kopiach, w dwóch lokalizacjach, w tym jednej poza siedzibą organizacji.

Co mówią firmy?

Podczas audytów związanych z RODO, czy też w fazie wstępnej – w przesyłanej ankiecie dotyczącej stanu informatyzacji organizacji - stwierdzano nierzadko, że backup jest, ale nie każdy z interlokutorów rozumiał backup jako profesjonalną usługę. Co mówili przedstawiciele firm?

  • Robię backup na dysku zewnętrznym, pendrive, płycie (oczywiście jeśli nie zapomnę ) – kiedy bardziej wgłębialiśmy się w sprawę okazywało się, że jest to kopia sprzed pół roku. Oczywiście o jakiejś sensownej retencji backupu ciężko mówić, ciężko mówić o szyfrowaniu i bezpieczeństwie dla organizacji. Poznaliśmy przypadek, gdy dane sprzedaży, umowy, listy płac, CV pracowników przechowywane były na dysku zewnętrznym. No i ten dysk pożyczany był przysłowiowej Pani Zosi z księgowości do domu (żeby nie było nic nie mam przeciwko ani Zosiom ani księgowym) w celu np. przegrania z tego dysku zdjęć z imprezy integracyjnej.

  • Mam skrypt tworzący kopię bazy danych systemu sprzedażowego (jeśli się wykona…) – najczęściej była to jedna kopia danych, najczęściej nieszyfrowana i najczęściej przechowywana na tym samym urządzeniu co oryginał.

  • Mnie to się nie przytrafi – nie miałem awarii od 5 lat, mam dyski w RAID w serwerze, redundantne zasilanie – jestem prawdziwym HDD.

  • Przechowuję swoje dane w zewnętrznym data center i jestem bezpieczny – otóż nie – może dane są bardziej bezpieczne niż na jakimś pseudoserwerze (czyli stacji roboczej pełniącej role serwera) ale nic nie zastąpi prawdziwego backupu wg zasady 3-2-1.

  • Korzystam z dropboxa, googledrive – nie jest to backup a jedynie zasób w chmurze. Przede wszystkim pojawia się problem aktualności danych (wychodzi na to, że średnio mają one kilka miesięcy), a oprócz tego sprawa bezpieczeństwa tych danych i fakt przechowywania ich poza granicami Unii Europejskiej.

Autor: Przemysław Kucharzewski

VP Sales w Cypherdog - producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, IT Corner i Rady Biznesu WSH, redaktor w BrandsIT oraz podcaster w Akademia IT. Od 25 lat w branży IT, związany z dystrybucją przez blisko 20 lat (JTT Computer,VP Sales w Cypherdog - producent rozwiązań cyberbezpieczeństwa. Członek ISSA Polska, IT Corner i Rady Biznesu WSH, redaktor w BrandsIT oraz podcaster w A Incom, AB, Eptimo), Interim Manager u integratorów i producentów rozwiązań IT (Xopero, Newind), skupiony na budowie świadomości z zakresu cyberzagrożeń i rozwijania kanałów sprzedaży rozwiązań z obszaru cyberbezpieczeństwa.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel