Kopia zapasowa podstawą cyberbezpieczeństwa w firmie

Jeden z ekspertów ds. cyberbezpieczeństwa[1] lubi mawiać, że „ludzie dzielą się na trzy kategorie: (1) tych, którzy nie robią kopii zapasowych, (2) tych, którzy robią kopie zapasowe oraz (3) tych, którym wydaje się, że robią kopie zapasowe.” Jest to bardzo dobre podsumowanie problemów z jakimi borykają się przedsiębiorcy.

Kopia zapasowa to stworzona specjalnie dla celów bezpieczeństwa dodatkowa kopia informacji (plików, systemu czy np. obraz dysku twardego), będąca podstawową metodą zabezpieczenia informacji przed utratą, zniszczeniem, celowym lub przypadkowym usunięciem. Stosowanie kopii zapasowej ma chronić nas także przed awarią lub fizycznym uszkodzeniem nośników danych (np. dysków twardych). Najważniejszą cechą kopii zapasowej jest to, że w przypadku uszkodzenia, utraty lub usunięcia danych możemy za jej pomocą w łatwy sposób przywrócić utracone informacje.

Stosowanie kopii zapasowych okazuje się szczególnie przydatne również w przypadku różnego rodzaju ataków hakerskich wymierzonych w firmy, w tym np. coraz popularniejsze ataki typu ransomware. W przypadku takiego ataku dochodzi do zaszyfrowania zasobów organizacji, a ich odszyfrowanie możliwe jest za pomocą klucza deszyfrującego, za który należy zapłacić okup, zazwyczaj za pomocą kryptowaluty (najczęściej BitCoin – BTC). W przypadku takiego ataku dobrze zrobiona kopia zapasowa zazwyczaj pozwoli na przywrócenie zasobów bez płacenia okupu.

Kontrola kopii zapasowych

Samo wykonanie kopii zapasowych nie gwarantuje jeszcze bezpieczeństwa, gdyż konieczne jest zweryfikowanie czy:

przedmiotem kopii zapasowych są wszystkie istotne dla organizacji zasoby oraz

czy wykonana kopia zapasowa pozwala na sprawne przywrócenie zasobów w organizacji.

W kontekście pierwszej kwestii należy podkreślić, że plan ciągłości biznesowej na wypadek awarii, uszkodzenia czy utraty danych powinien przewidywać wykonanie kopii zapasowych takich zasobów, które z punktu widzenia biznesowego pozwolą na dalszą działalność. O ile zrozumiałe jest ograniczanie kosztów, to jednak nieuwzględnienie w planie kopii zapasowych niektórych zasobów rodzi ryzyko poważnych konsekwencji, w tym prawnych. Przykładowo, jeśli organizacja przetwarza dane osobowe klientów (np. w ramach sklepu internetowego) to nie może pozwolić sobie na wyłączenie z planu kopii zapasowych zasobów zawierających dane osobowe, gdyż w przypadku utraty danych doszłoby do naruszenia dostępności danych osobowych klientów, a tym samym naruszenia przepisów RODO.

Z kolei w odniesieniu do kwestii przywrócenia zasobów, kopia zapasowa musi podlegać testowi, czy w przypadku utraty zasobów w istocie udaje się za jej pomocą przywrócić dostępność zasobów objętych kopią zapasową. Znany jest przypadek, kiedy przedsiębiorca wykonujący kopie zapasowe nie przetestował, czy pozwalają one na sprawne przywrócenie dostępności zasobów, a czas przywracania zasobów obejmujący kilka tygodni okazał się zbyt długi, aby działalność biznesowa mogła być kontynuowana. Warto zatem przeprowadzić test przywracania zasobów z kopii zapasowych i zweryfikować, czy z biznesowego punktu widzenia jest on akceptowalny.

Kopia zapasowa, a odmiejscowienie

Kolejnym niezwykle istotnym aspektem dotyczącym kopii zapasowych jest tzw. „odmiejscowienie” kopii zapasowych, czyli przechowywanie kopii zapasowych nie tylko na fizycznie odrębnym sprzęcie (np. serwerze), ale także w odrębnej lokalizacji. Niekoniecznie musi to oznaczać miejsce należące do organizacji, gdyż dzisiejsza technologia pozwala na outsourcing kopii zapasowych i przechowywanie kopii w chmurze obliczeniowej.

Pozytywnym aspektem rozwiązania chmurowego jest fakt, że w przypadku korzystania z renomowanych dostawców takich usług, możemy być pewni, że stosowane są najwyższej klasy zabezpieczenia, których wdrożenie w małej organizacji byłoby bardzo kosztowne.

Warto też rozważyć dywersyfikację dostawców usług hostingowych i backupowych (kopii zapasowych), gdyż jak pokazał przypadek pożaru serwerowni OVH we Francji[2] – w przypadku korzystania z tego samego dostawcy istnieje ryzyko, że fizyczna awaria serwerów obejmie również nasze kopie zapasowe. W przypadku tego pożaru okazało się, że oferowane przez OVH miejsce na kopie zapasowe znajdujące w budynku sąsiadującym z budynkiem zawierającym serwery z oryginalnymi danymi nie gwarantuje bezpieczeństwa danych. W niektórych przypadkach przywracanie danych trwało nawet 4-5 tygodni.

Kopia zapasowa a zasada 3-2-1

W sukurs rozterkom związanym z kopiami zapasowymi przychodzi tzw. zasada 3-2-1 – jest to prosta do zapamiętania nazwa podejścia do zabezpieczenia zasobów, która sprawdza się w niemal każdej sytuacji. Polega ona na tym, żeby tworzyć i przechowywać co najmniej trzy kopie zapasowe zasobów organizacji. Następnie żeby przechowywać dwie kopie zapasowe na różnych urządzeniach i wreszcie, aby jedna kopia zapasowa znajdowała się w innej lokalizacji niż siedziba firmy czy wyznaczona serwerownia.

Zasada ta jest rekomendowana m. in. przez US-CERT[3] i według obecnej wiedzy w zakresie cyberbezpieczeństwa jest to jedna z najbardziej efektywnych (zarówno w aspekcie skuteczności, jak i kosztów) metoda tworzenia kopii zapasowych, jaką wymyślono.

Kopia zapasowa – podsumowanie

Tworzenie kopii zapasowych jest koniecznością nie tylko z punktu widzenia ciągłości biznesu, ale także w świetle przepisów RODO[4], które nakazują wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić bezpieczeństwo danych osobowych stosowne do istniejących rodzajów ryzyka. Ryzyko utraty, zniszczenia lub celowego albo przypadkowego usunięcia danych jest jednym z podstawowych rodzajów ryzyka istniejących w kontekście przetwarzania danych osobowych. I właśnie tworzenie skutecznych kopii zapasowych jest najlepszą metodą ograniczenia tego ryzyka.

Zachęcamy do przeanalizowania jak wygląda polityka tworzenia kopii zapasowych w Państwa firmach i przeprowadzenia testu przywracania zasobów. Jednocześnie życzymy Państwu wyłącznie bezpiecznego i wolnego od incydentów przetwarzania danych.

[1] Artur „Haker Edukator” Markiewicz

[2] Pożar w marcu 2021 roku objął dwa budynki serwerowe firmy OVH a ofiarą pożaru padł niemal co piąty adres IP w chmurze OVH.

[3] United States Computer Emergency Readiness Team

[4] Art. 32 ust. 1 RODO: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku […]”

 

Artykuł ukazał się w serwisie firma.rp.pl