Backup i disaster recovery nie tylko dla mięczaków i nie tylko dla RODO

Przemysław Kucharzewski
9 min

Dzisiaj chciałbym się skupić na jednym z podstawowych elementów bezpieczeństwa, które powinno być stosowane nie tylko przez firmy, ale przez każdego z użytkowników ogólnie rozumianych systemów komputerowych, czyli tworzeniu kopii zapasowej i odtwarzaniu awaryjnym. Kiedyś wydawało mi się, że to takie „must have” w każdym biznesie. Teraz po sprawdzeniu w praktyce, w szczególności w szeroko rozumianym segmencie małych i średnich firm, stwierdzam, że w naszym kraju mamy prawie samych twardzieli, którzy liczą na łut szczęścia i wierzą, że jakoś uda im się przetrwać bez żadnego incydentu związanego z utratą danych. W pewnym stopniu zainteresowanie backupem wynikło z RODO, które w artykule 32 wprost wymienia kopię zapasową jako jedno z podstawowych i obligatoryjnych zabezpieczeń danych osobowych.

Może na początek definicje dwóch pojęć za Wikipedią:

·         Backup (Kopia zapasowa lub kopia bezpieczeństwa) – procesy, polityki i procedury dotyczące tworzenia kopii bezpieczeństwa danych w celu ich odtworzenia po utracie lub uszkodzeniu,

·       Disaster recovery (odtwarzanie awaryjne) – procesy, polityki i procedury związane z wznowieniem lub utrzymywaniem infrastruktury teleinformatycznej, krytycznej dla organizacji, po wystąpieniu katastrofy naturalnej lub wywołanej przez człowieka.

Może trochę historii…

O tym, że backup jest potrzebny przekonałem się w wieku mniej więcej 15 lat, gdy byłem użytkownikiem komputera Atari 800XL z magnetofonem XC12 (czyli jeszcze lata 80-te ubiegłego stulecia – kto to pamięta?). Tworzyłem wtedy program na konkurs historyczny, bodajże grę-quiz związaną z Powstaniem Kościuszkowskim. No i niestety… Dwa tygodnie mojej pracy zostały stracone, gdyż cała moja twórczość nagrana była tylko raz na kasetę. Nauczyłem się wtedy, że kopia zapasowa jest sprawą niezbędną, bo utrata danych to namacalne straty – czy to czasu, pieniędzy, utraconych zysków, wizerunku czy klientów. I to wszystko jest aktualne dziś. Utrata danych to wymierna strata, która może spowodować nawet bankructwo firmy. Może kosztować organizację setki tysięcy czy nawet miliony złotych.

Oprócz historii trochę statystyki

Dane zaczerpnięte z różnych źródeł (w tym CHIP, Gartner, IDC, producenci systemów backupowych)

• 45 proc. użytkowników traci w ciągu roku jakieś dane (dane z Polski, czyli dotyczy to co drugiej osoby);

• 78 proc. użytkowników nie testuje swoich rozwiązań, nie wiedząc więc, czy odzyska swoje dane (znany jest mi przypadek ataku ransomware na firmę handlową, gdzie zaszyfrowaniu uległy dane z systemu ERP. Firma robiła przez kilka lat backup zupełnie nieświadomie, bo…. Bazy testowej nie zaś produkcyjnej. Ta nieuwaga kosztowała ją ok. 200.000 złotych haraczu. Na szczęście hackerzy byli na tyle „uczciwi”, że odszyfrowali pliki bazy danych);

• Ponad 60 proc. firm, które utraciły kluczowe dane, bankrutuje w ciągu 12-24 miesięcy po awarii (dane z rynku USA);

• 67 proc. kopii zapasowych tworzonych manualnie na zewnętrznych nośnikach ma więcej niż 6 miesięcy (te 67 proc. zostało potwierdzone moimi własnymi ankietami podczas jednego z webinarów wśród… resellerów IT);

• 59 proc. kopii zapasowych na pendrive, dyskach zewnętrznych jest niezabezpieczona przed niepowołanym dostępem (czyli np. trzymana w niezamkniętej szufladzie biurka albo, mówiąc wprost, leżących na samym biurku – oczywiście dane niezaszyfrowane);

• Jedynie 4 proc. endpointów zabezpieczonych jest profesjonalnym backupem wykonywanym codziennie.

Jak firmy tracą dane?

– Najbardziej medialna przyczyna utraty danych to szyfrowanie kryptolokerami. Głośno było choćby o przypadku jednej z największych hurtowni części samochodowych w Polsce albo o znanym przewoźniku o zasięgu międzynarodowym. Otóż te organizacje miały olbrzymie problemy (w tym finansowe), gdyż praktycznie musiały wrócić technologicznie do lat 70-tych, bo ich działalność była “uziemiona” na czas 2-3 tygodni. Jak to się zaczęło? Od niewinnego załącznika wyglądającego jak plik pdf.  Ktoś kliknął i cóż – praktycznie wszystkie dane i na serwerach i na wielu stacjach roboczych zostały zaszyfrowane;

– Najczęściej przyczyną utraty danych jest błąd ludzki: czy to przypadkowe usunięcie danych, nadpisanie ich, czy nawet sformatowanie dysku, niewylogowanie/niezablokowanie się z systemu i pozostawienie „otwartego” dostępu do plików czy też danej aplikacji i „złośliwa” działalność kolegi czy koleżanki. Oczywiście, kryptolokery można powiązać z błędem ludzkim, bo zazwyczaj da się uniknąć infekcji przez zwiększoną uwagę i chwilę zastanowienia nad tym, co się robi. Zdarza się także, że utrata danych nie jest wynikiem błędu, a celowego działania np. odchodzącego pracownika, który przed odejściem jest w stanie skasować czy to lokalnie czy na serwerze szereg plików, które, de facto, są własnością firmy i mają swoja wartość (czy to lista potencjalnych klientów czy treść umów do podpisania czy planowanych zamówień);

– Fizyczne uszkodzenia sprzętu – każdy dysk twardy ma swoją trwałość, każdy kontroler RAID może się zepsuć (jak lodówka czy pralka). O zwiększonej podatności na awarię dysku twardego możemy się dowiedzieć na podstawie symptomów czy też informacji systemowych. Ale jak już ta awaria nastąpi to bardzo często dane są nie do odzyskania, albo wymagają usług firm specjalistycznych, które nierzadko wyceniają je na wielokrotnie więcej niż koszt systemu backupowego (kwoty rzędu kilkunastu – kilkudziesięciu tysięcy złotych);

– Błędy działania aplikacji – znam przypadki, gdy błędy w aplikacji powodowały utratę danych

– Wirusy komputerowe, ataki hackerskie –  cóż – zapewne każdy padł kiedyś ofiarą czy to złośliwego oprogramowania czy też celowego działania hackerów;

– Klęski żywiołowe, przepięcia w sieci energetycznej – zdarzają się – czy to pożar, czy powódź, czy zalanie, uderzenie pioruna;

 Kradzież sprzętu albo nośników danych – na pewno każdy z Was słyszał o tym, że komuś skradziono notebooka z samochodu. Notebooka można mieć ubezpieczonego, ale nikt nie zwróci nam skradzionych danych. Można dostać 3-4-5 tysięcy odszkodowania, a nierzadko dane są wielokrotnie więcej cenne.

Ważna zasada 3.. 2.. 1..

Dane (nie tylko osobowe!) zawsze powinny być przechowywane w trzech kopiach, w dwóch lokalizacjach, w tym jednej poza siedzibą organizacji.

Co mówią firmy?

Podczas audytów związanych z RODO, czy też w fazie wstępnej – w przesyłanej ankiecie dotyczącej stanu informatyzacji organizacji – stwierdzano nierzadko, że backup jest, ale nie każdy z interlokutorów rozumiał backup jako profesjonalną usługę. Co mówili przedstawiciele firm?

·         Robię backup na dysku zewnętrznym, pendrive, płycie (oczywiście jeśli nie zapomnę) – kiedy bardziej wgłębialiśmy się w sprawę okazywało się, że jest to kopia sprzed pół roku. Oczywiście o jakiejś sensownej retencji backupu ciężko mówić, ciężko mówić o szyfrowaniu i bezpieczeństwie dla organizacji. Poznaliśmy przypadek, gdy dane sprzedaży, umowy, listy płac, CV pracowników przechowywane były na dysku zewnętrznym. No i ten dysk pożyczany był przysłowiowej Pani Zosi z księgowości do domu (żeby nie było – nic nie mam przeciwko ani Zosiom ani księgowym) w celu np. przegrania z tego dysku zdjęć z imprezy integracyjnej.

·         Mam skrypt tworzący kopię bazy danych systemu sprzedażowego (jeśli się wykona…) – najczęściej była to jedna kopia danych, najczęściej nieszyfrowana i najczęściej przechowywana na tym samym urządzeniu co oryginał.

·         Mnie to się nie przytrafi – nie miałem awarii od 5 lat, mam dyski w RAID w serwerze, redundatne zasilanie – jestem prawdziwym HDD, J ale, jak to mówią, tylko twardziele nie robią backupu.

·         Przechowuję swoje dane w zewnętrznym data center i jestem bezpieczny – otóż nie – może dane są bardziej bezpieczne niż na jakimś pseudoserwerze (czyli stacji roboczej pełniącej role serwera) ale nic nie zastąpi prawdziwego backupu wg zasady 3-2-1.

·         Korzystam z dropboxa, googledrive – cóż, coś takiego nie jest żadnym backupem a jedynie zasobem w chmurze. Przede wszystkim pojawia się problem aktualności danych (wychodzi na to, że średnio mają one kilka miesięcy), a oprócz tego sprawa bezpieczeństwa tych danych i fakt przechowywania ich poza granicami Unii Europejskiej.

A czy Ty robisz backup swoich danych? Jeśli mówimy o kopii zapasowej notebooka czy smartfona i robisz ten backup ręcznie na jakimś nośniku zewnętrznym, to jak stara jest to kopia? Zastanów się, jak wygląda polityka backupu w Twojej organizacji.

W następnym artykule rozwinę temat backupu i disaster recovery.

Udostępnij
Leave a comment

Dodaj komentarz