Dzisiaj chcia?bym si? skupi? na jednym z podstawowych elementów bezpiecze?stwa, które powinno by? stosowane nie tylko przez firmy, ale przez ka?dego z u?ytkowników ogólnie rozumianych systemów komputerowych, czyli tworzeniu kopii zapasowej i odtwarzaniu awaryjnym. Kiedy? wydawa?o mi si?, ?e to takie „must have” w ka?dym biznesie. Teraz po sprawdzeniu w praktyce, w szczególno?ci w szeroko rozumianym segmencie ma?ych i ?rednich firm, stwierdzam, ?e w naszym kraju mamy prawie samych twardzieli, którzy licz? na ?ut szcz??cia i wierz?, ?e jako? uda im si? przetrwa? bez ?adnego incydentu zwi?zanego z utrat? danych. W pewnym stopniu zainteresowanie backupem wynik?o z RODO, które w artykule 32 wprost wymienia kopi? zapasow? jako jedno z podstawowych i obligatoryjnych zabezpiecze? danych osobowych.
Mo?e na pocz?tek definicje dwóch poj?? za Wikipedi?:
· Backup (Kopia zapasowa lub kopia bezpiecze?stwa) – procesy, polityki i procedury dotycz?ce tworzenia kopii bezpiecze?stwa danych w celu ich odtworzenia po utracie lub uszkodzeniu,
· Disaster recovery (odtwarzanie awaryjne) – procesy, polityki i procedury zwi?zane z wznowieniem lub utrzymywaniem infrastruktury teleinformatycznej, krytycznej dla organizacji, po wyst?pieniu katastrofy naturalnej lub wywo?anej przez cz?owieka.
Mo?e troch? historii…
O tym, ?e backup jest potrzebny przekona?em si? w wieku mniej wi?cej 15 lat, gdy by?em u?ytkownikiem komputera Atari 800XL z magnetofonem XC12 (czyli jeszcze lata 80-te ubieg?ego stulecia – kto to pami?ta?). Tworzy?em wtedy program na konkurs historyczny, bodaj?e gr?-quiz zwi?zan? z Powstaniem Ko?ciuszkowskim. No i niestety… Dwa tygodnie mojej pracy zosta?y stracone, gdy? ca?a moja twórczo?? nagrana by?a tylko raz na kaset?. Nauczy?em si? wtedy, ?e kopia zapasowa jest spraw? niezb?dn?, bo utrata danych to namacalne straty – czy to czasu, pieni?dzy, utraconych zysków, wizerunku czy klientów. I to wszystko jest aktualne dzi?. Utrata danych to wymierna strata, która mo?e spowodowa? nawet bankructwo firmy. Mo?e kosztowa? organizacj? setki tysi?cy czy nawet miliony z?otych.
Oprócz historii troch? statystyki
Dane zaczerpni?te z ró?nych ?róde? (w tym CHIP, Gartner, IDC, producenci systemów backupowych)
• 45 proc. u?ytkowników traci w ci?gu roku jakie? dane (dane z Polski, czyli dotyczy to co drugiej osoby);
• 78 proc. u?ytkowników nie testuje swoich rozwi?za?, nie wiedz?c wi?c, czy odzyska swoje dane (znany jest mi przypadek ataku ransomware na firm? handlow?, gdzie zaszyfrowaniu uleg?y dane z systemu ERP. Firma robi?a przez kilka lat backup zupe?nie nie?wiadomie, bo…. Bazy testowej nie za? produkcyjnej. Ta nieuwaga kosztowa?a j? ok. 200.000 z?otych haraczu. Na szcz??cie hackerzy byli na tyle „uczciwi”, ?e odszyfrowali pliki bazy danych);
• Ponad 60 proc. firm, które utraci?y kluczowe dane, bankrutuje w ci?gu 12-24 miesi?cy po awarii (dane z rynku USA);
• 67 proc. kopii zapasowych tworzonych manualnie na zewn?trznych no?nikach ma wi?cej ni? 6 miesi?cy (te 67 proc. zosta?o potwierdzone moimi w?asnymi ankietami podczas jednego z webinarów w?ród… resellerów IT);
• 59 proc. kopii zapasowych na pendrive, dyskach zewn?trznych jest niezabezpieczona przed niepowo?anym dost?pem (czyli np. trzymana w niezamkni?tej szufladzie biurka albo, mówi?c wprost, le??cych na samym biurku – oczywi?cie dane niezaszyfrowane);
• Jedynie 4 proc. endpointów zabezpieczonych jest profesjonalnym backupem wykonywanym codziennie.
Jak firmy trac? dane?
– Najbardziej medialna przyczyna utraty danych to szyfrowanie kryptolokerami. G?o?no by?o cho?by o przypadku jednej z najwi?kszych hurtowni cz??ci samochodowych w Polsce albo o znanym przewo?niku o zasi?gu mi?dzynarodowym. Otó? te organizacje mia?y olbrzymie problemy (w tym finansowe), gdy? praktycznie musia?y wróci? technologicznie do lat 70-tych, bo ich dzia?alno?? by?a “uziemiona” na czas 2-3 tygodni. Jak to si? zacz??o? Od niewinnego za??cznika wygl?daj?cego jak plik pdf. Kto? klikn?? i có? – praktycznie wszystkie dane i na serwerach i na wielu stacjach roboczych zosta?y zaszyfrowane;
– Najcz??ciej przyczyn? utraty danych jest b??d ludzki: czy to przypadkowe usuni?cie danych, nadpisanie ich, czy nawet sformatowanie dysku, niewylogowanie/niezablokowanie si? z systemu i pozostawienie „otwartego” dost?pu do plików czy te? danej aplikacji i „z?o?liwa” dzia?alno?? kolegi czy kole?anki. Oczywi?cie, kryptolokery mo?na powi?za? z b??dem ludzkim, bo zazwyczaj da si? unikn?? infekcji przez zwi?kszon? uwag? i chwil? zastanowienia nad tym, co si? robi. Zdarza si? tak?e, ?e utrata danych nie jest wynikiem b??du, a celowego dzia?ania np. odchodz?cego pracownika, który przed odej?ciem jest w stanie skasowa? czy to lokalnie czy na serwerze szereg plików, które, de facto, s? w?asno?ci? firmy i maj? swoja warto?? (czy to lista potencjalnych klientów czy tre?? umów do podpisania czy planowanych zamówie?);
- Fizyczne uszkodzenia sprz?tu – ka?dy dysk twardy ma swoj? trwa?o??, ka?dy kontroler RAID mo?e si? zepsu? (jak lodówka czy pralka). O zwi?kszonej podatno?ci na awari? dysku twardego mo?emy si? dowiedzie? na podstawie symptomów czy te? informacji systemowych. Ale jak ju? ta awaria nast?pi to bardzo cz?sto dane s? nie do odzyskania, albo wymagaj? us?ug firm specjalistycznych, które nierzadko wyceniaj? je na wielokrotnie wi?cej ni? koszt systemu backupowego (kwoty rz?du kilkunastu – kilkudziesi?ciu tysi?cy z?otych);
- B??dy dzia?ania aplikacji – znam przypadki, gdy b??dy w aplikacji powodowa?y utrat? danych
- Wirusy komputerowe, ataki hackerskie – có? – zapewne ka?dy pad? kiedy? ofiar? czy to z?o?liwego oprogramowania czy te? celowego dzia?ania hackerów;
- Kl?ski ?ywio?owe, przepi?cia w sieci energetycznej – zdarzaj? si? – czy to po?ar, czy powód?, czy zalanie, uderzenie pioruna;
Kradzie? sprz?tu albo no?ników danych – na pewno ka?dy z Was s?ysza? o tym, ?e komu? skradziono notebooka z samochodu. Notebooka mo?na mie? ubezpieczonego, ale nikt nie zwróci nam skradzionych danych. Mo?na dosta? 3-4-5 tysi?cy odszkodowania, a nierzadko dane s? wielokrotnie wi?cej cenne.
Wa?na zasada 3.. 2.. 1..
Dane (nie tylko osobowe!) zawsze powinny by? przechowywane w trzech kopiach, w dwóch lokalizacjach, w tym jednej poza siedzib? organizacji.
Co mówi? firmy?
Podczas audytów zwi?zanych z RODO, czy te? w fazie wst?pnej – w przesy?anej ankiecie dotycz?cej stanu informatyzacji organizacji – stwierdzano nierzadko, ?e backup jest, ale nie ka?dy z interlokutorów rozumia? backup jako profesjonaln? us?ug?. Co mówili przedstawiciele firm?
· Robi? backup na dysku zewn?trznym, pendrive, p?ycie (oczywi?cie je?li nie zapomn?) – kiedy bardziej wg??biali?my si? w spraw? okazywa?o si?, ?e jest to kopia sprzed pó? roku. Oczywi?cie o jakiej? sensownej retencji backupu ci??ko mówi?, ci??ko mówi? o szyfrowaniu i bezpiecze?stwie dla organizacji. Poznali?my przypadek, gdy dane sprzeda?y, umowy, listy p?ac, CV pracowników przechowywane by?y na dysku zewn?trznym. No i ten dysk po?yczany by? przys?owiowej Pani Zosi z ksi?gowo?ci do domu (?eby nie by?o – nic nie mam przeciwko ani Zosiom ani ksi?gowym) w celu np. przegrania z tego dysku zdj?? z imprezy integracyjnej.
· Mam skrypt tworz?cy kopi? bazy danych systemu sprzeda?owego (je?li si? wykona…) – najcz??ciej by?a to jedna kopia danych, najcz??ciej nieszyfrowana i najcz??ciej przechowywana na tym samym urz?dzeniu co orygina?.
· Mnie to si? nie przytrafi – nie mia?em awarii od 5 lat, mam dyski w RAID w serwerze, redundatne zasilanie – jestem prawdziwym HDD, J ale, jak to mówi?, tylko twardziele nie robi? backupu.
· Przechowuj? swoje dane w zewn?trznym data center i jestem bezpieczny – otó? nie – mo?e dane s? bardziej bezpieczne ni? na jakim? pseudoserwerze (czyli stacji roboczej pe?ni?cej role serwera) ale nic nie zast?pi prawdziwego backupu wg zasady 3-2-1.
· Korzystam z dropboxa, googledrive – có?, co? takiego nie jest ?adnym backupem a jedynie zasobem w chmurze. Przede wszystkim pojawia si? problem aktualno?ci danych (wychodzi na to, ?e ?rednio maj? one kilka miesi?cy), a oprócz tego sprawa bezpiecze?stwa tych danych i fakt przechowywania ich poza granicami Unii Europejskiej.
A czy Ty robisz backup swoich danych? Je?li mówimy o kopii zapasowej notebooka czy smartfona i robisz ten backup r?cznie na jakim? no?niku zewn?trznym, to jak stara jest to kopia? Zastanów si?, jak wygl?da polityka backupu w Twojej organizacji.
W nast?pnym artykule rozwin? temat backupu i disaster recovery.
