Zašto backup često zakaže baš kad je najpotrebniji?

Mnoge organizacije vjeruju da su zaštićene od ransomwarea jer imaju backup. To na prvi pogled zvuči logično. Backup poslovi se izvršavaju, storage postoji, retention je postavljen i svakog jutra netko vidi zelenu oznaku da je sve prošlo uspješno. To obično stvara osjećaj sigurnosti. Sve dok se nešto stvarno ne dogodi.

Problem je u tome što backup i recovery nisu ista stvar, iako ih mnogi tako doživljavaju. Backup odgovara na jedno pitanje: jesmo li spremili podatke? Ali ne odgovara na ono teže: možemo li sve vratiti kada cijelo okruženje bude pod pritiskom? Ta razlika postaje vrlo jasna tijekom ozbiljnog incidenta. U mnogim okruženjima backup se promatra kao tehnička stavka koja mora postojati. Sustav pokazuje da su backupovi uspješni, administratori vide da sve prolazi, a management pretpostavlja da je oporavak pokriven. No pravi problemi najčešće počinju tek kada treba vratiti sustav.

Jedan od scenarija koji se često viđa nakon ransomware incidenta jest da backup postoji, ali mu se više ne može vjerovati. Ne zato što backup nije radio, nego zato što ga je napadač dosegao. Ako je backup infrastruktura preblizu produkcijskom okruženju, koristi iste pristupne putanje ili ovisi o istim privilegiranim računima, vrlo lako postaje dio istog incidenta. Tada backup tehnički postoji. Ali više ne pomaže. Drugi problem nastaje kada restore prođe, ali sustav i dalje ne radi. Podaci se vrate, aplikacija se pokrene, ali nešto oko nje više ne odgovara. Certifikat je istekao. DNS zapis nedostaje. Integracija pokazuje na staru adresu. Verzija baze nije ista. Na papiru restore je uspješan. U stvarnosti poslovanje i dalje stoji. To je dio koji mnoge organizacije podcjenjuju. Recovery vrlo rijetko znači samo “vrati podatke”. Potrebno je vratiti i sve oko njih.

Vrijeme je još jedan problem o kojem se rijetko razmišlja dok ne postane stvaran. Vratiti nekoliko terabajta podataka zvuči jednostavno dok to ne trebaš napraviti pod pritiskom. Ono što na papiru izgleda kao šest sati, vrlo lako postane dva dana. A kada se radi o kritičnim sustavima, dva dana nisu samo downtime. To je izgubljeni prihod, izgubljeno povjerenje i dodatni pritisak. Tu često nastaje kaos. Što vraćate prvo? Mail? Domain controller? File server? ERP? Većina organizacija nema jasan odgovor dok ih incident ne prisili da ga donesu. Upravo tada gubi se najviše vremena.

U praksi AresISEC često vidi organizacije koje imaju tehnički ispravan backup, ali nemaju realnu sliku kako bi oporavak izgledao pod stvarnim pritiskom. Backup sam po sebi najčešće nije problem. Problem su pristupi, ovisnosti, vrijeme oporavka i redoslijed vraćanja sustava. Tu se najčešće vidi stvarni gap. Dobar početak nije kupnja novog backup rješenja. Dobar početak su jednostavna pitanja. Koliko je backup izoliran od produkcijskog okruženja? Tko ima pristup backup infrastrukturi? Koliko često testirate puni restore, a ne samo povrat pojedinačne datoteke?Koliko vam stvarno treba da vratite najkritičnije sustave? I ako više sustava padne odjednom, zna li tim što ide prvo? To nisu komplicirana pitanja, ali vrlo brzo pokažu postoji li stvaran recovery plan ili samo pretpostavka.

U mnogim slučajevima upravo male promjene rade najveću razliku. Odvajanje backup pristupa od glavnog okruženja, smanjenje privilegija, definiranje prioriteta oporavka i testiranje restore procesa u realnim uvjetima često donose više otpornosti nego dodavanje još jednog alata. Ovo je izravno povezano i sa širim sigurnosnim i regulatornim zahtjevima. U okviru ISO 27001, backup i oporavak nisu samo operativni zadaci. Oni su dio kontinuiteta poslovanja, dostupnosti sustava i otpornosti organizacije.  Kontrole vezane uz zaštitu backupova, mogućnost povrata podataka i redovito testiranje dio su održavanja funkcionalnog sustava upravljanja informacijskom sigurnošću. NIS2 ide korak dalje. Direktno traži mjere vezane uz upravljanje backupovima, disaster recovery i krizno upravljanje kao dio operativne otpornosti. To znači da oporavak više nije samo tehnička preporuka. Za mnoge organizacije postaje regulatorno očekivanje. U oba slučaja nije dovoljno samo imati backup. Očekivanje je da oporavak bude realan, testiran i sposoban podržati kontinuitet poslovanja kada sustavi zakažu.

Upravo tu mnoge organizacije otkrivaju razliku između onoga što postoji na papiru i onoga što stvarno funkcionira. Jer kada stvari krenu po zlu, vrijednost backupa ne mjeri se time postoji li, vec time koliko brzo vas vraća u redovno poslovanje.

Izvori:
CISA – Stop Ransomware Guide

ISO – ISO/IEC 27001 Information Security Management

European Union – NIS2 Directive

Znate li kako bi oporavak vaših sustava stvarno izgledao kada bi sutra ostali bez njih?

Scroll to top