Téměř žádná společnost nedodržuje pravidlo, že by se veškerá kritická data měla nejen zálohovat, ale že by se také mělo kontrolovat, zda je lze ze záloh skutečně obnovit.
Zálohování bylo vždy nevděčným úkolem. Zálohovací software je neuvěřitelně složitý se stovkami možností a nestabilní evidencí skutečného fungování. Přesto se nabízí a využívá tak málo školení, že většina lidí jednoduše použije výchozí hodnoty a doufá v ten nejlepší výsledek.
Buďme ale upřímní. Pokaždé, když jste udělali zálohu, dokonce i pro jediný soubor, a fungovalo to, oddechli jste si úlevou. Je to kvůli tomu, že víte, že činnosti zálohování a obnovy často nefungují.
Mnoha lidem se už stalo, že se obnovení nezdařilo. Horší je, že zálohovací software může ohlásit úspěch po dokončení úlohy, ale některá výchozí nastavení používaná od počátku způsobí bezcennost vašich záloh.
Špatné testování
Přestože víme, že máme naše zálohy testovat, téměř nikdo to nedělá. Ti, kteří své zálohy testují, to dělají s omezeným obnovením jediné databáze nebo serveru.
Ze zkušeností se dá říci, že lidé, kteří testování dělají alespoň ve velmi omezeném rozsahu, tvoří jen 1 % bezpečnostních profesionálů. Ostatních 99 % zálohy vůbec netestuje. Je štěstí, když si přečtou hlášení o výjimkách popisující případy, kde se zálohy nepodařilo vytvořit.
Obvykle nemáme čas zjistit, proč se všechny soubory a složky nezálohují správně. Odpovědí často je, že tyto aktivní soubory a programy nelze správně zálohovat.
Nebo by to mohlo jít, kdybychom měli ten správný zálohovací software, či kdybychom měli ten drahý modul, který vedení firmy neustále odstraňuje z rozpočtu.
Zálohy a obnovení jsou profesionální a logistickou noční můrou. Téměř nikdo to nedělá správně pro všechny kritické systémy. Téměř nikdo nevykonává testy obnovy ze záloh způsobem, který by ověřoval, zda by bylo možné data v případě nouze obnovit.
Přivíráme oči a v každém průzkumu dodržování předpisů a auditu uvádíme, že se vše děje správně. Pokud řeknete, že je to hotové, a vykazujete alespoň minimální evidenci, že to tak je, obě strany auditu jsou rády a odškrtnou si, že je požadavek na zálohování a obnovení splněný. To ale tento obor ničí.
Vliv ransomwaru
Co je důkazem, že jsou zálohy špatné? Téměř každý úspěšný útok ransomwaru.
Zprávy v médiích jsou plné příběhů o městech, nemocnicích, policejních stanicích a firmách, které zjistily, že jejich obnovení dat nefunguje poté, co došlo ke zlovolnému uzamčení jejich dat. V důsledku toho by mohly zaplatit stovky tisíc dolarů za výkupné nebo práci na obnovení.
Subjekty zasažené ransomwarem často tvrdí, že je levnější platit výkupné než udělat příslušnou obnovu, přestože jsou jejich zálohy v pořádku. Obnovení totiž často trvá téměř věčnost a není garantováno, že obnovená data a služby budou fungovat správně.
Systémy jsou příliš složité. Obnova dat může fungovat, ale při spuštění serveru nebo služby se stále mohou vyskytnout chyby při spouštění aplikace. Poté musíte zaplatit lidem, aby obnovili funkci právě obnovených služeb.
V asi 40 % případů, kdy oběti zaplatily výkupné, protože jejich zálohy nefungovaly, nezískaly snadný ani spolehlivý přístup ke dříve zašifrovaným datům. Není to překvapivé, protože ransomware se netestuje na chyby tak, že by se zohledňovala vysoká úroveň spokojenosti obětí.
Některé pojišťovny nabízející služby pro oblast kybernetických incidentů dokonce rozhodují o tom, zda platit výkupné, na základě rodiny ransomwaru, který data zašifroval. Přestože se zdá, že je výkupné levnější, pojišťovací společnosti vědí, že to nemusí vést k opětovné použitelnosti zašifrovaných dat.
Mnoho společností, jež platí výkupné, si také najímá odborníky na obnovu. Lidé, kteří si myslí, že mají dobré zálohy, a odmítají platit výkupné, to ale často dělají také.
Pokud se budete řídit doporučeními dodavatelů a uděláte správné testování, můžete dosáhnout stavu spolehlivých otestovaných záloh. Téměř nikdo to však nedělá.
Osm fungujících kroků pro zálohování a obnovení
- Přidělte zálohování a testům obnovitelnosti tu vysokou prioritu, kterou údajně vždy měly.
- Plaťte někoho za to, že to bude jeho hlavní úkol. Pokud to bude pouze jeden ze 30 různých úkolů, které musí udělat, znamená to, že zálohy a obnovení s velkou pravděpodobností zajistí zcela správně.
- Testujte obnovení všech kritických systémů v plném rozsahu a ověřte, zda podporované aplikace fungují podle očekávání. Nedovolte, aby úspěšný útok ransomwaru vyvolal první případ, kdy se někdo pokusí proces obnovy projít celý.
- Krok za krokem dokumentujte proces testu obnovení včetně všeho potřebného, co vede až do bodu, kdy se prokáže, že aplikace fungují zcela, jak mají. Skutečné testování obnovení by se mělo dokumentovat včetně toho, co fungovalo a co nefungovalo. Většina lidí, kteří realizují kompletní testy obnovení poprvé, zjistí, že jejich procesy testů obnovy nefungují podle očekávání. Napoprvé by se tedy mělo očekávat selhání. Otestujte, poučte se, potřebné opravte a testujte znovu. A dokumentujte!
- Vykonávejte zálohování ve více časových rámcích (např. denně a měsíčně).
- Šifrujte své zálohy.
- Ukládejte zálohy na více oddělených, fyzicky vzdálených místech, z nichž některé by měly být off-line, a nedostupné tak pro případný útok ransomwaru a hackerů.
- Zbavte se mentality formálního vyplňování zaškrtávacích políček. Zálohování a testy obnovy jsou více než otázka jednoduchého kontrolního seznamu. Buďte připraveni ukázat auditorovi podrobné údaje o obnovování, testech a testování aplikací, které prokazují, že se to všechno skutečně udělalo správným způsobem.
Tento příspěvek vyšel v Security Worldu 3/2019. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.