TK
Cyberbezpieczeństwo

7 zasad backupu w firmie, które naprawdę działają

V

Backup ma sens tylko wtedy, gdy da się z niego odzyskać dane. Zobacz 7 zasad, zakres kopii i kolejność działań po awarii.

Tomasz Karczmarczyk
AutorTomasz Karczmarczyk
8 minut czytania

7 zasad backupu w firmie, które naprawdę działają

Backup ma wartość dopiero wtedy, gdy po awarii pozwala odzyskać właściwe dane we właściwym czasie i bez zgadywania, co robić dalej.

W wielu firmach kopia zapasowa istnieje bardziej jako uspokojenie sumienia niż element bezpieczeństwa. Coś się zapisuje, ktoś zakłada, że temat jest zamknięty, a potem przychodzi awaria i zaczyna się brutalny test rzeczywistości. Wtedy wychodzi na jaw, czy backup był częścią strategii działania, czy tylko technicznym odruchem bez właściciela, bez testów i bez planu.

Backup żyje w jednym systemie z odzyskiwaniem po awarii

Kopia zapasowa ma sens tylko w połączeniu z planem odzyskiwania po awarii i procedurami działania po incydencie. Sama obecność plików niczego jeszcze nie rozwiązuje, bo firma nadal musi wiedzieć, kto odzyskuje dane, w jakiej kolejności, na jakim środowisku i ile czasu to zajmie.

Tu pojawiają się dwa pojęcia, które porządkują myślenie szybciej niż dziesięć spotkań o bezpieczeństwie. Recovery Point Objective (RPO) określa, ile danych firma może utracić, a Recovery Time Objective (RTO) mówi, jak długo system może być niedostępny. Jeśli biuro obsługi klienta pracuje na bieżących zgłoszeniach, utrata całego dnia danych może być nie do przyjęcia. Jeśli księgowość może stać kilka godzin, ale nie dwa dni, samo hasło „mamy backup” niczego nie wyjaśnia.

Jeżeli firma może stracić najwyżej cztery godziny pracy na danych, backup nocny jest za słaby już na starcie. Jeżeli system ma wrócić do działania w godzinę, ale odtworzenie trwa pół dnia, problemem nie jest awaria. Problemem jest źle ustawione założenie, które przez długi czas udawało plan.

Zasada 3-2-1 przestaje być nudna przy pierwszym większym problemie

Trzy kopie danych, dwa różne typy nośników i jedna kopia poza siedzibą firmy – ten układ nie powstał po to, żeby dobrze wyglądać w polityce bezpieczeństwa. Ma rozbić jedno duże ryzyko na kilka mniejszych i odseparowanych od siebie porażek.

Gdy serwer ulegnie awarii, pracownik skasuje ważny katalog, serwerownia zostanie odcięta albo ransomware zaszyfruje zasoby produkcyjne, kopia poza główną lokalizacją daje firmie drugą szansę. Bez tego wszystkie „kopie” bardzo często kończą w tym samym miejscu i giną z powodu tego samego problemu. To częsty schemat: dwa backupy obok siebie, najlepiej na tym samym urządzeniu. W dokumentacji wygląda to schludnie. W praktyce działa do pierwszej awarii, czyli do momentu, w którym przestaje działać całkowicie.

Harmonogram backupu trzeba ustawić pod tempo zmian danych

Ręczne wykonywanie kopii zapasowych wytrzymuje zwykle do pierwszego urlopu, pierwszego kryzysu dnia codziennego albo pierwszego „zrobię to później”. Potem proces zaczyna się rozjeżdżać, a firma nawet nie zauważa, kiedy przestaje być chroniona.

Dlatego backup trzeba automatyzować i ustawiać zgodnie z realnym rytmem pracy. Jeżeli dane klientów, pliki projektowe, zamówienia albo dokumenty finansowe zmieniają się codziennie, backup raz w tygodniu oznacza akceptację straty. Nie trzeba tego ubierać w ładniejsze słowa. Trzeba tylko policzyć, ile pracy i ile pieniędzy znika wraz z danymi z kilku dni.

Typ backupu też ma znaczenie, bo wpływa na czas tworzenia kopii i czas odzyskiwania danych. Pełny backup jest najprostszy przy odtwarzaniu, ale kosztuje więcej miejsca i czasu. Przyrostowy oszczędza zasoby, ale komplikuje odzyskiwanie. Różnicowy jest rozwiązaniem pośrednim. To nie są akademickie niuanse, tylko zwykłe kompromisy między wygodą, kosztem i czasem awarii.

Zakres backupu prawie zawsze jest mniejszy, niż firmie się wydaje

Wiele firm odpowiada na pytanie o backup zbyt szybko. Owszem, kopiuje folder na serwerze albo bazę aplikacji, ale poza zakresem zostają elementy, bez których odzyskanie działania i tak będzie dużym obciążeniem.

Najczęściej z backupu wypadają:

  • poczta i załączniki,
  • dane z systemów SaaS, takich jak CRM, ERP albo narzędzia do zarządzania projektami,
  • konfiguracje systemów i urządzeń sieciowych,
  • klucze dostępowe, certyfikaty i hasła awaryjne,
  • foldery lokalne na komputerach pracowników,
  • integracje między systemami,
  • dane przechowywane „tymczasowo”, które jakimś sposobem znajdują się tam od dwóch lat.

Dlatego zakres backupu trzeba sprawdzać nie pytaniem „czy kopiujemy dane”, tylko pytaniem „czy po awarii da się z tych kopii odtworzyć normalną pracę firmy”. To drugie pytanie jest mniej wygodne, ale za to nie wprowadza w błąd.

To właśnie tutaj pojawia się najwięcej niemiłych niespodzianek. Firma odzyskuje pliki, ale nie odzyskuje ustawień. Ma bazę danych, ale nie ma poczty. Ma system, ale nie ma dostępu do integracji, które dostarczają mu dane. Formalnie backup istnieje. Operacyjnie firma nadal nie działa.

Odtwarzanie jest jedynym testem, który obchodzi rzeczywistość

Plik z kopią zapasową nie stanowi jeszcze dowodu, że firma poradzi sobie po awarii. Taki plik mówi jedynie tyle, że coś zostało zapisane. Rzeczywisty test zaczyna się wtedy, gdy trzeba odzyskać konkretne dane i postawić system z powrotem na nogi.

Dobrze widać to na prostym scenariuszu. Jest poniedziałek, godzina 9:00. Firma usługowa traci dostęp do systemu obsługi klientów po ataku ransomware. W pierwszej kolejności trzeba odzyskać bazę klientów, pocztę operacyjną i dostęp do dokumentów potrzebnych do bieżących zleceń. Dopiero później na listę trafiają rzeczy mniej krytyczne, takie jak starsze archiwa czy materiały pomocnicze. Jeżeli nikt wcześniej nie ustalił tej kolejności, awaria zamienia się w zgadywanie pod presją czasu.

W takim momencie liczą się tylko trzy rzeczy:

  • które systemy wracają jako pierwsze,
  • kto podejmuje decyzję bez czekania na zgodę wszystkich,
  • gdzie są dane potrzebne do odtworzenia.

Test odtworzenia powinien odpowiadać na proste pytania: czy kopia zawiera to, czego firma potrzebuje, czy da się ją odczytać, ile trwa przywrócenie, kto ma uprawnienia i gdzie są dane dostępowe.

Brzmi banalnie. Właśnie dlatego ludzie często tego nie dopinają, a potem są zaskoczeni, że banalne rzeczy wywróciły im dzień, tydzień albo kwartał.

Backup bez kontroli dostępu sam prosi się o kłopoty

Kopia zapasowa bardzo często zawiera dokładnie te dane, po które przyszedłby atakujący: dokumenty, skrzynki pocztowe, bazy klientów, konfiguracje i historię pracy firmy. Jeżeli dostęp do backupu jest szeroki, źle monitorowany albo oparty na wspólnym haśle krążącym po organizacji, firma dokłada sobie osobny problem bezpieczeństwa.

Dostęp powinien być ograniczony do konkretnych osób, a nośniki i lokalizacje przechowywania zabezpieczone równie porządnie jak środowisko produkcyjne. W przeciwnym razie kopia zapasowa nie wzmacnia ochrony, tylko tworzy boczne wejście do całego bałaganu.

Szyfrowanie i retencja chronią przed dwoma różnymi porażkami

Szyfrowanie ogranicza szkody wtedy, gdy nośnik z kopią zniknie, zostanie skradziony albo trafi w niepowołane ręce. Retencja chroni przed innym problemem – przed sytuacją, w której firma odkrywa incydent z opóźnieniem i okazuje się, że wszystkie nowsze kopie zawierają już uszkodzone albo zaszyfrowane dane.

Zbyt krótka retencja bywa cichym sabotażystą. Jeżeli ransomware działał w środowisku przez kilka tygodni, a firma trzyma tylko kilka ostatnich kopii, może się okazać, że każda z nich nadaje się już tylko do archiwum błędnych decyzji. Dlatego pytanie „czy robimy backup” jest niepełne. Trzeba jeszcze zapytać „jak długo trzymamy wersje” i „czy mamy do czego się cofnąć”.

Retencja nie jest detalem administracyjnym. To zapas czasu na odkrycie, że problem zaczął się wcześniej, niż firmie się wydawało. Bez tego można mieć regularny backup i nadal nie mieć ani jednej zdrowej wersji danych.

Chmura nie przejmuje za firmę odpowiedzialności za odzyskanie danych

Wiele firm zakłada, że skoro korzysta z Microsoft 365, Google Workspace albo zewnętrznego systemu SaaS, temat backupu został magicznie zamknięty przez dostawcę. To wygodne założenie, ale wygoda rzadko bywa dobrą metodą zarządzania ryzykiem.

Dostawca może zapewniać dostępność usługi, ale to nie znaczy automatycznie, że zabezpiecza każdą wersję danych, każdą pomyłkę użytkownika i każdy scenariusz odzyskania zgodny z potrzebami konkretnej firmy. Trzeba sprawdzić zakres odpowiedzialności, retencję, możliwości odzyskiwania i to, czy firma ma własny plan na wypadek usunięcia, nadpisania albo zaszyfrowania danych w usłudze zewnętrznej.

W praktyce trzeba rozdzielić dwie rzeczy: dostępność usługi i możliwość odzyskania własnych danych w potrzebnej wersji. Dostawca może dobrze pilnować pierwszego, a drugie nadal zostawić po stronie klienta.

Są środowiska, w których backup jest konieczny, ale nadal niewystarczający

Sama kopia zapasowa nie rozwiązuje wszystkich problemów ciągłości działania. Jeżeli system musi działać niemal bez przerwy, a każda godzina niedostępności oznacza duże straty operacyjne albo finansowe, samo odtwarzanie z backupu może być po prostu zbyt wolne.

W takich przypadkach dochodzą kolejne warstwy: replikacja, wysoka dostępność, nadmiarowa infrastruktura albo architektura, która nie przewraca się od jednej awarii. Backup nadal jest obowiązkowy, ale pełni wtedy inną rolę – zabezpiecza dane i możliwość powrotu, a nie zastępuje całej strategii utrzymania działania.

W praktyce trzeba ustalić kolejność, właściciela i minimalny zakres

Firmowy backup przestaje być zbiorem życzeń dopiero wtedy, gdy trzy sprawy są nazwane wprost. Po pierwsze: które zasoby są krytyczne i muszą wrócić jako pierwsze. Po drugie: kto odpowiada za proces, testy i decyzje. Po trzecie: jaki jest minimalny akceptowalny czas odtworzenia i ile danych można stracić bez paraliżu firmy.

Dla większości małych i średnich firm usługowych sensowny początek wygląda tak:

  • wskazanie trzech najważniejszych zasobów do odzyskania,
  • opisanie pełnego zakresu backupu,
  • ustawienie automatycznego harmonogramu,
  • ograniczenie dostępu do kopii,
  • szyfrowanie nośników i kopii poza główną infrastrukturą,
  • ustalenie retencji,
  • wykonanie próbnego odtworzenia,
  • przypisanie jednego właściciela procesu.

To nie jest rozbudowany program naprawczy. To jest poziom elementarnego porządku. Bez niego backup bywa tylko drogim sposobem na opóźnione odkrycie, że firma nie miała planu.

FAQ

Jak ustalić, co odzyskiwać jako pierwsze?

Najpierw trzeba wskazać zasoby, bez których firma nie może obsłużyć klienta, wystawić dokumentu albo kontynuować bieżącej pracy. Odzyskiwanie zaczyna się od rzeczy krytycznych operacyjnie, a nie od wszystkiego naraz.

Czy backup i archiwizacja znaczą to samo?

Nie. Backup służy do odzyskania danych po awarii, błędzie albo ataku. Archiwizacja służy do długiego przechowywania danych z powodów prawnych, organizacyjnych albo historycznych.

Jak długo trzymać kopie zapasowe?

Tak długo, by dało się wrócić do zdrowej wersji danych także wtedy, gdy problem został wykryty z opóźnieniem. Długość retencji zależy od ryzyka, wymagań prawnych i tempa zmian danych.

Czy system w chmurze zwalnia z myślenia o backupie?

Nie. Firma nadal musi wiedzieć, jakie dane da się odzyskać, z jakiej wersji, w jakim czasie i na czyich zasadach.

Co dalej

Jeśli nie masz pewności, czy backup w Twojej firmie da się naprawdę odtworzyć, zacznij od audytu procesu, retencji i testów odzyskiwania – tam zwykle wychodzi prawda.

Tomasz Karczmarczyk
O autorze
Tomasz Karczmarczyk
Pomagam firmom usługowym odzyskać czas, który codziennie ginie w powtarzalnych zadaniach. Audytuję procesy i narzędzia, wdrażam automatyzacje i wykorzystuję AI tam, gdzie realnie usprawnia pracę. Jestem też założycielem PressShield – marki specjalizującej się w cyberbezpieczeństwie stron opartych na WordPressie.
in
V

Powiązane

Zrozumienie jednego strzępu to za mało, by pojąć nadchodzące zmiany. Zanurz dłonie głębiej w kurz archiwum i odczytaj inne z tego samego stosu.

Passkey to nie mocniejsze hasło, tylko inny model logowania
4 minuty czytania

Passkey to nie mocniejsze hasło, tylko inny model logowania

Zobacz, dlaczego passkey nie jest lepszym hasłem, tylko zmianą modelu logowania i co to naprawdę zmienia w bezpieczeństwie kont.

Cloudflare 1.1.1.1, 1.1.1.2 i 1.1.1.3 bez tajemnic
6 minut czytania

Cloudflare 1.1.1.1, 1.1.1.2 i 1.1.1.3 bez tajemnic

Zobacz, czym różnią się adresy 1.1.1.1, 1.1.1.2 i 1.1.1.3, i sprawdź, co realnie zmienia filtr DNS-u, a co pozostaje takie samo.

Czy zmiana hasła co 90 dni naprawdę zwiększa bezpieczeństwo
4 minuty czytania

Czy zmiana hasła co 90 dni naprawdę zwiększa bezpieczeństwo

Dowiedz się, kiedy zmiana hasła ma sens, a kiedy tylko udaje bezpieczeństwo. Zobacz, jak ustawić zasady, które naprawdę zmniejszają ryzyko.

Dlaczego MFA zatrzymuje większość przejęć kont
4 minuty czytania

Dlaczego MFA zatrzymuje większość przejęć kont

Samo hasło dziś nie wystarcza. Sprawdź, jak MFA odcina phishing, wycieki i credential stuffing, zanim ktoś wejdzie na Twoje konto.

Menedżer haseł to nie wygoda, tylko konieczność
6 minut czytania

Menedżer haseł to nie wygoda, tylko konieczność

Jeden wyciek nie musi sparaliżować całej Twojej firmy. Sprawdź, jak menedżer haseł odcina efekt domina, ogranicza szkody i dlaczego to konieczność.