Ransomwarovým útočníkům trvá jen minuty, nanejvýš jednotky hodin, než po úspěšném proniknutí do sítě své oběti zašifrují důležitá data a tím prakticky vyřadí podnik nebo jakoukoli jinou organizaci z provozu. O data jde ale přijít i mnohem rychleji – lidskou chybou, selháním hardwaru nebo ztrátou či zničením zařízení, jehož obsah nebyl zálohovaný.
Lékem na všechny tyto potíže by samozřejmě mělo být pravidelné zálohování důležitých dat. Jak se ale ukazuje, samotná existence záložních dat ještě neznamená, že se data také podaří obnovit. Zčásti je to kvůli změně v taktice útočníků. Podle studie společnosti Veeam se při 93 procentech kybernetických incidentů útočníci pokusí napadnout i záložní úložiště. Výsledkem je, že 75 procent organizací během útoku ztratí alespoň část záložních úložišť a více než třetina (39 procent) záložních úložišť je zcela ztracena. Ale ani když zálohy během útoku odolají, není zdaleka vyhráno – nevhodně zvolená strategie zálohování může znamenat, že budou rezervní data zastaralá (nezálohuje se dostatečně často) nebo nepoužitelná (nekontroluje se čitelnost záloh). A důležitou roli hraje i čas. K čemu jsou bezpečné a čitelné zálohy, když z nich obnova dat nezbytných k provozu trvá dlouhé dny nebo celé týdny?
Zálohování jako povinnost
Zcela chybějící strategie zálohování a obnovy dat (která pochopitelně přímo souvisí se zachováním kontinuity provozu) už brzy přestane být čistě interní záležitostí organizací – alespoň tedy těch, které budou spadat do kategorie poskytovatelů regulovaných služeb podle nového zákona o kybernetické bezpečnosti, který do české legislativy přenáší povinnosti dle celoevropské směrnice o kybernetické bezpečnosti NIS2. Procesy na ochranu dat budou také důležitým tématem při sjednávání kybernetického pojištění, respektive při případném vyplacení pojistného plnění.
„Praxe ukazuje, že nějaké zálohy najdeme prakticky v každé společnosti. Problém je, že jejich vytváření probíhá nesystematicky, zálohovaná data se netestují a už vůbec se pravidelně netrénuje jejich obnova, aby bylo jasné, co a jak rychle je možné v případě chyby, kybernetického útoku nebo havárie obnovit,“ vysvětluje Ivo Šmerda, Team Leader ve společnosti SoftwareOne. Častých chyb a omylů při zálohování je ale ještě mnohem víc. A začít můžeme už tím, že v mnoha organizacích není jasné, co se má vlastně zálohovat.
Začněte klasifikací dat
Data jsou dnes pro stále více firem jejich nejcennějším majetkem, a proto by o ně měly odpovídajícím způsobem pečovat. Je ale jasné, že ne všechna data si zasluhují stejnou úroveň zabezpečení před případným odcizením a ztrátou. Bylo by extrémně neekonomické aplikovat na všechna data nejvyšší úroveň ochrany – už proto, s jak značnou rychlostí se zvyšuje objem dat, která musí organizace zpracovávat a ukládat.
Zálohování probíhá nesystematicky, data se netestují a už vůbec se pravidelně netrénuje obnova.
Proto je základním krokem při správě podnikových dat jejich klasifikace, ze které pak vychází úroveň jejich důvěrnosti a také stupeň jejich ochrany před odcizením či ztrátou. Pro každou kategorii informací je nutné definovat pravidla, jak s těmito dokumenty zacházet, kdo s nimi může nakládat a jak budou uloženy a zálohovány. „Klasifikace informací je v některých odvětvích vyžadována i legislativou a je také nezbytným předpokladem splnění požadavků na zvýšenou ochranu osobních dat podle regulace GDPR. A stejně jako kontinuita provozu se řeší i v rámci novely zákona o kybernetické bezpečnosti dle směrnice NIS2,“ dodává Ondřej Smíšek, Information Security Consultant v SoftwareOne.
Klasifikace dat pomáhá organizacím nejen lépe chránit citlivé informace, ale také lépe pochopit a efektivněji řídit jejich oběh a zpracování. V souvislosti se zálohováním se klasifikace využívá především pro plánování potřeby a škálování úložných kapacit, definování plánů obnovy po havárii a ve výsledku také ke kalkulaci nákladů na ukládání, automatizaci a archivaci dat. Požadavek na ochranu citlivých dat před odcizením a ztrátou přitom vyplývá již ze samotné regulace GDPR, a proto je nutné označit a zabezpečit přinejmenším osobní data, která spravuje každá organizace (typicky o svých zaměstnancích, ale často také o zákaznících). Klasifikaci dat dnes řeší řada podnikových systémů a lze ji realizovat i pomocí funkcí sady cloudových služeb Microsoft 365.
Modely záloh pro spolehlivou ochranu dat
Pokud už máme stanovenou potřebnou úroveň ochrany dat, zbývá nastavit strategii jejich zálohování. Ta zahrnuje nejen frekvenci pořizování záloh, ale také počet verzí, které budou od konkrétních souborů postupně uchovávány. A rozhodnout je třeba také o použitém způsobu zálohování – především na základě určení, jak rychle potřebujeme mít data v případě ztráty obnovená. Rozsah možných úložišť dnes sahá od velmi rychlých flash úložišť pro data, která je nutné obnovit v řádu minut, až po páskové knihovny na velké objemy dat, jejichž případná obnova tolik nespěchá. Rychlost obnovy je často přímo úměrná nákladům na zálohování – nejrychlejší úložiště jsou ta nejdražší a naopak.
Nabízí se samozřejmě také cloudové zálohovací služby, u kterých je nutné zvážit nejen cenu za potřebnou kapacitu, ale také závislost obnovy na rychlosti (a dostupnosti) internetového připojení. V případě kyberútoku může být lokálně dostupná záloha výhodou, ale také potenciálním rizikem.
I proto, že se záložní data stala jedním z primárních cílů kyberútočníků, je nutné revidovat současné zálohovací strategie. Ty většinou staví na pravidlu označovaném jako 3‑2‑1, tedy existenci tří kopií dat na dvou různých médiích, s jednou z kopií uloženou na jiném místě. Tento model se, především kvůli ransomwarovým útokům, doporučuje rozšířit o další kopii dat, která nebude dostupná v rámci podnikové síťové infrastruktury. Tato offline (nebo také neměnná) kopie nemůže být zašifrována ani jinak zničena, protože se k ní útočníci nemohou dostat. Ale pak je zde ještě jeden faktor, který je nutné zohlednit.
Po kybernetickém útoku musí být celé prostředí zkontrolováno a očištěno od případného malwaru, jinak riskujeme opětovné infikování.
Jsou zálohy použitelné?
Velmi častým problémem strategií zálohování dat je chybějící plán jejich obnovy v případě napadení nebo havárie. Součástí zálohovací strategie proto nutně musí být i přesný popis, kde a na jakých médiích jsou zálohy uloženy, jaká je doba nutná k obnově různých systémů a dat a kde jsou případná úzká hrdla procesu obnovy (je potřeba spustit jiné systémy, je obnova závislá na dostupnosti a rychlosti internetového připojení, musí se data dešifrovat a podobně). To vše musí být popsáno v postupech, společně s identifikací lidí, kteří jsou do obnovy dat zapojeni.
Často se také nepočítá s tím, že po kybernetickém útoku musí být celé prostředí zkontrolováno a očištěno od případného malwaru, aby bylo možné provést obnovu do „čistého prostředí“. Jinak podnik riskuje opětovné infikování svého produkčního prostředí. Samozřejmě to ale prodlužuje dobu odstávky a zvyšuje ztráty.
Ještě horší je ale situace, kdy sice existuje záloha dat, ale nelze ji použít k úspěšné obnově. Taková situace vůbec není výjimkou, jelikož zálohovacím strategiím často chybí pravidla a procesy pro ověřování funkčnosti záloh. Přestože bývají funkce na jejich kontrolu běžnou součástí zálohovacích řešení, často se na ně zapomíná. Je to práce navíc, a tak se spolehlivost obnovy a skutečný čas potřebný k obnově dat testuje spíše výjimečně.
Cloud neznamená automatické zálohování
Využívání cloudových služeb je ve firmách stále častější a nepochybně přináší řadu výhod. Často se ale zapomíná na velmi důležitou věc – nelze se spoléhat na uložení dat v rámci cloudových služeb jako na způsob zálohování. Všichni seriózní poskytovatelé cloudových služeb ve svých podmínkách použití jasně uvádějí, že data uložená v rámci služeb typu Microsoft 365 a podobných nejsou zálohována. O jejich zálohování se na základě principu sdílené odpovědnosti musí postarat vlastník těchto dat. I proto vzniká řada specializovaných řešení určených právě pro zálohování a archivaci dat z cloudových služeb.
Ponechat data v cloudových službách bez zálohy představuje obrovské riziko. O data svých zákazníků může vlivem havárie nebo kyberútoku přijít poskytovatel cloudové služby, ale může se například také stát, že svou e‑mailovou schránku a data na firemním SharePointu v cloudu nebo v úložišti OneDrive zlikviduje odcházející zaměstnanec. Bez možnosti obnovy důležitých kontaktů, dokumentů, objednávek a dalších informací. A samozřejmě také za ztrátou důležitých dat nemusí být zlý úmysl, ale jen nepozornost – výsledek je každopádně stejný.
Management má často tendenci vnímat náklady na zálohování dat jako investici do podnikové infrastruktury IT, která by měla vykazovat nějakou návratnost.
Připravte se na nejhorší
Podle aktuální studie společnosti Check Point byl v roce 2023 v průměru proveden ransomwarový útok na každou desátou organizaci po celém světě. To představuje meziroční nárůst o 33 procent. Organizace po celém světě pak průměrně zaznamenaly 1158 různých kyberútoků týdně. Neustále se zhoršující situace v kyberbezpečnosti musí nutně znamenat posun ve způsobu, jakým budou podniky a další organizace uvažovat o svém zabezpečení.
Jedním z moderních přístupů je také metoda assumed breach – tedy předpoklad prolomení obrany a úspěšného napadení podnikové infrastruktury. Cílem tohoto přístupu je zajistit co nejrychlejší detekci takového napadení a minimalizaci škod. Proto se soustředí především na procesy a nástroje, které ochrání to nejdůležitější – tedy typicky data – a povedou k co nejrychlejšímu návratu k běžnému provozu.
Klíčovou součástí přípravy na úspěšný kybernetický útok jsou právě aktuální a funkční zálohy podnikových dat. Tím se vracíme k předpokladu, že účinnou zálohu pro případ ransomwarového útoku je nezbytné udržovat mimo podnikové síť jako neměnnou kopii, kterou nelze zničit nebo zašifrovat. Častou chybou je ale naopak zahrnutí zálohovacího serveru do podnikové struktury Active Directory – adresářové služby, která umožňuje efektivně uspořádat síťové prostředky. Tím se útočníkům otevře prostor pro zničení všech dat, včetně záložních.
Zálohování jako pojistka v nouzi
Většina problémů a nedostatků spojených se zálohováním má svoje příčiny už v samotném vnímání důležitosti a smyslu tohoto způsobu ochrany důležitých dat. Podceňuje se především úvodní analýza rizik, která má identifikovat následky případné ztráty nebo odcizení cenných dat a kvantifikovat jejich dopad. Na základě této analýzy je pak možné nejen určit nutnou úroveň ochrany různých typů dat, ale také si stanovit objem finančních prostředků, který má smysl na jejich zálohování vynaložit.
Stáhněte si přílohu v PDF
Management má navíc často tendenci vnímat náklady na zálohování dat jako investici do podnikové infrastruktury IT, která by měla vykazovat nějakou návratnost. Ve skutečnosti jde ale především o formu pojištění, které oceníme ve chvíli, kdy skutečně dojde k havárii nebo třeba kyberútoku. Tak jako pojištění proti požáru nebo záplavám, ani zálohování dat samo o sobě žádný zisk generovat nemůže a také nezabrání příčině havárie. Může ale minimalizovat následky a rychle vše vrátit do správných kolejí. „Zálohovací strategie musí reflektovat různé úrovně důležitosti dat z hlediska požadavku na jejich dostupnost a rychlosti obnovy. Často se přitom ukáže, že není nutné využívat velkou kapacitu nejrychlejších, a tedy i nejdražších úložišť. Na základě klasifikace dat lze najít takovou kombinaci úložišť, která zajistí spolehlivou ochranu záloh a současně nebude tolik zatěžovat rozpočet organizace,“ uzavírá Ivo Šmerda ze společnosti SoftwareOne.
Pokud se má zálohování dat provádět správně, jde o poměrně náročnou disciplínu, která má ale naprosto zásadní dopad na fungování a kontinuitu provozu firmy nebo jiné organizace. Ztráta důležitých dat může být pro podnik i likvidační a nelze podceňovat ani dopad na reputaci podniku nebo případný postih kvůli porušení smluvních či legislativních podmínek. Plány obnovy po havárii (Disaster Recovery Plan – DRP) a řízení kontinuity provozu (Business Continuity Management – BCM) jsou navíc nezbytnou součástí bezpečnostních opatření v organizacích, které spadají mezi povinné osoby dle připravované novely zákona o kybernetické bezpečnosti.
Článek byl publikován ve speciální příloze HN ICT revue.
