NIS2 přináší i požadavek na zálohování dat – jste na něj dobře připraveni?

Když se našich klientů zeptáme na zálohování, jsme většinou ujištěni, že jsou všechna důležitá data bezpečně uložena a že je o vše postaráno. Hlubší diskuse ale často odhalí, že data zase tak docela v bezpečí nejsou.

Zálohování dat patří k samozřejmým úkolům oddělení IT a na zálohy by se měla firma či organizace spolehnout při jakémkoli incidentu – ať už se jedná o nechtěné smazání důležitých souborů, selhání hardwaru, ztrátu notebooku či telefonu nebo, dnes stále častěji, ransomwarový útok. Požadavek na zálohování a hlavně schopnost obnovy dat přináší také regulace NIS2 a související nový zákon o kybernetické bezpečnosti (ZoKB), kde je jako nedílná součást kyberbezpečnostních opatření požadováno i řešení zálohování a obnovy dat. Jak se v praxi velmi často ukazuje, nějaké zálohy se udržují prakticky všude. Zdaleka ne vždy jsou však v takovém stavu, že v případě chyby, havárie nebo kybernetického útoku opravdu mohou posloužit k co nejrychlejší nápravě. Proč tomu tak je a jaké jsou nejčastější chyby a omyly při zálohování?

1. Řeší se pouze záloha, ale nikoli už obnova dat

Mnoho firem a organizací sice má v zásadě dobře zpracované strategie zálohování dat, ale už nikoli plány jejich obnovy v případě potřeby. Přitom k plánu zálohování nutně patří právě i plán obnovy – tedy přesný popis jak a kde jsou zálohy uloženy, jaké jsou doby potřebné k obnově různých systémů a dat, kde jsou úzká hrdla procesu obnovy a jaké mají v případě havárie následovat postupy. Výsledkem je, že se teprve v okamžiku havárie začne řešit co, odkud a za jak dlouho lze obnovit. Tím se však jen prodlužuje doba odstávky a rostou ztráty.

2. Zálohy se průběžně nekontrolují

Existující záloha dat ještě nemusí znamenat, že bude možné z takové zálohy data úspěšně obnovit. U každé zálohy je proto nutné v pravidelných intervalech kontrolovat její funkčnost – tedy možnost úspěšného obnovení dat. Funkce na kontrolu záloh bývají součástí zálohovacích řešení, ale často se na ně zapomíná – pro IT jde o práci navíc a ve většině organizací se funkčnost záloh, stejně jako třeba skutečná doba potřebná k obnově klíčových systémů, testuje pouze sporadicky.

3. Nejasná architektura nebo chybná implementace zálohování

Některé budoucí problémy s obnovou dat v případě potřeby mají svoji příčinu už na samotném počátku – v nevhodně navržené strategii zálohování a jeho celkovém vnímání na úrovni managementu. Robustní a spolehlivé řešení zálohování totiž nelze považovat pouze za investici, jak jej často management vidí ale za formu pojištění.

Samotné zálohování podnik před havárii neochrání a žádný zisk generovat nemůže – úplně stejně jako pojištění pro případ požáru nebo povodně. Pokud ale k nějaké havárii dojde, je úlohou zálohy zajistit co nejrychlejší nápravu s co nejmenšími následky – opět jako pojištění.

Jelikož zálohování není investicí, která by přímo generovala zisk, nelze vypočítat její návratnost. Většina podniků by si však měla být schopna spočítat náklady a ztráty, pokud zálohu mít nebude, nebo bude nepoužitelná. Podle toho je pak nutné navrhnout zálohovací strategii, která musí reflektovat různé úrovně důležitosti dat z hlediska jejich dostupnosti a rychlosti obnovy. Často se přitom ukáže, že zdaleka není nutné využívat velkou kapacitu nejrychlejších (nejdražších) úložišť, ale vhodnou klasifikací dat a kombinací úložišť může organizace náklady na spolehlivé zálohování významně snížit.

4. Otevřená brána ransomwaru

Funkční zálohy představují jedinou opravdu účinnou obranu proti dopadům ransomwarových útoků, jejichž intenzita každým rokem vzrůstá. Průzkum společnosti Veeam 2023 Ransomware Trends Report ale zjistil, že „téměř při všech (93 %) kybernetických incidentech se zločinci pokusí napadnout záložní úložiště, což vede k tomu, že 75 % organizací během útoku ztratí alespoň část záložních úložišť a více než třetina (39 %) záložních úložišť je zcela ztracena“.

To bohužel znamená, že při nevhodně navržené strategii a architektuře zálohování jsou při ransomwarovém útoku napadeny a útočníkem zlikvidovány i zálohy, které měly sloužit k rychlému zotavení se po útoku (opět se bavíme o pojištění a minimalizaci dopadu, nikoli obraně před kyberútokem).

Nejčastější příčinou je zahrnutí zálohovacího serveru do podnikové struktury Active Directory, což vlastně představuje pozvánku a otevřené dveře pro útočníky. Účinnou zálohu pro případ ransomwaru je nutné udržovat odděleně od podnikové sítě ve formě tzv. neměnné zálohy, kterou nelze zničit nebo zašifrovat.

5. Data v cloudu nejsou automaticky zálohovaná

Podniková data se dnes nacházejí na tolika místech a nosičích, že je často jen těžko všechna dohledáme. Je proto důležité si uvědomit, že uložení dat na externí disk, flash klíčenku nebo třeba do cloudu není zálohováním. Jistě, v krizové situaci může být disk zapomenutý v zásuvce stolu záchranou – ale kdo se může spoléhat na to, že někde náhodou takový disk leží?

Stejně tak se nemůžeme spoléhat na uložení dat v rámci cloudových služeb. Ostatně, všichni seriózní poskytovatelé cloudových služeb ve svých podmínkách uvádějí, že data uložená v rámci služeb typu Microsoft 365 nejsou zálohována a o jejich zálohování (třeba do jiné, k tomu určené cloudové služby) se musí postarat vlastník dat. To samé platí pro následnou dlouhodobou archivaci těchto záloh (ať už z legislativních důvodů nebo jako „zlatou zálohu“, když selže vše ostatní).

Pokud se organizace o zálohování dat a následnou archivaci těchto záloh nepostará, může třeba zaměstnanec při odchodu z firmy kompletně smazat svou e-mailovou schránku a data na firemním SharePointu nebo OneDrive a nevratně tak zlikvidovat důležité dokumenty. Stejně tak ale může dojít ke ztrátě dat uložených v cloudu i neopatrností nebo při havárii na straně datového centra.

Zálohování rozhodně není snadná disciplína, ale jeho význam pro udržení podniku nebo organizace v chodu je naprosto klíčový. To si ostatně uvědomují i tvůrci směrnice NIS2 a požadují od firem a organizací jasné plány obnovy v případě havárie (Disaster Recovery Plan – DRP) a řízení kontinuity provozu (Business Continuity Management – BCM). Zálohování a archivaci dat, je samozřejmě nutné řešit nejen s ohledem na NIS2, ale pokud vaše organizace patří mezi povinné osoby dle nového zákona o kybernetické bezpečnosti, což je vzhledem k rozsahu směrnice velmi pravděpodobné, máte nejvyšší čas začít na plánech DRP a BCM pracovat.