Po co to robisz i kiedy offline ma sens
Offline’owe kopie zapasowe są tarczą na wypadek ransomware, sabotażu i błędów administracyjnych. Odłączenie nośnika od sieci uniemożliwia złośliwemu oprogramowaniu nadpisanie lub zaszyfrowanie kopii. Sięgaj po nie, gdy obsługujesz krytyczne systemy (księgowość, produkcję, systemy OT), gdy musisz spełnić wymagania audytowe lub po prostu chcesz mieć ścieżkę ucieczki poza infrastrukturą.
Jeśli wystarczy Ci szybkie RTO/RPO i masz solidny backup online z niezmiennością, offline bywa dodatkiem. Gdy ryzyko ataku na domenę jest wysokie, offline staje się koniecznością. Decyzja zależy od wartości danych, tolerowanego czasu przywrócenia oraz ryzyka utraty dostępu do sieci.
Offline fizyczny (air‑gapped) vs „offline logiczny”
Air‑gapped to fizyczne odłączenie: nośnik nie ma połączenia sieciowego poza krótkim oknem transferu. Offline logiczny (np. repozytoria z niezmiennością, snapshoty WORM w chmurze) ogranicza modyfikacje, ale nadal żyje w tej samej domenie zaufania i może zostać usunięty przez uprawnionego atakującego, błędną politykę lub exploita.
W praktyce łącz obie metody: szybkie odzyski z kopii online z niezmiennością, a odporność na katastrofy i ransomware z kopii air‑gapped. Kluczem jest rozdzielenie uprawnień i ścieżek dostępu.
Jak tworzyć: nośniki i architektury
Nośniki wymienne
Dyski HDD/SSD na USB, dyski kieszeniowe SAS/SATA, oraz RDX. Dają szybki zapis, łatwą rotację i niską cenę. Minus: wrażliwość na upadki, wilgoć i skoki napięcia. Sprawdzają się dla małych i średnich zestawów danych.
Taśmy
LTO nadal króluje przy dużych wolumenach i długiej retencji. Wysoka pojemność, niski koszt na TB i naturalna separacja (taśma w sejfie = zero powierzchni ataku). Wymagają dyscypliny w etykietowaniu, czyszczeniu napędów i okresowych testach odczytu.
Systemy air‑gapped
Dedykowane biblioteki taśmowe lub izolowane serwery backupu, które są fizycznie odłączane (np. interfejs zasilania/sieci na czas okna backupu). Automatyzacja ogranicza ludzki błąd, ale koszt jest wyższy.
Cold storage
Nośniki przechowywane długoterminowo bez zasilania: taśmy, optyczne nośniki archiwalne lub dyski trzymane poza obiegiem. Idealne dla archiwów, gdzie RTO może być dłuższe.
Zabezpieczenia nośników: co naprawdę działa
Szyfrowanie: włącz szyfrowanie po stronie klienta przed zapisem na nośnik. Klucze trzymaj w osobnym systemie (HSM lub menedżer kluczy offline). Hasła i klucze zapisuj w sejfie z kopią zapasową offline.
WORM/niezmienność: jeśli używasz taśm lub repozytoriów wspierających tryb WORM, ustaw okres retencji i polityki blokady (legal hold). Chroni to przed nadpisaniem, także przez uprawnionych użytkowników.
Sekwencjonowanie fizyczne: nadawaj nośnikom numery, kolory i zakresy dat. Zmniejsza to ryzyko pomyłek przy rotacji i ułatwia inwentaryzację.
Magazynowanie: skrzynie transportowe, pochłaniacze wilgoci, temperatury pokojowe, brak pola magnetycznego dla taśm. Dla krytycznych danych – sejf przeciwpożarowy i skrytka poza siedzibą.
Proces krok po kroku: od przygotowania do przechowywania
- Przygotowanie nośnika: weryfikacja SMART/Media Health, zerowanie, etykieta z ID, datą i zestawem systemów.
- Transfer danych: kopia pełna na starcie, potem przyrosty syntetyczne. Weryfikacja checksum (SHA‑256) po zapisie.
- Ewidencja: rejestr wydań i zwrotów, lokalizacja nośnika, personel, hash zestawu, termin retencji.
- Przechowywanie: koperta antystatyczna, pojemnik, sejf; wariant off‑site w innej strefie pożarowej/miastowej.
Ustal okno backupu, podczas którego nośnik jest podłączony, i procedurę „czystych rąk”: skan stacji do backupu, brak aktywnych sesji RDP/SSH, ograniczone uprawnienia tylko do odczytu z systemów źródłowych.
Bezpieczeństwo przy odłączaniu i składowaniu
Kontrola dostępu: minimum dwie osoby przy wydaniu i zwrocie (zasada czterech oczu), podpis w rejestrze, monitoring CCTV strefy magazynu. Oddziel role: kto wykonuje backup, nie ten sam kto zatwierdza rotację.
Monitoring środowiskowy: czujniki temperatury i wilgotności, wskaźniki zalania, rejestr otwarć sejfu. Dla taśm – okresowe przewinięcia i testy, aby uniknąć „zlepiania” warstw.
Testy przywracania i przeglądy
Bez testu przywracania backup jest hipotezą. Co cykl rotacji odtwarzaj próbkę: kluczowe VM, bazę danych lub zestaw plików. Rejestruj RTO/RPO, błędy, brakujące zależności. Raz na kilka rotacji – pełny test scenariusza awarii, łącznie z przełączeniem usług.
Harmonogram przeglądów: sprawdzenie stanu nośników, aktualizacja instrukcji (runbook), weryfikacja listy osób uprawnionych, próba dostępu do kluczy szyfrujących. Jeśli zmieniły się systemy źródłowe – zaktualizuj zakres kopii.
Ryzyka i ograniczenia
Korozja i starzenie nośników: taśmy mogą tracić właściwości magnetyczne, dyski – mieć zatarte łożyska. Przechowywanie w złych warunkach oznacza utratę danych przy odczycie. Dostępność: off‑site wydłuża czas przywracania. Okno podłączenia: w tym momencie nośnik jest podatny – ogranicz je do minimum.
Koszty operacyjne: rotacja, transport, ewidencja i audyty pochłaniają czas. Zabezpiecz budżet i role, inaczej proces rozjedzie się przy pierwszym kryzysie.
Praktyczne wskazówki, które robią różnicę
- Reguła 3‑2‑1‑1‑0: trzy kopie, na dwóch typach nośników, jedna poza siedzibą, jedna offline/niezmienna, zero błędów po weryfikacji.
- Rotacja nośników: np. GFS (daily/weekly/monthly) lub prosta trójstopniowa (A‑B‑C). Nie mieszaj ról nośników.
- Opis i etykiety: ID, data, zakres systemów, szyfrowanie tak/nie, osoba odpowiedzialna.
- Transport: futerały odpornie na wstrząsy, protokół przekazania i lista kontrolna.
- Poza siedzibą: inny dostawca, inna strefa ryzyka, dostęp ograniczony kontraktowo.
Scenariusze: jak to wygląda w realu
Mała firma
Serwer plików i księgowości. Co tydzień pełna kopia na dysk USB z szyfrowaniem, codziennie przyrosty. Rotacja A‑B‑C, jeden nośnik w domu właściciela w sejfie. Raz na kwartał test przywrócenia całej maszyny wirtualnej na zapasowym hostingu.
Instytucja krytyczna
Systemy OT i SCADA. Główne backupy w repozytorium z niezmiennością, a co dzień eksport na taśmę LTO w trybie WORM. Biblioteka w strefie o podwyższonej ochronie, kopie miesięczne trafiają do skarbca off‑site. Procedura dwóch osób, rejestry wejść, testy odtworzeniowe co rotację oraz pełna próba katastroficzna według runbooka.
FAQ: krótkie odpowiedzi na trudne momenty
Czy dysk w sejfie domowym to już air‑gap?
Tak, jeśli poza oknem backupu jest fizycznie odłączony i nikt nie może go podpiąć zdalnie. Dodaj szyfrowanie i ewidencję.
Co z chmurą z niezmiennością?
To świetne uzupełnienie, ale nie zastępuje kopii poza Twoją domeną uprawnień. Trzymaj choć jedną kopię, której nie da się skasować klikalnym błędem.
Jak często testować przywracanie?
Minimum raz na rotację oraz po istotnej zmianie systemów. Im wyższa krytyczność, tym częściej.
Co jeśli zgubię klucz do szyfrowania?
Dane przepadają. Dlatego prowadź procedurę escrow: zapieczętowany wydruk klucza w sejfie i kontrolowany dostęp dwóch osób.