Po co w ogóle dbać o bezpieczeństwo kopii zapasowych
Kopia, której nie da się bezpiecznie przechować lub zweryfikować, jest tylko złudzeniem ochrony. Bezpieczeństwo kopii zapasowych obejmuje technikę (szyfrowanie, izolację, wersjonowanie) i organizację (procedury, role, testy). Stawką jest ciągłość działania i możliwość udowodnienia zgodności z politykami ochrony danych.
W praktyce o wartości backupu decydują trzy cechy: możliwość odtworzenia w akceptowalnym czasie (RTO), utrata maksymalnie akceptowalnej ilości danych (RPO) oraz pewność, że kopia nie została zmodyfikowana lub odczytana przez osoby nieuprawnione.
Co realnie zagraża backupom
Najczęstsze ryzyka schodzą się w trzech grupach. Po pierwsze ransomware, które szyfruje zarówno systemy produkcyjne, jak i dyski sieciowe, do których ma dostęp. Po drugie błąd ludzki: źle ustawione harmonogramy, nadpisanie wersji, zbyt szerokie uprawnienia. Po trzecie awarie sprzętu i oprogramowania: uszkodzone macierze, zepsute taśmy, błędne aktualizacje.
Scenariusz z praktyki: wolumen z backupami był podpięty jako stały udział SMB i widoczny w mapowaniach użytkowników. Złośliwe oprogramowanie zaszyfrowało także katalog kopii. Wniosek: przechowywanie kopii w tych samych domenach zaufania co produkcja to proszenie się o kłopoty.
Gdzie i jak przechowywać: lokalnie, w chmurze, hybrydowo, offline
Lokalne repozytoria dają szybkość i tanie, częste snapshoty. Słabością jest wspólne ryzyko awarii (pożar, zalanie, przepięcia) oraz ekspozycja na to samo złośliwe oprogramowanie. Chmura zapewnia elastyczność i geograficzną redundancję, ale wymaga kontroli kosztów, tożsamości i uprawnień oraz świadomego doboru klas przechowywania.
Model hybrydowy łączy oba światy: szybkie przywracanie z lokalnych kopii operacyjnych i dodatkowe, rzadziej używane warstwy w chmurze do odtwarzania po katastrofie. Kopie offline (air gap) to ostatnia linia obrony — fizycznie odseparowana od sieci, najlepiej na nośniku WORM lub w skarbcu taśmowym.
- Lokalnie: szybkie restore, ryzyko wspólnego punktu awarii.
- Chmura: skalowalność, ważne polityki IAM i kontrola kosztów.
- Hybryda: szybka warstwa + archiwum odporne na katastrofy.
- Offline: ochrona przed ransomware i błędną automatyzacją.
Zasada 3-2-1 i rozszerzenia
Klasyka brzmi: trzy kopie danych, na co najmniej dwóch różnych nośnikach, w co najmniej jednej lokalizacji poza siedzibą. Rozszerzenia dodają czwarty element: kopię niezmienną lub odłączoną (3-2-1-1) oraz pełny air gap. W praktyce: snapshoty lokalne, repozytorium na innej platformie dyskowej i kopia długoterminowa poza siedzibą, np. w chmurze z utrzymaniem niezmienności.
Nadmierne komplikowanie architektury bywa pułapką. Jeżeli zespół nie rozumie ścieżek przywracania lub harmonogramów, odzysk będzie trwał zbyt długo. Lepiej prościej, ale konsekwentnie wdrożone i przetestowane.
Szyfrowanie: po co, gdzie i czym
Szyfrowanie ma dwa cele: chronić poufność (gdy nośnik wycieknie) i wymusić integralność transportu. Stosujemy je w spoczynku (at rest) oraz w tranzycie (in transit). Kluczowe pytanie brzmi: kto kontroluje klucze. W wielu organizacjach korzystne jest rozdzielenie ról: system backupu nie powinien samodzielnie przechowywać materiału kluczowego bez escrow i rotacji.
Sprawdzone algorytmy symetryczne do szyfrowania danych w spoczynku i kanałów transmisji to standard branżowy. W praktyce znaczenie ma nie tyle nazwa algorytmu, co poprawna implementacja, rotacja kluczy, HSM lub bezpieczne moduły programowe oraz egzekwowanie polityk haseł i MFA do konsoli backupu.
Wersjonowanie i retencja
Wersjonowanie pozwala cofnąć się przed infekcją lub błąd. Retencja określa, jak długo i jak szczegółowo przechowujemy kopie. Częsty wzorzec: krótka, gęsta historia (np. godzinowe lub dzienne wersje przez kilka dni), średnia (tygodnie) oraz długoterminowa (miesiące na potrzeby audytu). Warto odróżnić dane operacyjne od archiwalnych — nie wszystko musi trafiać do tej samej polityki.
Upewnij się, że retencja nie kłóci się z przepisami o ochronie danych osobowych w twojej branży i że istnieje procedura bezpiecznego kasowania kopii po upływie okresu. Zasady te powinny być znane IOD oraz wpisane do rejestru czynności przetwarzania. Jak przypomina serwis gov.pl, instytucje wyznaczają Inspektora Ochrony Danych, który nadzoruje takie procesy w organizacji publicznej.
Testy i weryfikacja: jedyna pewna miara
Kopie są tyle warte, ile ich regularne testy. Minimum to cykliczne testy przywracania na odizolowanym środowisku, kontrola integralności (checksumy) oraz weryfikacja, że skrypty przywracania i uprawnienia faktycznie działają. W dużych środowiskach warto automatyzować testy punktowe, a raz na jakiś czas przeprowadzić próbę odzysku całego systemu.
Wnioski z testów dokumentujemy: co się udało, co było wąskim gardłem, jakie były realne RTO i RPO. To często jedyny moment, kiedy wychodzą na jaw drobne rozjazdy konfiguracji lub brakujące klucze.
Jak osłabić ransomware i sabotaż
Najmocniej działa ograniczenie powierzchni ataku: segmentacja sieci, osobne konta serwisowe o minimalnych uprawnieniach, brak stałych mapowań udziałów repozytoriów, monitorowanie dostępu i anomalii (nagłe skoki entropii plików, nietypowe wzorce zapisu). Niezmienność danych (WORM, immutability) oraz offline’owe kopie utrudniają zaszyfrowanie całego łańcucha.
Nie polegaj wyłącznie na detekcji. Nawet najlepszy system może przegapić zero-day. Ogranicz dostęp administracyjny do konsoli backupu, włącz MFA, rotuj hasła i tokeny, loguj wszystkie operacje modyfikujące.
Offline, air gap i nośniki niezmienne
Air gap oznacza rozłączność logiczną lub fizyczną. Fizyczny air gap to odłączony nośnik lub taśma w sejfie; logiczny — magazyn, do którego nie prowadzą stałe ścieżki z produkcji. Nośniki WORM zapobiegają nadpisaniu wersji do końca retencji. Wadą są koszty, logistyka i czas przywracania, dlatego mają sens jako warstwa ostateczna.
Operacyjnie ważne są drobiazgi: kto i kiedy podpina nośnik, jak kontroluje sumy kontrolne, gdzie leżą klucze deszyfrujące i kto je wydaje w weekend. Tu padają odzyski — nie na technologii, lecz na braku ludzi i kluczy o 2:00 w nocy.
Automatyzacja, procedury i metryki RTO/RPO
Automatyzacja harmonogramów, etykiet retencji i testów ogranicza błąd ludzki. Dokumentacja powinna zawierać kroki przywracania dla systemów krytycznych, kontakty do właścicieli aplikacji, dane o zależnościach oraz ostatnio zweryfikowane czasy RTO i punkty RPO. Bez tego decyzje o priorytetach w kryzysie będą chaotyczne.
W przypadku systemów wielowarstwowych przyda się macierz: które komponenty muszą wrócić najpierw, jakie są kroki walidacji działania usługi i kto zatwierdza zakończenie odzysku.
Regulacje, zgodność i audytowalność
W organizacjach przetwarzających dane osobowe polityka backupowa powinna być spójna z rolą Inspektora Ochrony Danych i wewnętrznymi rejestrami czynności. W sektorze publicznym opis roli IOD i jego zadania znajdziesz na portalu gov.pl w sekcji poświęconej Inspektorowi Ochrony Danych. Niezależnie od branży istotne są ścieżki audytu: kto wykonał kopię, kto przywracał, jakie były wyniki testów.
Audyt nie kończy się na papierze. Jeżeli nie potrafisz wykazać, że kopie są szyfrowane i testowane, to z perspektywy zgodności i ryzyka jest tak, jakby ich nie było.
Praktyczne checklisty w pigułce
- Architektura: 3-2-1-1 z warstwą offline lub immutability.
- Dostęp: osobne konta serwisowe, zasada najmniejszych uprawnień, MFA.
- Szyfrowanie: w spoczynku i w tranzycie, z kontrolą kluczy i rotacją.
- Retencja: różne klasy dla danych operacyjnych i archiwalnych.
- Testy: cykliczne restore na izolowanym środowisku, checksumy, logi.
- Monitoring: wykrywanie anomalii, alerty na nietypowe zapisy/zmiany.
- Procedury: zaktualizowana dokumentacja RTO/RPO i kontakty właścicieli.
FAQ: krótkie odpowiedzi na częste pytania
Czy jedna chmura wystarczy?
Może, jeśli zapewnia niezmienność, retencję i odseparowanie uprawnień. Dla krytycznych systemów warto dodać niezależną warstwę offline.
Jak często testować przywracanie?
Tak często, by nie zaskoczył cię brak kompetencji lub dostępu do kluczy. Dla systemów krytycznych zwykle częściej niż dla reszty.
Czy snapshoty to pełny backup?
Nie zawsze. Snapshot z tej samej macierzy nie chroni przed jej awarią. Traktuj go jako warstwę, nie jako całą strategię.
Na czym skupić wdrożenie
Zacznij od mapy systemów i danych, zdefiniuj RTO/RPO, dobierz architekturę 3-2-1-1, włącz szyfrowanie i niezmienność, a potem konsekwentnie testuj. Technologia jest ważna, ale o powodzeniu decydują uprawnienia, procedury i odseparowanie kopii od środowiska produkcyjnego.