Backup gwarancją bezpieczeństwa

art_1

Postęp technologiczny sprawił, że społeczeństwo nie jest już w stanie funkcjonować bez sprzętu teleinformatycznego. Zarówno małe firmy jak i wielkie przedsiębiorstwa, stają się coraz bardziej uzależnione od przechowywanych informacji. Gromadzone przez lata dane są dobrem,  którego utrata może spowodować nie tylko  pogorszenie wizerunku, ale również ogromne straty finansowe, a w krytycznych przypadkach doprowadzić do bankructwa organizacji.

Przykładem na to jest sytuacja, która miała miejsce 30 czerwca 2016 roku. Tego dnia doszło do wybuchu systemu gaszenia w serwerowni w kolokacji jednej z dużych polskich firm oferujących usługi chmurowe. Według nieoficjalnych źródeł uszkodzeniu uległo wtedy 20 macierzy dyskowych z danymi. Ustalono – także nieoficjalnie – że organizacja nie posiadała aktualnych, odpowiednio zabezpieczonych kopii zapasowych. Do tej pory nie udało się odzyskać danych klientów z uszkodzonych dysków.

Czym jest backup?

Backup jest to proces kopiowania danych w bezpieczne miejsce w celu zabezpieczenia np. dostępu do informacji po awarii lub użytkownika przed negatywnymi skutkami ich utraty. Na środowisko backupowe składają się zarówno elementy hardwareowe jak i softwareowe, których zadaniem jest efektywne zarządzanie kopiami danych oraz zapewnienie im krótko i długotrwałej ochrony.

Warto pamiętać, bez względu na to czy hostujemy nasze systemy do podmiotów zewnętrznych, czy też cała infrastruktura znajduje się w lokalizacji przedsiębiorstwa, aby odpowiednio zadbać o proces wykonywania kopii zapasowych.

Strategia wykonywania kopii zapasowych

Formułując strategię backup -ów warto zaplanować czas, jaki będzie nam potrzebny do przywrócenia procesów biznesowych (RTO – Recovery Time Objective) oraz częstotliwość ich wykonywania (RPO – Recovery Point Obcjective) – czyli ilość danych jakie możemy utracić w przypadku awarii.

stragetia wykonywania kopii zapasowych

Ze względu na różnorodność potrzeb i wymagań, backup powinien być dobierany dla każdego indywidualnie. Największy nacisk na wysokie wyniki parametrów RPO kładą jednostki finansowe, dlatego że dane, jakie mogą utracić, muszą oscylować na poziomie zera lub kilku sekund. Na uzyskanie takich rezultatów pozwala synchronizacja środowiska do zdalnej lokalizacji DRC (Disaster Recovery Center). Stosując replikację synchroniczną, w obu centrach jednocześnie, w każdej chwili można mieć dokładnie te same dane. Wykorzystując odpowiednie technologie, przełączanie pomiędzy centrami danych nastąpi automatycznie, dzięki czemu czas RTO będzie niezauważalny dla działających aplikacji. Niestety, na takie rozwiązania mogą sobie pozwolić tylko wielcy gracze, ponieważ koszty wdrożenia są bardzo wysokie oraz muszą pokryć m.in. budowę i utrzymanie kolejnej infrastruktury serwerowej w innej lokalizacji lub strefie pożarowej. Oczywiście, aby ograniczyć koszty takiego rozwiązania możemy skorzystać z chmurowych usług dostawców zewnętrznych.

Kopia zapasowa w chmurze?

Dynamiczny rozwój technologii sprawił, że dostęp do szerokopasmowego Internetu o dużej szybkości jest łatwo osiągalny dla wszystkich konsumentów. Doprowadziło to do powstania całego sektora firm oferujących backup online. Wielu usługodawców umożliwia nam przechowywanie danych w tzw. chmurach – centrach danych, które znajdują się w różnych lokalizacjach geograficznych, pracujących 24 godziny na dobę, 7 dni w tygodniu, a obsługiwane są przez specjalistów z branży IT.

Warto zaznaczyć, że tak przechowywane backupy nie są do końca bezpieczne, bowiem nigdy nie mamy pewności kto ma do nich dostęp, gdzie znajdują się serwery obliczeniowe oraz w jaki sposób są zabezpieczone. Jeśli jednak zdecydujemy się na taką formę przechowywania kopii zapasowych powinniśmy pamiętać, aby wszystkie dane tam przechowywane zaszyfrowywać. Takie rozwiązanie zminimalizowałoby ryzyko, że skorzysta z nich osoba nieupoważniona.

Dodatkowo warto pamiętać o zabezpieczeniu się w aspekcie formalno-prawnym. W umowie z podmiotem świadczącym tego rodzaju usługi powinny znaleźć się zapisy dotyczące powierzenia przetwarzania danych osobowych oraz zapisy związane z zachowaniem poufności danych. Firma świadcząca takie usługi powinna zadeklarować pisemnie lokalizację przetwarzania naszych danych. Jest to bardzo ważne dla przedsiębiorców, ponieważ jeśli dane będą przechowywane poza Europejskim Obszarem Gospodarczym, jako administrator danych przedsiębiorca musi uzyskać na to zgodę GIODO.

Natomiast zdecydując się na hosting naszych systemów do podmiotu zewnętrznego, oprócz wymienionych wyżej zapisów umownych, warto przyjrzeć się również tym, które wskazują na częstotliwość wykonywania kopii oraz miejsce ich przechowywania. Naszej uwadze nie powinno umknąć postępowanie dostawcy z naszymi danymi, zwłaszcza w przypadku rozwiązania umowy. Należy dookreślić w jakiej formie dane będą przekazane właścicielowi oraz czy dostawca zadeklaruje ich trwałe usunięcie.

Gdzie zatem bezpiecznie przechowywać kopie zapasowe?

Alternatywą rozwiązania „chmurowego” są lokalne kopie zapasowe na zewnętrznym nośniku danych. Dzięki takiemu rozwiązaniu mamy pełną kontrolę nad tym, kto ma dostęp do naszych danych, w jaki sposób są zabezpieczone oraz w dowolnej chwili możemy odzyskać wszystkie interesujące nas informacje. Do najpopularniejszych nośników należą:

  • taśmy magnetyczne,
  • optyczne dyski pamięci,
  • zewnętrzne dyski SSD.

Każdy z wymienionych nośników posiada swoje wady i zalety, jednak niezależnie od wyboru warto pamiętać o dodatkowym zabezpieczeniu technicznym naszych danych. Elementem znacznie zwiększającym bezpieczeństwo przechowywanych kopii zapasowych jest ich szyfrowanie. Polega ono na zakodowaniu danych według określonego schematu, tak aby osoba postronna nie mogła ich odczytać.

Pomimo wdrożenia takiego zabezpieczenia nie należy zapominać o prawidłowej ochronie przed dostępem fizycznym. Przechowywanie powinno się odbywać w miejscu, do którego mają dostęp jedynie osoby upoważnione oraz znajdować się przynajmniej w innej strefie pożarowej niż dane oryginalne. Odstępstwem od tej reguły może być wykorzystanie do tego celu sejfu ogniotrwałego, który można umieścić w miejscu głównego centrum danych, z którego archiwizowane są kopie. W sytuacji, gdy dysk przewożony jest do innej lokalizacji należy pamiętać, aby zapewnić mu bezpieczne warunki podróży.

Kolejnym elementem, na który powinniśmy zwrócić uwagę jest to, aby wykonywane kopie obejmowały nie tylko bazy danych, ale również programy służące do ich przetwarzania (na co wskazuje Rozporządzenie MSWiA Część A  Rozdział IV pkt 3 załącznika). Ponadto kopie zapasowe należy usuwać bezzwłocznie po ustaniu ich użyteczności, a każdy wykonany backup odnotowywać w stosownym rejestrze kopii zapasowych. W celu weryfikacji poprawności zarchiwizowanych danych, powinno się również testować kopie zapasowe. Warto zaznaczyć, że – jeśli pozwalają na to sosowane systemy –  testowanie integralności danych może być realizowane automatycznie.

Należy podkreślić, że obecnie brakuje rozwiązania, które zapewniałoby pełny stan bezpieczeństwa teleinformatycznego. Dlatego istotne jest korzystanie z zabezpieczeń, które pozwalają minimalizować ryzyko związane z możliwością utraty danych. Bez najmniejszej wątpliwości możemy stwierdzić, że takim zabezpieczeniem jest odpowiednio wykonywany proces tworzenia kopii zapasowych, który na wypadek sytuacji kryzysowej zapewni nam swoistą polisę ubezpieczeniową.

Powiązane case study:

backup case study

Backup danych – case study