Prečo pravidelne kontrolovať zálohované dáta?

Začnem obsahom článku, ktorý má formu otázok a odpovedí. Vyberiem len tie najdôležitejšie otázky.

1. Prečo je potrebná kontrola obnovy dát?
2. Čo je potrebné, aby sme mohli obnovu urobiť?
3. Je automatizované zálohovanie nutné?
4. Kedy je zálohovanie správne?
5. Ako máme zabezpečiť svoju sieť?
6. Kto je zodpovedný, ak nemáme dostatočné zabezpečenie?
7. Môžem tieto úlohy niekomu zadať?

Každé zálohovanie slúži na to, aby sme v prípade „straty“ , mali potrebné dáta k dispozícii.

Nastavenie zálohovania je logický proces, ktorý zvládne skúsený technik. Problém môže nastať v okamihu, ak úvahy technika nekopírujú realitu. Jednoducho ak sa domnieva, že niečo sa zálohuje, ale ono je to v skutočnosti inak. Toto nie je možné zistiť žiadnou automatizovanou kontrolou, ale len testom konzistentnosti. Každú zálohu je potrebné otestovať a to tak, že spustíme proces obnovy až do konca. Nie časť, nie polovicu, ale kompletnú obnovu zo zálohy.

Pozor. Nesprávne nastavenie zálohovania nie je len dôsledok nedostatku skúseností, ale môže to spôsobiť aj súhra náhod a niekedy priam banálna chyba.

Overovanie záloh je potrebné vykonávať opakovane, nakoľko samotné zálohovanie nie v každom cykle identické, ale v čase sa mení. Preto je nutná kontrola v čase.

Dobrou zásadou aj v malej firme alebo doma vytvoriť si postup prác pri kybernetickom incidente. Pre vysvetlenie, kybernetický incident je akákoľvek nežiadúca udalosť  v digitálnom svete. Nie je to len napadnutie lokálne počítačovej siete z internetu, ale aj ľudský omyl, či zlyhanie priamo v organizácii. Neskôr si povieme viac aj o personálnej bezpečnosti. Väčším firmám a strategickým podnikom prikazuje vytvorenie postupu riešenia incidentu pod hrozbou vysokých pokút aj zákon o kybernetickej bezpečnosti.  Napriek tomu stále existujú firmy, ktoré problém kybernetickej bezpečnosti vôbec neriešia. Definitívna a nevratná strata dát tak nie je výnimkou ani v prípade, kedy sa poškodili dáta na počítači a v strese a panike niekto „obnovil“ dáta tak, že prepísal zálohu poškodenými dátami. Preto existujú normy a štandardy a preto je dnes jedna záloha nedostatočným riešením.

Minimálnym štandardom je PRAVIDLO 3-2-1-1-0. Nie je to nič iné ako nastavenie

1. minimálne 3 kópie dát,
2. minimálne na 2 rôznych médiách,
3. jedna kópia off-site,
4. jedna kópia off-line (air gapped),
5. a nula chýb po automatizovanom obnovení dát.

Rád Vám vysvetlím podrobne, čo jednotlivé časti predstavujú, dokonca Vám viem navrhnúť riešenie. Takáto konzultácia s odborníkom je u nás ZDARMA. Poradenstvo a úvodné konzultácie boli a sú u nás ZDARMA. Neváhajte nás pre to osloviť hneď teraz – nemôžete stratiť, naopak –  môžete len získať.

Na túto otázku znie odpoveď úplne presne a jednoznačne, nakoľko vychádza zo skúseností.

Každé zálohovanie, ktoré sa vykonáva inak ako automatizovane má jednu veľkú nevýhodu, ktorá ho stavia do roviny neakceptovateľného riešenia. A síce ide o ľudský faktor, kedy „zodpovednosť“ je prenesená na fyzickú osobu a konkrétny úkon, ktorého výsledkom je vytvorenie zálohy. Typickým príkladom je nariadenie vedúceho, aby účtovníčka vykonávala zálohu účtovníctva napríklad vždy v piatok, keď skončí prácu.

Jednoducho žijeme v dobe, kedy takéto nariadenie nie je zodpovedným konaním vedúceho. V konečnom dôsledku, ak  účtovníčka zálohu nevykoná alebo na kľúči premaže iné dáta alebo kľúč znefunkční pri odpájaní z USB portu bez funkcie „vysunúť“ vo Windows, či USB kľúč položením pri zdroj EM vysielača, napr. mobil alebo len jednoducho keď USB kľúč spadne na zem, tak všetky tieto náhodné javy môžu s veľkou pravdepodobnosťou spôsobiť nedostupnosť zálohy. Takéto zálohovanie stráca zmyslel. Poznám minimálne 10 firiem, kde si mysleli, že to robia správne, ale opak bol pravdou. Bohužiaľ vždy je už akosi neskoro.

Je úplne jedno, kto je zodpovedný za stratu údajov alebo poškodenie či nevytvorenie záloh, keď nastane situácia, že dáta potrebujete a nemáte ich!

Riešením je automatická záloha, ktorá eliminuje ľudský faktor. Tu je potrebné pripomenúť, že rovnako je potrebné, aj keď nie tak často ako sa samotná záloha vytvára, zálohy aj pravidelne kontrolovať.

Správne zálohovanie musí spĺňať niekoľko parametrov, kde posledným, ale zároveň najvýznamnejším krokom je opakovaná, teda pravidelná kontrola záloh. V zmysle platných IT noriem a zákona o kybernetickej bezpečnosti je štatutár zodpovedná osoba, ktorá musí zabezpečiť primerané bezpečnostné opatrenia k ochrane najmä citlivých dát.

Cieľom zákonov a nariadení ako napr. GDPR nie je udeľovať astronomické pokuty. Ale toto je bohužiaľ jediný spôsob, ako prinútiť kompetentných, aby sa správali zodpovedne. Pritom to nie je žiadna veda, vybrať si jednu z možností a podstatne zvýšiť kybernetickú bezpečnosť v organizácii. Napriek veľkému množstvu dôležitejších vecí, je zodpovednosť v oblasti kyberbezpečnosti kľúčová. Na konci tohto článku sú 3  pod-otázky, ako sa môžete aj Vy správať zodpovedne.

Najlepšie teda poskytneme stručný a jasný plán. Začneme od tých finančne najmenej nákladných možností:

1. Poučte seba aj kolegov, ako sa správať pri práci s PC a informáciami a opakujte to minimálne 1x ročne. Je dokázané, že opakovanie je jediným  spôsobom ako udržať povedomie o kyberbezpečnosti na prijateľnej úrovni. Táto úloha je najúčinnejšia a aj najlacnejšia. Odborne ide o personálnu bezpečnosť. Alebo požiadajte odborníka, či externú firmu o školenie vo vašej organizácii, nejde o veľkú investíciu a práve opakované školenia majú najlepší pomer cena/úžitok.
2. Zakúpte pamäťové média a ak Vám financie nedovoľujú automatické zálohovanie, zálohujte pravidelne manuálne. Kontrolujte však zálohy aspoň 1x mesačne. Tento krok  je ale zbytočný, ak vynecháte 1. krok  a zamestnanci či kolegovia nebudú vedieť prečo je to tak dôležité.
3. Vyžiadajte si cenovú kalkuláciu za profesionálne zariadenie pre zálohovanie, obvykle postačuje bežné NAS, napríklad od Synology. Ak je cena vyššia ako ste predpokladali, dohodnite si cenovo prijateľné riešenie splátok, či prenájom. Nezabudnite, že na správnu konfiguráciu a hlavne pravidelnú kontrolu záloh je potrebný odborník. Pri takomto automatizovanom zálohovaní, postačuje revízia 2 až 4-krát ročne. Oplatí sa spoľahnúť na odborníka. Bola by osobná návšteva na vykonanie revízie nákladná? Spýtajte sa na vzdialený prístup. Je do dnes bežné, dokonca moderné a najmä to plní účel.
4. Zabezpečte si koncové jednotky anti-malvérovým programom, eliminujete asi 50% možných hrozieb. Pozor anti-malvér (zjednodušene antivírus) je účinný, len ak ho máte na všetkých zariadeniach pripojených k sieti. Ak nechcete na niektoré koncové jednoty (počítače a notebooku) kupovať licencie, odpojte ich z firemnej siete. Ak na nich internet potrebujete, tak aj toto je možné vyriešiť.
5. Zabezpečte svoju sieť v mieste, kde sa pripája do internetu. Aj pasívny firewall je účinnejší ak žiadny. Dajte si poradiť a ak to financie dovolia, nezabudnite na túto možnosť. Ak sú financie obmedzené, spýtajte sa na splátky či prenájom zariadenia.

Na dlhú otázku krátka odpoveď. Vždy štatutár.

A to aj v prípade, že má zmluvu z IT firmou, alebo má dokonca externého manažéra kybernetickej bezpečnosti, či zamestná certifikovaného IT technika.

Odborník Vám však vie vo veľa veciach odporučiť to vhodné riešenie a eliminovať tak možné hrozby. Hlavne ale vie odporučiť primerané bezpečnostné opatrenia a tým mám na mysli primerané aj vášmu rozpočtu. Je nepísaným pravidlom, že na samotnú IT bezpečnosť  (a inováciu zabezpečenia) by mala firma každoročne investovať minimálne 1% až 3% ročného obratu.

Dobrá správa je, že môžete poveriť odbornými úlohami IT špecialitu alebo IT firmu. Najmä vtedy, ak hľadáte odpovede na nasledujúce 3 podotázky:

1. Čo mám ako štatutár robiť ak tomu vôbec nerozumiem?

   1. Jasné, ak ste napríklad právnická firma alebo pekáreň, či materská škola, ako štatutár máte úplne inú odbornosť, ako kybernetická bezpečnosť. Faktom však zostáva, že ak máte v organizácii aspoň jeden počítač, či len mobil pripojený do internetu, môže vaša ľahostajnosť spôsobiť veľké škody, a preto odporúčam nasledovné.
   2. Nájdite si, napríklad aj na internete niekoho, kto rozumie kyberbezpečnosti, je to práca na 10 minút. Hľadajte cez Google slová ako napr. „odborník pre kyberbezpečnosť“. Ak sa Vám nedarí, kľudne nás kontaktujte a ak Vám neposkytneme riešenie, ktoré hľadáte, odporučíme Vám ako postupovať ďalej. A hlavne je to ZDARMA.
   3. Ak nájdete odborníka, pozrite si jeho referencie alebo mu rovno zavolajte a jednoducho sa spýtajte.
   4. Ak sa jedná len o zabezpečenie dát, možno to nebude také ľahké získať (vzhľadom na zachovávanie mlčanlivosti), dohodnite si krátke stretnutie.
   5. Oslovte viac ako jedného odborníka.

2. Čo ak na toto nemáme žiadne financie?

   1. Ak si už vyberiete odborníka, určite vám odporučí rozsah zabezpečenia a pripraví cenovú kalkuláciu nákladov.
   2. Ak nemáte žiadne financie, je potrebné si uvedomiť, za čo všetko platíte a musíte platiť a porovnať to s dôležitosťou ochrany dát.
   3. Ak ste predsa len našli niekoľko Eur mesačne na systematické zlepšenie aktuálneho stavu, začnite IHNEĎ.
   4. Naplánujte si a skonzultujte svoj postup s odborníkom.
   5. Ak nájdete nejaké prostriedky vo vašom rozpočte, určite sa môžete so svojou požiadavkou obrátiť na odborníka, aby prevzal iniciatívu.
   6. Nezabudnite sa spýtať a aspoň pár krát do roka skontrolovať, za čo vlastne platíte. Nie vždy je zabezpečenie IT vidieť, mali by ste však mať pravidelný report o činnosti. Podnikateľov, najmä tých novovzniknutých, je v každej oblasti naozaj veľa. No skutočný odborníci stále chýbajú.

3. Môžem túto zodpovednosť delegovať na niekoho iného?

   1. Bohužiaľ nie.
   2. Zamestnanci nenesú žiadnu zodpovednosť za nesprávne opatrenia. Nanajvýš v zmysle zákonníka práce a aj to len v prípade porušenia pracovných povinností, či hrubej nedbanlivosti. Ako štatutár ju musíte najskôr dokázať, ale hlavne vám to nerieši situáciu.
   3. Môžete však všetku námahu so zabezpečením zmluvne ošetriť zmluvou o správe IT resp. kybernetickej bezpečnosti, stále však musíte kontrolovať jej dodržiavanie.

Nie len správne zálohovanie, ale veľa iných vecí môžete získať za pomerne rozumné peniaze, ak sa obrátite na toho správneho odborníka. Na záver ešte dôležitá poznámka

Ak sa vám podarí uzavrieť zmluvu s IT špecialistom, ale nie ste spokojný, neváhajte ju zmeniť alebo vypovedať!