1. decembra 2022 Solution

Prečo pravidelne kontrolovať zálohované dáta?

Začnem obsahom článku, ktorý má formu otázok a odpovedí. Vyberiem len tie najdôležitejšie otázky.

  1. Prečo je potrebná kontrola obnovy dát?
  2. Čo je potrebné, aby sme mohli obnovu urobiť?
  3. Je automatizované zálohovanie nutné?
  4. Kedy je zálohovanie správne?
  5. Ako máme zabezpečiť svoju sieť?
  6. Kto je zodpovedný, ak nemáme dostatočné zabezpečenie?
  7. Môžem tieto úlohy niekomu zadať?

Prečo je potrebná kontrola obnovy dát?

Každé zálohovanie slúži na to, aby sme v prípade „potreby“ , mali potrebné dáta k dispozícii.

Nastavenie zálohovania je logický proces, ktorý zvládne skúsený ale aj menej skúsený technik. Problém nastáva v okamihu, ak jeho úvahy nekopírujú realitu, alebo ak sa domnieva, že niečo sa zálohuje, resp. nejak sa to zálohuje a ono je to inak. Toto nie je možné zistiť žiadnou automatizovanou kontrolou, ale len testom konzistentnosti, t.j. je potrebné zálohu otestovať a obnoviť. Nie časť, nie polovicu ale kompletnú zálohu.

Pozor. Nesprávne nastavenie zálohovania nie je dôsledok len nedostatku skúseností, ale môže to spôsobiť aj súhra náhod, niekedy priam banálna chyba.

Overovanie záloh je potrebné vykonávať opakovane, nakoľko samotné zálohovanie nie v každom cykle identické, ale v čase sa mení. Preto je nutná kontrola v čase.

Dobrou zásadou aj v malej firme alebo doma (väčším firmám a organizáciám to prikazuje pod hrozbou pokút nie len zákon o kybernetickej bezpečnosti) vytvoriť si postup prác pri kybernetickom incidente. Takýto incident nie je len napadnutie siete, ale aj ľudský omyl, či zlyhanie priamo v organizácii (neskôr si povieme viac o personálnej bezpečnosti). Na počudovanie sa to deje dosť často. A nie je výnimkou ani prípad, kedy sa poškodili dáta na počítači a v strese a panike niekto obnovil dáta tak, že prepísal zálohu poškodenými dátami. Preto existujú normy a štandardy a preto je dnes jedna záloha nedostatočným riešením.

Čo je potrebné aby sme mohli obnovu urobiť?

Minimálnym štandardom je PRAVIDLO 3-2-1-1-0. Nie je to nič iné ako nasledovné nastavenie

  1. minimálne 3 kópie dát,
  2. minimálne na 2 rôznych mádiách,
  3. jedna kópia off-site,
  4. jedna kópia off-line (air gapped),
  5. nula chýb po automatizovanom obnovení dát.

Rád Vám vysvetlím podrobne, čo jednotlivé časti predstavujú, dokonca Vám viem navrhnúť riešenie pre Vašu sieť a stačí mi len informácia, koľko počítačov používate. Poradenstvo je u nás ZDARMA, preto nás neváhajte osloviť hneď teraz, môžete len získať.

Je automatizované zálohovanie nutné?

Na túto otázku je odpoveď úplne presná a jednoznačná a vychádza zo skúseností.

Každé zálohovanie, ktoré sa vykonáva inak ako automatizovane má jednu veľkú nevýhodu, ktorá ho stavia do roviny neakceptovateľného riešenia. A síce ide o ľudský faktor, kedy „zodpovednosť“ je prenesená na fyzickú osobu a konkrétny úkon, ktorého výsledkom je vytvorenie zálohy. Typickým príkladom je nariadenie vedúceho, aby účtovníčka archivovala účtovníctvo vždy v piatok, keď skončí prácu.

Jednoducho žijeme v dobe, kedy takéto nariadenie nie je zodpovedným konaním vedúceho. V konečnom dôsledku ak  účtovníčka zálohu nevykoná (alebo na kľúči premaže iné dáta, alebo kľúč znefunkční pri odpájaní z USB portu bez funkcie „vysunúť“ vo Windows, či položením pri zdroj EM vysielača, napr. mobil alebo len jednoducho keď USB kľúč spadne na zem → všetky tieto náhodné javy môžu s relatívne veľkou pravdepodobnosťou spôsobiť nedostupnosť zálohy) stráca zálohovanie zmysel.

Je úplne jedno, kto je zodpovedný za stratu údajov alebo poškodenie či nevytvorenie záloh, keď nastane situácia, že dáta potrebujete a nemáte ich!

Riešením je automatická záloha, ktorá eliminuje ľudský faktor. Tu je potrebné pripomenúť, že rovnako je potrebné, aj keď nie tak často ako sa samotná záloha vytvára, zálohy aj pravidelne kontrolovať.

Kedy je zálohovanie správne?

Správne zálohovanie musí spĺňať niekoľko parametrov, kde posledným, ale zároveň najvýznamnejším krokom je opakovaná, teda pravidelná kontrola záloh. V zmysle platných IT noriem a zákona o kybernetickej bezpečnosti je štatutár zodpovedná osoba, ktorá musí zabezpečiť primerané bezpečnostné opatrenia k ochrane najmä citlivých dát.

Cieľom zákonov a nariadení ako napr. GDPR nie je udeľovať astronomické pokuty, ale toto je bohužiaľ jediný spôsob, ako prinútiť kompetentných, aby sa správali zodpovedne. Pritom to nie je žiadna veda a napriek veľkému množstvu na prvý pohľad dôležitejších vecí, je zodpovednosť kľúčová. Na konci tohto článku sú 3  pod-otázky, ako sa môžete aj Vy správať zodpovedne.

 

Ako máme zabezpečiť svoju sieť?

Najlepšie na koniec stručne a jasne aké máte možnosti. Začneme od tých finančne najmenej nákladných

  1. Poučte seba aj kolegov, ako sa správať pri práci s PC a informáciami a opakujte to minimálne 1x ročne. Je to najúčinnejšia prevencia a obyčajne najlacnejšia. Volá sa to personálna bezpečnosť. Alebo sa prihlásite na školenie alebo požiadajte odborníka o školenie vo vašej organizácii.
  2. Zakúpte pamäťové média a ak Vám financie nedovoľujú automatické zálohovanie, zálohujte pravidelne manuálne. Kontrolujte však zálohy aspoň 1x mesačne. Tento krok 2 je ale zbytočný, ak vynecháte krok č. 1 . a zamestnanci a kolegovia nebudú vedieť prečo je to tak dôležité.
  3. Dajte si naceniť a napríklad aj na splátky zakúpte profesionálne zariadenie pre zálohovanie, obvykle postačuje bežné NAS alebo lepšie DS od Synology. Nezabudnite, že je potrebný odborník na správnu konfiguráciu a hlavne pravidelnú kontrolu záloh. Pri automatizovanom zálohovaní, čo týmto vyriešite, postačujú aj 2 až 4 kontroly ročne. Ak sa v tom nevyznáte, určite sa min. raz ročne spoľahnite na odborníka.
  4. Zabezpečte si koncové jednotky anti-malvérovým programom, eliminujete asi 50% možných hrozieb. Pozor anti-malvér (resp. po starom antivírus) je účinný, len ak ho máte na všetkých zariadeniach pripojených k sieti. Ak nechcete na niektoré koncové jednoty (počítače a notebooku) kupovať licencie → odpojte ich z firemnej siete. Ak na nich internet potrebujete, je to otázka správneho nastavenia smerovača (routera) resp. jeho WiFi siete.
  5. Zabezpečte svoju sieť v mieste, kde sa pripája do internetu. Aj pasívny firewall je účinnejší ak žiadny. Dajte si poradiť a ak to financie dovolia, nezabudnite na túto možnosť.

Kto je zodpovedný, ak nemáme dostatočné zabezpečenie?

Na dlhú otázku krátka odpoveď. Vždy štatutár.

A to aj v prípade, že má zmluvu z IT firmou, alebo má dokonca externého manažéra kybernetickej bezpečnosti, či zamestná certifikovaného IT technika.

Odborník Vám však vie vo veľa veciach odporučiť to vhodné riešenie a eliminovať tak možné hrozby. Hlavne ale vie odporučiť primerané bezpečnostné opatrenia a tým mám na mysli primerané aj rozpočtu vašej organizácie. Je nepísaným pravidlom, že na samotnú IT bezpečnosť  (a inováciu zabezpečenia) by mala firma každoročne investovať minimálne 1% ročného obratu.

Môžem tieto úlohy niekomu zadať?

Dobrá správa je, že môžete poveriť odbornými úlohami IT špecialitu alebo IT firmu najmä ak hľadáte odpovede na nasledujúce pod-otázky.

  1. Čo mám ako štatutár robiť ak tomu vôbec nerozumiem?
    1. Jasné, ak ste napríklad právnická firma alebo pekáreň, či materská škola, ako štatutár máte úplne inú špecifikáciu, ako kybernetická bezpečnosť. Faktom však zostáva, že ak máte v organizácii aspoň jeden počítač, či len mobil pripojený do internetu, môže vaša ľahostajnosť spôsobiť veľké škody, a preto odporúčam nasledovné.
    2. Nájdite si, napríklad aj na internete niekoho kto tomu rozumie, je to práca na 5-10 minút.
    3. Pozrite si jeho referencie alebo mu zavolajte a rovno si ich vypýtajte.
    4. Ak sa jedná len o zabezpečenie dát, možno to nebude také ľahké získať (vzhľadom na zachovávanie mlčanlivosti), dohodnite si krátke stretnutie.
    5. Oslovte viac ako jedného odborníka.
  2. Čo ak na toto nemáme žiadne financie?
    1. Ak si už vyberiete odbojníka, určite Vám odporučí rozsah zabezpečenia a pripraví cenovú kalkuláciu nákladov.
    2. Ak nemáte žiadne financie, je potrebné si uvedomiť, za čo všetko platíte a musíte platiť a porovnať to s dôležitosťou ochrany dát.
    3. Ak ste predsa len našli niekoľko desiatok Eur mesačne na systematické zlepšenie aktuálneho stavu začnite IHNEĎ.
    4. Naplánujte si a skonzultujte svoj postup s odborníkom.
    5. Ak ste našli pár stoviek Eur vo vašom rozpočte, určite sa môžete so svojou požiadavkou obrátiť na odborníka, aby prevzal iniciatívu.
    6. Nezabudnite sa spýtať a aspoň pár krát do roka skontrolovať, za čo vlastne platíte. Nie vždy je zabezpečenie IT vidieť, mali by ste však mať pravidelný report o činnosti.
  3. Môžem túto zodpovednosť delegovať na niekoho iného?
    1. Bohužiaľ nie.
    2. Zamestnanci nenesú žiadnu zodpovednosť za nesprávne opatrenia, nanajvýš v zmysle zákonníka práce aj to len v prípade hrubého porušenia pracovných povinností, či nedbanlivosti.
    3. Môžete však všetku námahu so zabezpečením zmluvne ošetriť zmluvou o správe IT resp. kybernetickej bezpečnosti, stále však musíte kontrolovať jej dodržiavanie.

Nie len správne zálohovanie ale veľa iných vecí môžete získať za pomerne rozumné peniaze, ak sa obrátite na toho správneho odborníka. Na záver ešte dôležitá poznámka

Ak sa Vám podarí uzavrieť zmluvu s IT špecialistom, ale nie ste spokojný, neváhajte ju zmeniť alebo vypovedať!