Is de 3-2-1-aanpak bij het maken van backups de heilige graal? Hoe gaat het eigenlijk in zijn werk? Backups verdienen de aandacht, dat staat vast. Data zijn tenslotte de kroonjuwelen van een organisatie. Dat weten cybercriminelen ook. De beschikbaarheid van niet geïnfecteerde backupkopieën vormt de sleutel tot herstel van de activiteiten. Het management moet niet aarzelen bij het uitstippelen van een herstelstrategie.
De betrokkenheid van de personen op C-level niveau is noodzakelijk omdat zij de prioriteiten bepalen bij het opstellen van het scenario, de inrichting van de backup-voorzieningen en de aansturing van de uit te voeren werkzaamheden na een aanval. Medewerkers ‘van de business’ en die van de it-organisatie liggen soms niet op één lijn als het gaat om een realistische inschatting van de herstelperiode voor de it-infrastructuur.
Cybersecurity is een dynamische discipline: wat vandaag functioneert, kan morgen niet meer werken. De herstelvoorzieningen moeten we permanent monitoren en toetsen op hun bruikbaarheid.
Zero-trust
Backup en herstel vatten we samen in de ’3-2-1-strategie’. Minimaal drie versies van de data zijn vereist: het origineel, een kopie daarvan en een kopie van de kopie. De kopieën zijn op minimaal twee typen opslagmedia ondergebracht. Daarvan moet tenminste één offline zijn. De toevoeging van het cijfer ‘nul’ slaat op zero-trust. Monitoren en testen van het backup-proces moet gebeuren; aannames dat het wel goed gaat, zijn uit den boze.
We testen of de verschillende backup-processen zijn gestart en de kopieën volledig zijn aangemaakt. Dit doen we op vooraf bepaalde tijdstippen en met een reikwijdte zonder operationele it-capaciteit te beïnvloeden. Bij een slechtlopend proces gaat het niet alleen om triggers. Voor een volledig beeld moet je via notificaties de bevestiging krijgen wanneer het wel goed loopt. Hoe vaak je een backup-procedure uitvoert (frequentie) en met welke retentie eigenschappen, hangt samen met de aard van de it-operatie, de omvang van de hoeveelheid data en de continuïteit-eisen van de organisatie. Maatgevende indicatoren zijn: recovery time objective (rto) en recovery point objective (rpo). Ofwel, wanneer moet een it-omgeving weer beschikbaar zijn en welke mate van dataverlies is acceptabel?
Audits
Wie na een ransomware-aanval niet snel genoeg kan herstellen, zwicht voor afpersers. Zeker wanneer de schade wordt gedekt door een verzekeringspolis. Voor organisaties met een hoog risicoprofiel (negentig procent van de primaire bedrijfsinformatie is gedigitaliseerd) is dataverlies funest. Zij doen er goed aan hun scenario’s regelmatig te laten controleren via audits. Die geven inzicht in de risico’s en de acties nodig om backup-strategie te verbeteren.
Er zijn partijen die zich bewust richten op het onklaar maken van de backup-omgeving. Daartegen kan een bedrijf zich verdedigen door het segmenteren van de backup-infrastructuur, zowel op netwerk-, systeem-als dataniveau. Het backup-proces van de strikt noodzakelijke datastromen moet je isoleren van de productie-omgeving, waar het maken van backups slechts een neventaak is. Je waant je veilig met offline-kopieën. Die zijn alleen bedoeld in een ’worst case’-omstandigheid. Van cruciaal belang bij offline is de retentiefactor. Hoeveel retentie kopieën zijn beschikbaar wanneer productiedata plus online-backup zijn gecompromitteerd? Veiliger is het om een aparte backup-infrastructuur voor offline te maken en te voorzien van een eigen inlogsysteem.
Clouddata
Het overbrengen van data naar de cloud, maakt het beheer over de backup-kopieën complexer. De bekende grote cloudproviders bieden soelaas. Daar hangt een prijskaartje aan. Bovendien is het nog maar de vraag of een organisatie bij een standaard-overeenkomst snel met de gewenste backup-data een herstelproces kan starten. Want hoe is de backup geregeld bij een clouddienst? Ga er nooit klakkeloos vanuit dat die op orde is. Leverancier en gebruiker hebben een gedeelde verantwoordelijkheid. Aan het periodiek toetsen en monitoren van de afspraken en eigenschappen van de backup valt ook in het clouddomein niet te ontkomen.