BACKUP? Nie, dziękuję, nie używam…

0

Żyjemy w społeczeństwie informatycznym. Z oczywistych powodów, ten model wymógł duże zmiany na firmach i instytucjach. Dane stały się tematem, który wywołuje gorące dyskusje. Ich analiza ma pomóc przecież odkryć klucz do sukcesu. Sposób w jaki myślimy o bezpieczeństwie biznesu także znacząco ewoluował. Bo digitalne zasoby wymagają zupełnie odmiennego podejścia. Przy czym ich wartość jest już bardzo namacalna.

Nie da się ukryć, że świat oszalał na punkcie danych. Ale czy temu szaleństwu towarzyszy równie ekscytująca dyskusja na temat ich bezpieczeństwa? Tak niestety nie jest. Dla wielu to ciągle „trudny” temat, właściwy dla specjalistów IT. Co on ma właściwie wspólnego z biznesowym sukcesem? Niestety bardzo wiele. Wielu resellerów z którymi współpracujemy (my, czyli Xopero Software), ma podobne doświadczenia.  Oczywiście część użytkowników jest świadoma zagrożeń i posiada opracowane procedury. Jednak istnieje również spora grupa, która „popełnia” masę błędów. Co dokładnie? „Wykonują” backup na dyski zewnętrzne, traktują rozwiązania typu Dropbox lub Google Drive jako alternatywę dla backupu. Poza tym badania pokazują, że prawie 78% użytkowników nie testuje swoich rozwiązań. Nie mają więc gwarancji, czy dane backupują się prawidłowo i będą w stanie później je odzyskać. Dzieje się tak pomimo tego, że aż 45% użytkowników w ciągu roku jednak traci dane. Warto do tego dodać, że ponad połowa firm, które doświadczyły utraty danych, zwykle upada w ciągu kolejnych 1-2 lat. Im dalej przyglądamy się statystykom jest jeszcze gorzej. Prawie 67% kopii zapasowych jest przestarzała (do tego często wykonywana manualnie np. na dyski zewnętrzne). Firmy nie przystosowały się jeszcze także do migracji kluczowych danych do endpointów. Prawie 78% urządzeń końcowych (PC, laptopy) nie jest w ogóle ujętych w politykach backupu. Co się dzieje z tymi danymi? Czy naprawdę nie są istotne? Na te pytania każdy w końcu będzie musiał udzielić sobie odpowiedzi sam. I zmierzyć się z konsekwencjami wcześniejszych decyzji.

Szybki plan naprawczy

Polityka bezpieczeństwa powinna zasadniczo określać dwie rzeczy: potencjalne zagrożenia i planowanie disaster recovery, jako bezpośrednią odpowiedź na nie. Jeśli jednak mielibyśmy skupić się na najczęściej popełnianych błędach, to do najczęstszych zalicza się: nieadekwatne zabezpieczenie endpointów, brak pomysłu jak zwiększyć świadomość pracowników w zakresie bezpieczeństwo oraz prawie całkowite zaniechanie weryfikacji wdrożonych rozwiązań.

W dobie „szalejących” ransomware nieodpowiednio zabezpieczone endpointy (tzw. końcówki: PC, laptopy i urządzenia mobilne) w połączeniu z niewyedukowanymi użytkownikami dają wybuchowe połączenie. Zwykle to właśnie przez nieuwagę samego użytkownika dochodzi do zarażenia i rozprzestrzenienia się złośliwego malware’a. Dlatego komputery, laptopy i urządzenia mobilne są bardzo newralgicznymi elementami infrastruktury IT. Za ich pomocą ransomware przenika do środowiska IT i dociera do głównego celu, jakim są serwery. Po odcięciu od kluczowych danych firma, jeśli nie jest przygotowana na tego typu zdarzenie, staje. I wtedy finał ataku często przebiega jak w przypadku Hollywood Presbyterian Medical Center, czy jak mieliśmy okazję przekonać się niespełna kilka dni temu, podczas globalnego ataku Petya.

W takim razie, jak powinno przebiegać zabezpieczenie środowiska IT? Polityka backupu, czy planowanie disaster recovery są wielopoziomowe. Sukces w dużej mierze zależy od tego, czy na wstępie postawimy sobie właściwe pytania.

Podstawowa kwestia to wybór lokalizacji (typu rozwiązania), w której będą przechowywane kopie zapasowe. Czy będzie to nasza własna infrastruktura, dane będą więc przechowywane lokalnie, w siedzibie firmy. A może jednak lepszym wyjściem będzie dla nas wybór rozwiązania cloudowego? Wiele osób niesłusznie uważa, że backup do chmury jest niebezpieczny (m.in. z tego powodu, że „traci” się kontrolę nad danymi). Jak tłumaczy Przemysław Kucharzewski z Xopero Software S.A. „Usługi w chmurze, wbrew obiegowym opiniom, są dużo bezpieczniejsze niż backup lokalny z kilku przyczyn. Zabezpieczenia, które oferują centra danych są znacznie bardziej zaawansowane niż te, na które są w stanie pozwolić sobie firmy. Posłużę się przykładem naszego produktu do backupu online.  Dane klientów Xopero Cloud trafiają do dwóch replikujących się Data Center na terenie Polski. Nasze centra danych charakteryzują się wysokim poziomem zabezpieczeń fizycznych. Zanim jednak to nastąpi są one zaszyfrowane AES i kluczem 256 bitów i dopiero w takiej postaci przesyłane dalej. W przypadku ataku ransomware, dane są więc bezpieczne w chmurze, skąd można je pobrać i przywrócić na sformatowane urządzenia (i nie zawracać sobie głowy pertraktowaniem z przestępcami – co zresztą zawsze odradzam). Ponieważ kopia bezpieczeństwa jest w innej lokalizacji, w przypadku pożaru w firmie, powodzi albo kradzieży dysków, kopię zapasową jest bezpieczna w naszym centrum danych”. Potem jeszcze dodaje: „Tworząc rozwiązania Xopero postawiliśmy sobie za cel, że kwestie bezpieczeństwa danych naszych klientów będą priorytetowe. Dlatego zdecydowaliśmy, że dane będą szyfrowane jeszcze zanim opuszczą komputer (lub dowolne urządzenie) użytkownika. Umożliwiliśmy także przechowywanie danych w tzw. formie rozproszonej. Oznacza to, że jeśli nawet ktoś zdobędzie dostęp do serwera, bez indywidualnego klucza szyfrującego, nigdy nie zdoła ich odczytać”.

Kolejnym krokiem powinno być ustalenie, jakie jest nasze dopuszczalne RTO i RPO (Recovery Time Objective, Recovery Point Objective). Są to wskaźniki, które mówią m.in. ile czasu firma jest w stanie funkcjonować bez dostępu do danych oraz ile czasu może maksymalnie zająć przywracanie systemów i usług (w kontekście realizacji procesów biznesowych).

Należy pamiętać również, że IT to nie tylko software i hardware. IT to także ludzie. Dlatego ważnym punktem każdego planowania musi być edukowanie pracowników – tym bardziej, że w ok. 80% przypadków to właśnie oni są źródłem zarażeń. Niezmiennie od lat to tzw. błąd ludzki jest najczęstszym powodem utraty danych. Jeśli pracownik otworzy podejrzanego maila i kliknie w załącznik, który jest w rzeczywistości wirusem, wtedy nawet najbardziej zaawansowane zabezpieczenia na niewiele się zdadzą.

Współcześnie wiele kluczowych danych powstaje (a więc jest też przechowywanych) na komputerach. Dodatkowo spora grupa pracowników w większym lub mniejszym stopniu jest dziś mobilna. To także należy uwzględnić definiując politykę bezpieczeństwa. Należy też szczerze odpowiedzieć sobie na pytanie, co zrobię kiedy już dojdzie do awarii? Kto będzie uczestniczył w procesie odzyskiwania danych/przywracania systemów; czy pracownicy w razie dużej awarii mają możliwość pracować zdalnie? Warto również zawczasu opracować listę kluczowych partnerów, których należy poinformować o przejściowych trudnościach. Warto to zrobić choćby dla tego, że w sytuacji kryzysowej powinno nam także zależeć na utrzymaniu dobrych relacji z klientami i providerami.

Jakie czyhają na nas pułapki? Wystarczy, że backup nie będzie wykonywany regularnie i już mamy naruszenie jednego z najistotniejszych filarów polityki bezpieczeństwa. Bez aktualnych kopii kluczowych danych, nie ma mowy o jakiejkolwiek ochronie ciągłości biznesu. Dlatego przy infrastrukturze biznesowej najlepiej zainwestować w rozwiązanie do ochrony danych, umożliwiające nie tylko zdalne ale również centralne zarządzanie całą polityką backupu (we wszystkich pionach / poziomach). Backupy powinny wykonywać się automatycznie, dzięki czemu zdejmujemy obowiązek ich wykonywania z użytkownika. A sam admin będzie mógł na bieżąco monitorować ich stan i poprawność.

Kolejnym problemem, który dotyka polityki bezpieczeństwa i planowanie disaster recovery sprowadza się do tego, że nie są one we właściwy sposób weryfikowane. Testy albo nie mają miejsca w ogóle, albo przeprowadza się je sporadycznie. Ponieważ przygotowania często zajmują nawet 2-3 miesiące (i są kosztowne) duża część firm decyduje się na nie tylko raz w roku. Czyli stanowczo za rzadko. W efekcie, firmy nie wiedzą czy ich rozwiązanie działa i czy w razie awarii będą mogły odzyskać dane i szybko przywrócić kluczowe systemy. W ten sposób dopuszczają się poważnego zaniedbania.

Jaką rolę odgrywa w tym wszystkim reseller?

Dziś reseller musi być specjalistą w swojej dziedzinie – która już dawno wykroczyła poza sztywne ramy produktu, czy usługi, którą oferuje. Jest też w tej wyjątkowej relacji z klientem, która dla producenta rozwiązań IT jest nieosiągalna. To on poznaje realne user case swojego klienta, jego oczekiwania, zyskuje informacje o problemach z którymi wcześniej był / lub też nie sobie w stanie poradzić. Jest tą “właściwą osobą, we właściwym miejscu” w kontekście edukowania rynku i klientów. Tym bardziej, że ciągle w ponad 80% przypadków, gdy dochodzi do utraty danych dzieje się to z powodu błędu samego użytkownika.

Najtrudniejszą rolą resellera jest w większości przypadków przekonanie klienta do tego, by zdecydował się na wdrożenie profesjonalnego backupu w miejsce “sznurków i drutów” albo w miejsce niczego, stojąc nieraz przed zderzeniem się ze stwierdzeniem “że mi się to nie przytrafi”, “robię backup na pendrive czy też dysku zewnętrznym” (w rzeczywistości trzymanym w szufladzie biurka, de facto ostatni raz jakieś 6 miesięcy wcześniej… przykład z całkiem sporej organizacji, w której znajdowała się blisko setka komputerów i dwa serwery….)

Chociaż sprzedaż rozwiązań typu backup i DR trwa dłużej niż innych usług IT, to jednak stwarzają one także możliwość czerpania dodatkowych i stałych dochodów. „Sprzedaż usług backupu w chmurze charakteryzuję się rekurencyjnością przychodów – usługi sprzedaje się raz, a zarabia co roku albo co miesiąc, w zależności od planu zaoferowanego Klientowi. Oczywiście w przypadku rozpoczęcia współpracy w tym obszarze należy pamiętać o koszcie wdrożenia rozwiązania” – zwraca uwagę Przemysław Kucharzewski – „Każda sprzedaż rozwiązań lokalnych jest dla nas projektem, który należy zgłosić do dystrybutorów naszych rozwiązań. Reseller może być pewny zarobku w wysokości od 20 do 35% na samych licencjach (wynika to z naszego programu partnerskiego), nie stosujemy drugiej, trzeciej czy czwartej ceny (czy poklepania po plecach, że oddamy w kolejnym projekcie). Jeśli po zablokowany temat zgłosi się inny partner, który nie wykonał odpowiedniej pracy na jego rzecz – musi obejść się ceną SRP, albo pozostaje mu dialog z Partnerem, który zarezerwował temat.”

Z perspektywy klienta biznesowego, DR to dziś kluczowa funkcja. Utrata danych to nie tylko utrata kluczowych zasobów, ale także wiarygodności i kapitału. Kiedy mówimy o bezpieczeństwie danych – backup, jest wyłącznie jednym z jego elementów. Dziś nikt nie jest zainteresowany zakupem “tylko” rozwiązania do tworzenia kopii zapasowych. Firmy, jak nigdy wcześniej, nie mogą sobie pozwolić na wielogodzinną przerwę w ciągłości funkcjonowania. Dlatego wdrożenie procesów disaster recovery i busineness continuity, jak i systematyczne przeprowadzanie testów, aby mieć gwarancję, że wszystko działa jak należy – jest podstawą.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here