Στις αρχές της περασμένης δεκαετίας, και πιο συγκεκριμένα το 2011, ένας χρήστης του Reddit ονόματι Ismail Jadun επινόησε το κόνσεπτ της Παγκόσμιας Ημέρας Δημιουργίας Αντιγράφων Ασφαλείας (World Backup Day), αφού πρώτα είχε δει μία ανάρτηση στο Reddit ενός άλλου χρήστη που εξέφραζε την επιθυμία να του υπενθυμίζεται να δημιουργεί τακτικά αντίγραφα ασφαλείας των δεδομένων του.
Σήμερα, πάνω από μία δεκαετία μετά, κάθε αναλυτής, τεχνικός σύμβουλος και πάροχος ή προμηθευτής υπηρεσιών και λύσεων κυβερνοασφαλείας και αντιγράφων ασφαλείας προσπαθεί να υπενθυμίζει στις εταιρείες και στους οργανισμούς πόσο πολύτιμα είναι τα δεδομένα τους και των πελατών τους (καταναλωτών) και πόσο σπουδαίο είναι να έχουν την ικανότητα της ανάκτησης τους ανά πάσα στιγμή. Παράλληλα, υπάρχουν πλέον αυστηροί κανονισμοί και νόμοι (όπως ο Γενικός Κανονισμός για την Προστασία των Δεδομένων της Ευρωπαϊκής Ένωσης, γνωστός και ως GDPR), σύμφωνα με τους οποίους οι εταιρείες και οι οργανισμοί οφείλουν να συμμορφώνονται με όλες τις αρχές προστασίας δεδομένων καθώς και να αποδεικνύουν τη συμμόρφωση τους (π.χ. μέσα από μία σειρά εργαλείων που τους επιτρέπει να αποδεικνύουν λογοδοσία και τίθενται σε εφαρμογή υποχρεωτικά).
Σε διαφορετική περίπτωση, οι απώλειες, όπως οι οικονομικές (π.χ. εξαιτίας του χαμένου χρόνου αποκατάστασης ή και του χρόνου διακοπής λειτουργίας, της πληρωμής προστίμων που μπορούν να είναι εξουθενωτικά, της πληρωμής αποζημιώσεων σε πελάτες που θα κινηθούν νομικά κ.ά.) μπορεί να είναι τεράστιες. Προσθέστε τώρα τις απώλειες στην χρηματιστηριακή της αξία, τη βλάβη που θα υποστεί η φήμη της μετά τη γνωστοποίηση του γεγονότος (της απώλειας ή παραβίασης δεδομένων) και τις απώλειες πελατών και έχετε ένα «εκρηκτικό σενάριο» που μπορεί να κλονίσει τα θεμέλια ακόμα και της μεγαλύτερης επιχείρησης. Τα εταιρικά δεδομένα ποικίλλουν, από μηνύματα ηλεκτρονικού ταχυδρομείου και έγγραφα έως εικόνες και βίντεο μέχρι ολόκληρες βάσεις δεδομένων και βρίσκονται παντού ενδιάμεσα.
Το σίγουρο είναι ένα: τα δεδομένα είναι το νόμισμα που κάνει την επιχειρηματική σφαίρα να γυρίζει. Στις μέρες μας είναι δύσκολο να βρεθεί μία εταιρεία, όσο μικρή και αν είναι, που να μην προστατεύει τα δεδομένα της με κάποιο τρόπο, ωστόσο πολλές αγνοούν ότι δεν αρκεί ένα απλό «backup» σε φυσικές μονάδες ή σε κάποια πλατφόρμα αποθηκευτικού νέφους. Τα δεδομένα είναι ο πυρήνας μίας επιχείρησης, αποτελούν βασικό και στρατηγικό πόρο και η προστασία τους (από τη μη εξουσιοδοτημένη πρόσβαση, από επιθέσεις ransomware, ή ακόμα και από αστοχίες στο λογισμικό και στο υλικό κ.ά.) είναι κρίσιμης σημασίας.
Ζωτικής σημασίας η προστασία των δεδομένων από απώλεια
Από το 2011 μέχρι σήμερα, τόσο το επιχειρηματικό τοπίο όσο και το τοπίο της κυβερνοασφάλειας έχει αλλάξει ριζικά. Οι κυβερνοεπιθέσεις είναι καλά τεκμηριωμένο ότι βρίσκονται στο καθημερινό… πρόγραμμα για πολλούς οργανισμούς και είναι περισσότερο εξελιγμένες από ποτέ. Όχι μόνο απειλούν τα δεδομένα που μεταφέρονται/χρησιμοποιούνται σε καθημερινή βάση αλλά ακόμα και τα αντίγραφα ασφαλείας τους. Να σας δώσουμε ένα παράδειγμα; Πόσοι οργανισμοί ή εταιρείες κρυπτογραφούν τα δεδομένα τους; Πόσοι από αυτούς άραγε κρυπτογραφούν και τα αντίγραφα ασφαλείας τους; Μπορεί η κρυπτογράφηση* των δεδομένων να «απαιτεί» πόρους (π.χ. σε επεξεργαστική ισχύ, σε χρήματα από τον προϋπολογισμό για το τμήμα πληροφορικής κ.ά.) ωστόσο αποτελεί βέλτιστη πρακτική για τη κυβερνοασφάλεια.
*Σημείωση: Όταν τα αντίγραφα ασφαλείας δεν είναι κρυπτογραφημένα, βρίσκονται σε διαρκή κίνδυνο. Σκεφτείτε μόνο το εξής: οι εισβολείς κατά την πραγματοποίηση μίας κυβερνοεπίθεσης όχι μόνο θα μπορούσαν να διαβάσουν (και επομένως να υποκλέψουν) τα δεδομένα αλλά θα είχαν και τη δυνατότητα να εισάγουν κακόβουλο λογισμικό στα αντίγραφα ασφαλείας. Με αυτόν τον τρόπο, διασφαλίζουν ότι σε περίπτωση που η εταιρεία αρνηθεί να πληρώσει τα λύτρα (π.χ. σε κάποια επίθεση ransomware) τα συστήματα της θα επαναμολυνθούν μετά την ανάκτηση των δεδομένων χρησιμοποιώντας τα μολυσμένα αντίγραφα ασφαλείας της. Έτσι, οι κυβερνοεγκληματίες έχουν τη δυνατότητα να επαναδιαπραγματευθούν τα λύτρα, έχοντας περισσότερες πιθανότητες αυτή τη φορά να ικανοποιηθούν οι απαιτήσεις τους.
Η κρυπτογράφηση των αντιγράφων ασφαλείας για τις εταιρείες και τους οργανισμούς, δεν αποτελεί απλώς μία βέλτιστη πρακτική στις μέρες μας, αλλά και απαραίτητη προϋπόθεση για πολλές ασφαλιστικές εταιρείες που δραστηριοποιούνται στον χώρο (και στις οποίες καταφεύγουν οι οργανισμοί για να καλύψουν μέρος των απωλειών από μία κυβερνοεπίθεση). Άλλα προαπαιτούμενα για τις ασφαλιστικές εταιρείες (που δεν πρέπει να συγχέονται με τις εταιρείες παροχής λύσεων κυβερνοασφάλειας) είναι ο έλεγχος ταυτότητας πολλαπλών παραγόντων για παράδειγμα, η χρήση ενός προϊόντος ελέγχου και διαχείρισης των προνομιακών διαπιστευτηρίων, η χρήση μίας λύσης εντοπισμού απειλών και απόκρισης κ.ά. Όπως και να έχει, η δημιουργία αντιγράφων ασφαλείας για μία επιχείρηση είναι το πρώτο βήμα για να καταστρώσει ένα σχέδιο αποκατάστασης από καταστροφή και μία πρώτη εγγύηση για την επιστροφή της σε κανονική λειτουργία σε περίπτωση κάποιας κυβερνοεπίθεσης ή ενός καταστροφικού συμβάντος (π.χ. φωτιά, πλημμύρα).
To πρώτο πράγμα που πρέπει να κάνουν λοιπόν σήμερα οι διαχειριστές και οι ηγέτες πληροφορικής είναι να ελέγξουν τις διαδικασίες τους (π.χ. να ελέγξουν ποιες προφυλάξεις λαμβάνονται και ποια είναι τα σχέδια ανάκαμψης σε περίπτωση απώλειας ή κλοπής δεδομένων, επίθεσης ransomware κ.λπ.) και τα αντίγραφα ασφαλείας τους (π.χ. να προχωρήσουν στη σάρωση τους για κακόβουλο λογισμικό). Και αυτό σήμερα κιόλας, την Παγκόσμια Ημέρα Δημιουργίας Αντιγράφων Ασφαλείας.
Μέτρα ασφαλείας
Μία επιχείρηση μπορεί να προχωρήσει στη δημιουργία αντιγράφων ασφαλείας των δεδομένων της με διάφορους τρόπους όπως με τη χρήση φυσικών συσκευών δημιουργίας αντιγράφων ασφαλείας (π.χ. μπακαπιέρες τις λένε ορισμένοι) ή με τη χρήση κάποιας πλατφόρμας αποθηκευτικού νέφους (cloud storage) ή ενδεχομένως ενός συνδυασμού και των δύο παραπάνω λύσεων (κυρίως στην περίπτωση διαφοροποιημένων δεδομένων).
Στην πρώτη περίπτωση, τα αντίγραφα ασφαλείας θα πρέπει να βρίσκονται σε διαφορετική συσκευή/μηχάνημα από τα πρωτότυπα αντίγραφα και ιδανικά σε διαφορετική τοποθεσία, η οποία μάλιστα καλό είναι βρίσκεται σε μεγάλη απόσταση (για να καλυφθεί και η πιθανότητα φυσικής καταστροφής της βασικής τοποθεσίας, όπως για παράδειγμα από φωτιά ή από πλημμύρα κ.ά.). Φυσικά, είναι καλό -αν όχι απαραίτητο- τα αντίγραφα ασφαλείας να είναι κρυπτογραφημένα για όλους τους λόγους που περιγράψαμε παραπάνω.
Στη περίπτωση της χρήσης ενός προϊόντος αποθηκευτικού νέφους, θα πρέπει να ζητήσετε εγγυήσεις από τον πάροχο της υπηρεσίας αποθηκευτικού νέφους ότι διαθέτει όλα τα απαραίτητα μέτρα ασφαλείας για την φύλαξη και τη προστασία των δεδομένων της επιχείρησης σας και ότι διατηρούνται ιδιωτικά (και σε αυτή τη περίπτωση, η κρυπτογράφηση είναι απολύτως απαραίτητη). Περιττό να αναφέρουμε ότι έχετε ήδη εφαρμόσει κάποια λύση ελέγχου της πρόσβασης (π.χ. μία λύση διαχείρισης της προνομιακής πρόσβασης) και χρησιμοποιείτε ισχυρούς κωδικούς σε συνδυασμό με μία μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων. Λάβετε επίσης υπόψη σας τη περίπτωση να αξιοποιήσετε μία ακόμα φυσική συσκευή αντιγράφων ασφαλείας για λόγους πλεονασμού (αλλιώς redundancy) σε περίπτωση που η βασική σας συσκευή αστοχήσει ή καταστραφεί (π.χ. από κάποιο φυσικό φαινόμενο).
Ο κανόνας 3-2-1
Σύμφωνα με τον κανόνα 3-2-1 (στον οποίον αναφερθήκαμε και εδώ), μία επιχείρηση θα πρέπει να έχει εξασφαλίσει 3 αντίγραφα των δεδομένων της, σε 2 διαφορετικές μορφές αποθήκευσης/φύλαξης των αντιγράφων ασφαλείας, με το 1 αντίγραφο ασφαλείας να βρίσκεται εκτός τοποθεσίας. Ειδικά για τις επιχειρήσεις που μέχρι σήμερα -πράγμα απίθανο- δεν διατηρούν αντίγραφα ασφαλείας των δεδομένων τους, ο συγκεκριμένος κανόνας μπορεί να αποδειχτεί σωτήριος και είναι εξαιρετικά απλός στην εφαρμογή/υλοποίηση του.
Η βασική ιδέα πίσω από τον κανόνα 3-2-1 είναι ότι τα δεδομένα μίας επιχείρησης θα παραμείνουν ασφαλή από κάποιο συμβάν με έχει ως αποτέλεσμα τη διακοπή της λειτουργίας της (π.χ. κάποια κυβερνοεπίθεση με ransomware) ή κάποια φυσική καταστροφή.
Σήμερα βεβαίως, οι περισσότερες επιχειρήσεις με τη βοήθεια της ομάδας πληροφορικής/ασφαλείας τους, εμπειρογνωμόνων και ειδικών στην κυβερνοασφάλεια έχουν ήδη καταστρώσει και αναπτύξει κάποιο σχέδιο επιχειρησιακής συνέχειας και αποκατάστασης από καταστροφές ενώ χρησιμοποιούν και κάποια πιο σύγχρονη παραλλαγή του κανόνα 3-2-1 που μπορεί να είναι ο «4-3-2» ή ενδεχομένως ο «3-2-2» συμπεριλαμβάνοντας στις διαδικασίες τους και κάποιες ενέργειες ελέγχου διασφάλισης της ακεραιότητας των αντιγράφων ασφαλείας ώστε να μην περιέχουν σφάλματα.
Κρυπτογράφηση
Είναι τα αντίγραφα ασφαλείας κρυπτογραφημένα; Αν δεν είναι, θα πρέπει να σκεφτείτε να ενσωματώσετε, καθώς είναι βέλτιστη πρακτική, την κρυπτογράφηση στις διαδικασίες σας. Σκεφτείτε να συμβεί οτιδήποτε, όπως για παράδειγμα να γίνει κάποια παραβίαση στον πάροχο υπηρεσιών αποθηκευτικού νέφους σας ή να κλαπούν. Σε αυτή τη περίπτωση, αν δεν είναι κρυπτογραφημένα, η επιχείρηση σας θα βρεθεί αντιμέτωπη με πολλούς κινδύνους, συμπεριλαμβανομένων απωλειών στη φήμη της επιχείρησης, τεράστιων (έως αβάσταχτων) προστίμων εξαιτίας της νομοθεσίας περί προστασίας των προσωπικών δεδομένων, της κλοπής εμπορικών μυστικών κ.ά.
Αποκατάσταση και μερικές συμβουλές
Και τώρα που διατηρείτε αντίγραφα ασφαλείας, πόσο γρήγορα μπορείτε να προχωρήσετε σε ανάκτηση; Βλέπετε, μπορεί η δημιουργία αντιγράφων να είναι κρίσιμης σημασίας, όμως και ο χρόνος αποκατάστασης είναι επίσης σημαντικός, καθώς οποιαδήποτε καθυστέρηση (π.χ. για την αποκατάσταση των δεδομένων από καταστροφή, από κάποιο συμβάν όπως μία επίθεση ransomware) μπορεί να έχει ως αποτέλεσμα την απώλεια εσόδων, βλάβη στη φήμη της επωνυμίας της επιχείρησης και άλλα.
Είναι σημαντικό λοιπόν να έχετε ένα σχέδιο αποκατάστασης από καταστροφή που να προβλέπει την επαλήθευση των δεδομένων και της διαδικασίας αποκατάστασης. Σκεφτείτε για παράδειγμα να βρεθείτε στη δυσάρεστη θέση να χρειαστεί να επαναφέρετε δεδομένα και να ανακαλύψετε κυριολεκτικά τη τελευταία στιγμή ότι τα δεδομένα περιέχουν σφάλματα και ότι η αποκατάσταση δεν έγινε σωστά.
Επίσης, θα πρέπει να προσδιορίσετε ποιους τύπους δεδομένων συλλέγει, διαχειρίζεται και αποθηκεύει η επιχείρησή σας. Παράλληλα, θα πρέπει να εντοπίσετε που βρίσκονται αποθηκευμένα στην επιχείρηση σας: βρίσκονται στην εσωτερική υποδομή σας, σε τερματικά, στο αποθηκευτικό νέφος; Μόλις προσδιορίσετε που βρίσκονται τα δεδομένα, μπορείτε επίσης και να τα παρακολουθήσετε (ακόμα και όταν μεταφέρονται ή διαμοιράζονται) και βεβαίως να τα προστατεύσετε.
Είναι απολύτως απαραίτητο επίσης να καθορίσετε το είδος των δεδομένων. Πρόκειται για εμπορικά μυστικά; Πνευματική ιδιοκτησία; Είναι δεδομένα που ανήκουν σε πολίτες της Ευρωπαϊκής Ένωσης; Τότε θα πρέπει να προστατεύσετε τα συγκεκριμένα δεδομένα καθώς διέπονται από τον Ευρωπαϊκό Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR).
Αυτό σημαίνει ότι θα πρέπει να εξετάσετε και να αξιολογήσετε τις επιπτώσεις της απώλειας ή της παραβίασης δεδομένων στην επιχείρηση σας. Σε κάθε περίπτωση είναι απαραίτητο να καταστρώσετε ένα σχέδιο πρόληψης απώλειας δεδομένων και ένα σχέδιο αποκατάστασης από καταστροφή.
Ξεκινήστε (και μην περιμένετε την 31η Μαρτίου κάθε χρονιά για να σας υπενθυμίζει την σπουδαιότητα της δημιουργίας αντιγράφων ασφαλείας)!
