Organisaties zijn steeds meer afhankelijk van IT-systemen voor de bedrijfsprocessen en het opslaan van data. Het maken van backups is noodzakelijk om de bedrijfscontinuïteit te waarborgen. In het vorige blog (deel 1) lag de focus op de verantwoordelijkheid van de proceseigenaren omtrent backups. Zij zijn verantwoordelijk voor de continuïteit van hun proces en stellen daarvoor de Recovery Time Objective (RTO) en de Recovery Point Objective (RPO) vast. Belangrijke informatie voor de IT-afdeling, die het maken van backups faciliteert. In het tweede deel van deze serie blogs over backups vertelt Joris Wijnen, Cyber Security Consultant bij Cuccibu, over het op een veilige en verantwoorde manier inrichten van backups.
De RTO en RPO geven de IT-afdeling richtlijnen over hoevaak gebackupt moet worden en hoe snel een backherstel uitgevoerd moet worden. Daarnaast heeft de IT-afdeling ook richtlijnen op basis van best practices voor de manier waarop zij backups bewaren. Deze richtlijnen zijn input voor de IT-afdeling voor het goed inrichten van het backup proces. Een backup is goed ingericht wanneer deze ook bijdraagt aan de bedrijfscontinuïteit, beschermt is tegen dreigingen van buitenaf en bij een incident snel herstelt kan worden. Een veel voorkomende dreiging voor bedrijfscontinuïteit is ransomware. Dit is gijzelsoftware die je systemen versleuteld en losgeld vraagt voor het vrijgeven ervan. Dit soort situaties kunnen zorgen voor uitdagingen bij het goed inregelen van backups. Met de juiste maatregelen is de impact van ransomware laag te houden. Een belangrijk onderdeel van deze maatregelen is dat je zorgt dat de backups zelf niet ongewenst versleuteld kunnen worden. Als dat gebeurt hebben ze namelijk geen waarde meer. Een voorbeeld van een maatregel om dit te voorkomen is je gegevens in een Write-Once-Read-Many (WORM) formaat opslaan. De naam geeft het al een beetje weg, dit betekent dat de gegevens één keer weggeschreven kunnen worden naar de backuplocatie en daarna alleen maar te lezen zijn. Zo kunnen ze dus niet versleuteld worden. Hierbij ontstaat wel een dilemma, waarbij information security en privacy elkaar raken. Wat als iemand een verzoek indient tot het verwijderen van zijn/haar gegevens? Het recht op gegevens wissen is een van de privacyrechten dat voorkomt uit de Algemene verordening gegevensbescherming (AVG). De AVG geldt voor iedereen die persoonsgegevens verwerkt. Het verzoek dient dan ook uitgevoerd te worden. Dit is prima uit te voeren op het hoofdsysteem, maar deze gegevens wijzigen of verwijderen in de backups is niet mogelijk. Deze gegevens blijven dus nog lange tijd leesbaar in de backups, en mocht een backupherstel nodig zijn dan komen de gegevens weer live op het hoofdsyssteem. Het is daarom heel belangrijk dat alle wijzigingen die sinds het Recovery Point zijn gedaan goed vastgelegd worden zodat ze allemaal opnieuw kunnen worden uitgevoerd na een backupherstel.
Naast externe risico’s, zoals ransomware, heeft de IT-afdeling ook interne risico’s waar ze op moet letten bij het maken van backups. Denk aan risico’s met het specifieke medium waar de backups worden opgeslagen, risico’s met een specifieke backup en risico’s op een specifieke fysieke locatie waar backups worden opgeslagen. Daar is een regel voor bedacht, de 3-2-1-regel. Dit houdt in dat je 3 backups opslaat op 2 verschillende media waarvan 1 backup wordt opgeslagen op een andere locatie. Die andere locatie is tegenwoordig vaak de cloud opslag, die dus ook met een netwerk verbonden is. Netwerkgerelateerde risico’s zijn dus niet uit te sluiten. Risico’s die tijdens het herstellen van backups ontstaan zijn nog niet meegenomen in deze regel. Denk hierbij aan praktische risisco’s zoals engineers die niet weten hoe het recovery proces verloopt of een netwerkconnectie die te lang doet over het verplaatsen van gegevens. Wij vinden de 3-2-1 regel daarom achterhaald.
Wij geven de voorkeur aan de robuustere variant: de 3-2-1–1-0 regel, waarbij de 3, 2 en éérste 1 dezelfde betekenis houden, de tweede 1 aangeeft dat één backupkopie offline moet worden opgeslagen en de 0 aangeeft dat er geen enkele errors mogen opduiken tijdens het herstelproces. Één backupkopie offline opslaan zorgt ervoor dat niemand vanuit het netwerk toegang heeft tot de servers waar de kopie staat. Dit wordt ook wel een air-gap genoemd. Een kwaadwillende kan dan geen toegang krijgen tot het systeem. Dat er géén enkele errors mogen opduiken tijdens het herstelproces geeft indirect aan dat de herstelprocedure periodiek getest moet worden. Zonder te testen kun je namelijk niet garanderen dat er geen errors opduiken. Een bijkomend voordeel van de herstelprocedure periodiek testen is dat de uitvoerende engineers efficiënter kunnen werken. Ze zijn immers getraind.
De IT-afdeling faciliteert in het maken van backups. De proceseigenaren stellen vast welke processen belangrijk zijn en bepalen de RTO en RPO. Op basis van de RTO, RPO en richtlijnen voor het bewaren van backups gaat de IT-afdeling aan de slag met het faciliteren van de backups. Daarnaast zorgen zij dat technische risico’s, zowel extern als intern, gemitigeerd worden. Heeft jouw organisatie hulp nodig bij een veilige en verantwoorde omgang met backups? Cuccibu is dé partner die je zoekt. Als integrale dienstverlener kunnen wij jouw organisatie ontzorgen, zowel op het gebied van Information Security, Cyber Security als Privacy & Legal.
Reduce Risk, Create Value!