De 3-2-1 back-up strategie onder de loep

Met de huidige omvang van de cybercriminaliteit doen bedrijven, overheidsinstanties en zorginstellingen er goed aan om zich niet alleen te focussen op preventie, maar vooral ook na te denken over een herstelscenario, nadat de IT-omgeving is gecompromitteerd. De beschikbaarheid van niet geïnfecteerde back-up kopieën vormt de sleutel tot een mogelijk herstel van de operationele activiteiten. Dit is niet alleen de taak van IT. Naast systeembeheerders en beveiligingsspecialisten dient ook het management van een organisatie betrokken te zijn bij het uitstippelen van de strategie voor back-up en herstel en de verwachtingen hieromtrent.

Rol van beleidsmakers

Die nadrukkelijke betrokkenheid van mensen op C-level niveau van een organisatie komt niet alleen voort uit hun verantwoordelijkheid voor het voortbestaan van een bedrijf, een dienst of een instelling. Het heeft ook alles van doen met de prioriteitstelling bij het opstellen van het scenario, het toezicht op de inrichting van de back-up voorzieningen en de aansturing van de uit te voeren werkzaamheden na een aanval. Daar zitten evenveel organisatorische componenten bij als onderdelen van technische aard. Het komt regelmatig voor dat medewerkers ‘van de business’ en die van de IT-organisatie niet op één lijn liggen als het gaat om een volledig herstelscenario van de gehele IT-infrastructuur. Onenigheid op de vloer is wel het laatste dat je wilt na een catastrofale ’ransomware’ infectie.

Samenspel is essentieel. Dat begint bij draaiboeken voor het herstel van de IT-operaties op zowel technisch als organisatorisch vlak. Wie z’n huiswerk heeft gedaan , doet er goed aan te realiseren dat cybersecurity een dynamische discipline is. Met andere woorden: wat vandaag functioneert, kan morgen niet meer werken. Het is dus zaak om de ingerichte back-up en herstelvoorzieningen permanent te monitoren en te toetsen op hun bruikbaarheid in veranderende omstandigheden. Aannames zijn dodelijk…

Frequentie

Hoe vaak je een back-up procedure uitvoert (frequentie) en de retentie eigenschappen die je daarbij hanteert hangt samen met de aard van de IT-operatie, de omvang van de hoeveelheid data en de continuïteit-eisen van de organisatie. Kan jouw organisatie zich een maand dataverlies permitteren? Meestal is dat niet het geval en zal het back-up proces met een dagelijkse frequentie opstarten. Maar in dynamische omgevingen kan er sprake zijn van het maken van meerdere back-ups per dag.

Maatgevende indicatoren hiervoor zijn: Recovery Time Objective (RTO) en Recovery Point Objective (RPO), oftewel de tijdsinterval waarin een systeem of een volledige IT-omgeving weer beschikbaar moet zijn en welke mate van dataverlies wordt geaccepteerd. De inschatting op business niveau is soms beduidend positiever dan die vanuit het systeembeheer. De praktijk leert dat bij uitval van de gehele IT-voorziening het in optimistische scenario’s toch al gauw enkele weken kan duren voordat alles weer is opgestart. De tijdsduur is natuurlijk mede afhankelijk van de hoeveelheid data, mankracht en de beschikbare systeembronnen met bijvoorbeeld de noodzaak van het tijdelijk huren van extra hardware.

Controleer back-up strategie via regelmatige audits

Organisaties zijn zich er vaak niet van bewust dat ze niet zo bekwaam zijn in het maken van realistische back-up en herstel scenario’s. Het gevolg is dat men in het geval van ransomware de operationele data kwijt is en dat herstel vanuit de voorhanden back-ups niet volledig of pas na geruime tijd mogelijk is. In zo’n geval is het denkbaar dat een organisatie zwicht voor de afpersers en betaalt. Zeker wanneer men dit bedrag heeft verzekerd via een verzekeringspolis.

Voor organisaties met een hoog risicoprofiel, omdat 90% procent van de primaire bedrijfsinformatie is gedigitaliseerd, zoals de transportsector met logistieke planningen en de zorg met elektronische patiëntendossiers, zijn de gevolgen van dataverlies enorm. Zo hebben veel organisaties en sectoren hun eigen gevoeligheden. Organisaties doen er goed aan hun back-up scenario’s regelmatig te laten controleren via audits die inzicht geven in de risico’s en daar waar nodig proactief acties te initiëren om de back-up strategie te verbeteren.

Offline back-up op tape

De meest gebruikte methodiek voor back-up en herstel wordt aangeduid als de 3-2-1 strategie. De 3 slaat op het minimale aantal versies die van data voorhanden moet zijn: het origineel; een kopie daarvan en een kopie van de kopie. De 2 staat voor het minimale aantal typen opslagmedia waarop de kopieën zijn ondergebracht. Daarvan moet tenminste 1 opslagmedium offline zijn.  Inmiddels is er aan de strategie ook het cijfer 0 toegevoegd en kan worden uitgelegd als Zero Trust. Hiermee wordt onder meer het monitoren en testen van het back-up proces bedoeld. Dat moet gebeuren; aannames dat het wel goed gaat, zijn uit den boze.

Monitoren is een doorlopend uit te voeren taak met als doel te toetsen of de verschillende back-processen zijn gestart en of de gewenste kopieën volledig zijn aangemaakt. Dit vindt plaats op vooraf bepaalde tijdstippen en met een bepaalde reikwijdte, waardoor ze de operationele IT-capaciteit niet beïnvloeden.  In de praktijk is er soms alleen aandacht voor triggers wanneer het proces niet goed loopt. Maar eigenlijk moet je voor een volledig beeld aan de hand van de notificaties ook de bevestiging krijgen wanneer het wel goed loopt.

Noodzaak van monitoring

De noodzaak van monitoren en meten van de back-up strategie wordt groter, nu blijkt dat bij veel ransomware-aanvallen de kwaadwillenden zich bewust richten op het onklaar maken van de back-up omgeving. De verdediging daartegen is het segmenteren van de back-up infrastructuur, zowel op netwerkniveau, systeemniveau als dataniveau op basis van enkel de strikt noodzakelijke communicatie en activiteiten stromen. In feite zou men het back-up proces moeten afzonderen en isoleren van de productie-omgeving. Bij veel IT-afdelingen ligt het automatisch maken van back-ups in het verlengde van het productieproces.

Het is een neventaak, waar niet altijd evenveel aandacht aan wordt besteed zoals aan het beheren van de dagelijkse operationele processen. ”We hebben altijd nog de offline kopieën”, zo wordt er soms geredeneerd. Maar die versies zijn alleen bedoeld voor de meest slechte omstandigheid. Van cruciaal belang in de offline omgeving is de retentiefactor. Hoeveel retentie kopieën zijn er nog voorhanden, wanneer de gehele productiedata plus online-back-up is gecompromitteerd? Veiliger is het om een aparte back-up infrastructuur voor offline te maken en te voorzien van een eigen inlogsysteem. Er bestaan inmiddels dienstverleners die ’repositories’ hosten en segmenteren en daarmee online back-up opslagmethodieken voor offline kopieën aanbieden.

Cloud first maakt back-up complexer

Naarmate we meer data van de on-premises omgeving overbrengen naar de cloud, wordt het beheer over de back-up kopieën alleen maar complexer. Van de bekende grote cloudproviders verwachten we dat ze op dit thema soelaas kunnen bieden. Daar hangt echter wel een prijskaartje aan. Bovendien is het nog maar de vraag of, in geval van een standaard overeenkomst, een organisatie direct kan beschikken over alle gewenste back-up data om snel een herstelproces op te starten. Er zijn situaties waarin het niet handig is om alle e-maildata plus back-ups onder te brengen buiten de deur. Ook in het geval van cloud-technologie en -diensten mogen organisaties nooit klakkeloos er vanuit gaan dat de back-up is geregeld.

Gedegen plan

De eigenschappen dienen aan te sluiten of aangesloten te worden op de continuïteit-eisen en -context van de organisatie. Daarnaast treedt er in geval van cloud-technologie altijd een vorm op van gedeelde verantwoordelijkheid dat zich uiteindelijk altijd richt op de data. Het periodiek toetsen en monitoren van de afspraken en eigenschappen van back-up diensten is dan ook een verantwoordelijkheid die uw organisatie nog steeds heeft, ook in het geval van Cloud.

Concluderend: data zijn de kroonjuwelen van de organisatie. Dat weten cybercriminelen ook. Daarom is het essentieel om data adequaat te beschermen. Daarvoor is een gedegen plan van aanpak nodig en de juiste inrichting van systemen. Wacht niet tot het te laat is, want de weg terug kan moeilijk of zelfs onbegaanbaar zijn.

Vragen

Heb je vragen over dit onderwerp? Neem dan even contact met ons op.

Bekijk ook de volgende onderwerpen. Deze zijn speciaal voor u geselecteerd: