Is de 3-2-1-aanpak bij het maken van backups de heilige graal? Hoe gaat het eigenlijk in zijn werk? Backups verdienen de aandacht, dat staat vast. Data zijn tenslotte de kroonjuwelen van een organisatie. Dat weten cybercriminelen ook. De beschikbaarheid van niet geïnfecteerde backupkopieën vormt de sleutel tot herstel van de activiteiten. Het management moet niet aarzelen bij het uitstippelen van een herstelstrategie.
De betrokkenheid van de personen op C-level niveau is noodzakelijk omdat zij de prioriteiten bepalen bij het opstellen van het scenario, de inrichting van de backup-voorzieningen en de aansturing van de uit te voeren werkzaamheden na een aanval. Medewerkers ‘van de business’ en die van de it-organisatie liggen soms niet op één lijn als het gaat om een realistische inschatting van de herstelperiode voor de it-infrastructuur.
Cybersecurity is een dynamische discipline: wat vandaag functioneert, kan morgen niet meer werken. De herstelvoorzieningen moeten we permanent monitoren en toetsen op hun bruikbaarheid.
Zero-trust
Backup en herstel vatten we samen in de ’3-2-1-strategie’. Minimaal drie versies van de data zijn vereist: het origineel, een kopie daarvan en een kopie van de kopie. De kopieën zijn op minimaal twee typen opslagmedia ondergebracht. Daarvan moet tenminste één offline zijn. De toevoeging van het cijfer ‘nul’ slaat op zero-trust. Monitoren en testen van het backup-proces moet gebeuren; aannames dat het wel goed gaat, zijn uit den boze.
We testen of de verschillende backup-processen zijn gestart en de kopieën volledig zijn aangemaakt. Dit doen we op vooraf bepaalde tijdstippen en met een reikwijdte zonder operationele it-capaciteit te beïnvloeden. Bij een slechtlopend proces gaat het niet alleen om triggers. Voor een volledig beeld moet je via notificaties de bevestiging krijgen wanneer het wel goed loopt. Hoe vaak je een backup-procedure uitvoert (frequentie) en met welke retentie eigenschappen, hangt samen met de aard van de it-operatie, de omvang van de hoeveelheid data en de continuïteit-eisen van de organisatie. Maatgevende indicatoren zijn: recovery time objective (rto) en recovery point objective (rpo). Ofwel, wanneer moet een it-omgeving weer beschikbaar zijn en welke mate van dataverlies is acceptabel?
Audits
Wie na een ransomware-aanval niet snel genoeg kan herstellen, zwicht voor afpersers. Zeker wanneer de schade wordt gedekt door een verzekeringspolis. Voor organisaties met een hoog risicoprofiel (negentig procent van de primaire bedrijfsinformatie is gedigitaliseerd) is dataverlies funest. Zij doen er goed aan hun scenario’s regelmatig te laten controleren via audits. Die geven inzicht in de risico’s en de acties nodig om backup-strategie te verbeteren.
Er zijn partijen die zich bewust richten op het onklaar maken van de backup-omgeving. Daartegen kan een bedrijf zich verdedigen door het segmenteren van de backup-infrastructuur, zowel op netwerk-, systeem-als dataniveau. Het backup-proces van de strikt noodzakelijke datastromen moet je isoleren van de productie-omgeving, waar het maken van backups slechts een neventaak is. Je waant je veilig met offline-kopieën. Die zijn alleen bedoeld in een ’worst case’-omstandigheid. Van cruciaal belang bij offline is de retentiefactor. Hoeveel retentie kopieën zijn beschikbaar wanneer productiedata plus online-backup zijn gecompromitteerd? Veiliger is het om een aparte backup-infrastructuur voor offline te maken en te voorzien van een eigen inlogsysteem.
Clouddata
Het overbrengen van data naar de cloud, maakt het beheer over de backup-kopieën complexer. De bekende grote cloudproviders bieden soelaas. Daar hangt een prijskaartje aan. Bovendien is het nog maar de vraag of een organisatie bij een standaard-overeenkomst snel met de gewenste backup-data een herstelproces kan starten. Want hoe is de backup geregeld bij een clouddienst? Ga er nooit klakkeloos vanuit dat die op orde is. Leverancier en gebruiker hebben een gedeelde verantwoordelijkheid. Aan het periodiek toetsen en monitoren van de afspraken en eigenschappen van de backup valt ook in het clouddomein niet te ontkomen.
3-2-1-0 of omgekeerd 0-1-2-3? Dat we vaak te goed van vertrouwen zijn is niet alleen bij Hof van Twente gebleken. Ik onderschrijf dus de noodzaak tot zero-trust zoals dat ik het in grote lijnen eens ben met het verhaal. Dat gezegd hebbende herken ik alle termen maar gaan we volgens mij nog voorbij aan de problemen zoals de essentie van de waarde van data en de I/O karakteristiek. Tip van Flip is om de back-up in omgekeerde volgorde te ontwerpen door de datastromen naar belang en I/O karakteristiek te classificeren.
Nog altijd de grootst gemaakte denkfout is het idee dat opslag niks kost waardoor we niet alleen steeds minder weggooien maar vooral data niet op de juiste manier bewaren. Want ze waren niet alleen te goed van vertrouwen bij Hof van Twente maar ze zijn ook jaren werk kwijt en ik vermoed dat de oorzaak hiervan ligt in het feit dat digitaal archiveren – zodanig dat je bonnetjes ook nog terug kan vinden – nog niet zoveel gedaan wordt. En een misbruik van de back-up hierin die doelgericht aangevallen wordt zet je dan ook letterlijk en figuurlijk in de hoek omdat je niet alleen door criminelen afgeperst wordt als we kijken naar de ‘compliance cost’ en de boetes.
Ransomware is een nieuwe bedreiging want de data is niet weg maar onleesbaar gemaakt, zeg maar gewijzigd wat een indicator kan zijn dat er iets niet klopt. Overwegend dat bij sommige organisaties – zoals de overheid – zo’n 90% van de data die eenmaal aangemaakt is niet meer gewijzigd mag worden wordt het tijd om ook eens naar de I/O karaktertiek zelf te kijken. Aloude ‘Write Once, Read Many’ principe is tenslotte in een nieuw jasje gestoken met extra knopen voor de data integriteit. Want offline is goed maar online is beter als je de data nog met regelmaat moet raadplegen maar niet meer mag wijzigen.
Lang verhaal kort gemaakt is de back-up tenslotte een plan B als alle ander plannen falen en geen ‘one-size-fits-all’ oplossing door afpersingen vanuit de leveranciers. De winst van je archief uit je back-up halen is zo’n 70% kostenbesparing doordat steeds vaker de licenties gebaseerd zijn op de volumes. En ervaring leert dat de kosten van de back-up nog altijd de sluitpost zijn van menig project, na oplevering is het de zorg van de afdeling IT maar dan zonder het bijkomende budget. Was het bij het Hof van Twente een gebrek aan vertrouwen of was Schraalhans weer keukenmeester waardoor er back-up gekocht werd in plaats van een herstelplan?