Maciej Wojciechowski | 3.07.2024

Atak ransomware na największy szpital w Chorwacji: KBC-Zagreb ofiarą grupy LockBit

Uniwersytecki Szpital Kliniczny w Zagrzebiu, Chorwacja, stał się celem grupy ransomware LockBit zaledwie tydzień po ogłoszeniu przez tę organizację zdrowotną, że została zaatakowana cybernetycznie w ubiegły czwartek.

Atak na KBC-Zagreb

Szpital KBC-Zagreb, położony w stolicy Chorwacji, Zagrzebiu, jest publicznie finansowanym szpitalem akademickim. Jak podają lokalne media, szpital wrócił do pełnej funkcjonalności zaledwie 24 godziny po ataku, dzięki zaangażowaniu ponad 100 ekspertów. Władze szpitala poinformowały, że atak z 27 czerwca sparaliżował ich sieci, zmuszając do przekierowania pacjentów w nagłych przypadkach do innych szpitali w Zagrzebiu i przywrócenia pracy na poziomie sprzed 50 lat, co oznaczało korzystanie z papieru i ołówka. Pomimo tych trudności, bezpieczeństwo pacjentów nigdy nie było zagrożone.

Profesor dr hab. Ivan Gornik, szef oddziału ratunkowego KBC-Zagreb, poinformował, że wszystkie testy mogą być przeprowadzane do pewnego stopnia, ale system radiologiczny, który szczególnie zależy od wsparcia informatycznego, został najbardziej dotknięty. Uniwersytecki Szpital Kliniczny, założony w 1942 roku, jest największym i najbardziej zaawansowanym medycznie obiektem w Chorwacji, obsługującym około 10 000 obywateli dziennie w dwóch głównych kampusach i trzech innych lokalizacjach w mieście. Szpital składa się z 30 klinik i 7 specjalistycznych instytutów, posiada ponad 2000 łóżek i zatrudnia ponad 7500 pracowników, w tym około 1000 lekarzy, a także prowadzi jeden z nielicznych ośrodków leczenia metodą gamma knife w Europie.

LockBit kontynuuje ataki na infrastruktury krytyczne

W poniedziałek, KBC-Zagreb pojawił się na ciemnej stronie internetowej LockBit jako najnowsza ofiara tej grupy ransomware. Gang powiązany z Rosją twierdzi, że skradł dużą ilość plików, w tym „dokumentację medyczną, wyniki badań pacjentów, prace naukowe lekarzy, dane dotyczące operacji, organów i dawców, banki organów i tkanek, dane pracowników, adresy, numery telefonów, dokumenty prawne pracowników, dane dotyczące darowizn i relacji z prywatnymi firmami, księgę darowizn, dane dotyczące rezerw leków, raporty o naruszeniach danych osobowych i wiele więcej.” Grupa opublikowała próbkę swoich skradzionych danych, składającą się z 12 dokumentów jako dowód exfiltracji.

Do tej pory szpital nie potwierdził, jakie dane zostały skradzione, ale poinformował odpowiednie władze i policję, która rozpoczęła śledztwo mające na celu ustalenie skutków ataku. Gang cyberprzestępczy LockBit z powodzeniem unika organów ścigania od momentu powstania pod koniec 2019 roku. Działając jako model Ransomware-as-a-Service (RaaS), gang ten przeprowadził ponad 1400 ataków na ofiary w USA i na całym świecie, w tym w Azji, Europie i Afryce.

Gang doświadczył poważnego niepowodzenia tej wiosny, gdy międzynarodowa operacja Cronos, prowadzona przez FBI i Interpol, zinfiltrowała jego infrastrukturę sieciową, wyświetlając komunikat o zajęciu na stronie głównej witryny wycieków LockBit. Mimo to, LockBit kontynuował swoje działania, tworząc nową stronę wycieków i atakując kilka amerykańskich szpitali w ciągu kilku dni. W zeszłym tygodniu, LockBit twierdził, że zhakował amerykańską Rezerwę Federalną, co wydaje się być fałszywym roszczeniem grupy, która zamiast tego wyciekła dane należące do amerykańskiej instytucji bankowej Evolve Bank and Trust.

Chorwacja ofiarą wielu ataków cybernetycznych

Podejrzany atak ransomware na KBC-Zagreb zbiegł się z atakami na kilka chorwackich agencji rządowych, które miały miejsce dzień wcześniej. Te ataki zostały przeprowadzone przez inną ugruntowaną grupę hacktywistyczną powiązaną z Rosją, znaną jako NoNam057(16).

Grupa ta, publikująca swoje dokonania na Telegramie, konsekwentnie atakuje krytyczną infrastrukturę państw wspierających Ukrainę, wykorzystując ataki typu DDoS (rozproszona odmowa usługi), które tymczasowo wyłączają sieci ofiar poprzez zalewanie ich żądaniami ruchu.

Początkowo podejrzewano, że NoName spowodował awarię szpitala, jednak grupa opublikowała 28 czerwca wiadomość na swoim kanale Telegram, zaprzeczając odpowiedzialności. „Nie bierzemy udziału w atakowaniu placówek medycznych w Chorwacji ani w żadnym innym kraju. Mamy zasadę, że nie dotykamy placówek medycznych. Walczymy z rusofobicznymi władzami, a nie z cywilami! 🤬” – napisała NoName w poście, krytykując chorwackich urzędników za to, że nie byli w stanie „chronić swojej infrastruktury internetowej w sektorze medycznym.”

NoName jest odpowiedzialna za nieco ponad jedną trzecią wszystkich ataków hacktywistycznych w 2023 roku. To, co wyróżnia NoName – poza faktem, że nie są powiązani z żadną inną prorosyjską grupą – to wsparcie ze strony wolontariuszy rekrutowanych z dark webu. Hakerzy ci na początku 2023 roku wystosowali apel do „bohaterów” hacktywistów, oferując wynagrodzenie w kryptowalutach, które podobno wynosi setki, a nawet tysiące dolarów amerykańskich.

W zeszłym roku NoName z powodzeniem zaatakował system bankowy we Włoszech, wyłączając co najmniej sześć głównych banków i zakłócając infrastrukturę niemal tuzina ukraińskich stron bankowych. Inne ataki skierowane były na infrastrukturę krytyczną w Polsce, Danii, Litwie i francuskim parlamencie, a także niemal tuzin ataków na szwajcarski sektor finansowy i lotniczy latem ubiegłego roku, w tym kilka europejskich portów we Włoszech, Niemczech, Hiszpanii i Bułgarii.

Nasze wnioski

Ataki cybernetyczne na KBC-Zagreb i inne chorwackie instytucje rządowe podkreślają rosnące zagrożenie, jakie stanowi cyberprzestępczość dla infrastruktury krytycznej. W miarę jak grupy takie jak LockBit i NoName kontynuują swoje działania, konieczne jest zwiększenie środków bezpieczeństwa i świadomości, aby zapobiec dalszym incydentom i chronić wrażliwe dane oraz usługi. Poniżej przedstawiamy kilka kluczowych wniosków wynikających z tych wydarzeń oraz ich odniesienie do sytuacji w Polsce.

Potrzeba wzmocnienia systemów bezpieczeństwa

Przypadek KBC-Zagreb pokazuje, jak łatwo może dojść do paraliżu działalności nawet największych instytucji zdrowotnych. Szpitale i inne placówki opieki zdrowotnej są szczególnie wrażliwe na ataki ransomware, ponieważ przerwy w ich funkcjonowaniu mogą mieć bezpośredni wpływ na życie i zdrowie pacjentów. Polska, podobnie jak Chorwacja, musi zainwestować w nowoczesne systemy bezpieczeństwa cybernetycznego, które będą w stanie skutecznie wykrywać i odpierać ataki, zanim wyrządzą one znaczące szkody.

Współpraca międzynarodowa

Operacja Cronos, prowadzona przez FBI i Interpol, pokazuje, że międzynarodowa współpraca w zwalczaniu cyberprzestępczości jest kluczowa. Polska powinna aktywnie uczestniczyć w takich inicjatywach, wymieniając się informacjami i doświadczeniami z innymi krajami oraz organizacjami międzynarodowymi. Tylko wspólnymi siłami można skutecznie walczyć z globalnymi zagrożeniami cybernetycznymi.

Edukacja i świadomość

Ataki cybernetyczne często są wynikiem błędów ludzkich, takich jak kliknięcie w złośliwy link czy otwarcie podejrzanego załącznika. Dlatego niezbędna jest ciągła edukacja i podnoszenie świadomości pracowników na temat zagrożeń cybernetycznych i sposobów ich unikania. Polska powinna zainwestować w szkolenia dla personelu zarówno w sektorze publicznym, jak i prywatnym, aby zminimalizować ryzyko ataków.

Przykład Polski

Polska, podobnie jak Chorwacja, doświadcza rosnącej liczby cyberataków na infrastrukturę krytyczną. W ostatnich latach Polska była celem ataków ransomware oraz DDoS, które dotknęły między innymi instytucje finansowe, energetyczne i rządowe. Podobnie jak w przypadku Chorwacji, ataki te często były przypisywane grupom powiązanym z Rosją, które prowadzą działania mające na celu destabilizację państw wspierających Ukrainę.

Inwestycje w infrastruktury krytyczne

Polska powinna zwrócić szczególną uwagę na ochronę swoich infrastruktur krytycznych, takich jak systemy energetyczne, wodociągowe, komunikacyjne i zdrowotne. Inwestycje w nowoczesne technologie zabezpieczeń, regularne audyty bezpieczeństwa oraz implementacja najlepszych praktyk mogą znacząco podnieść poziom bezpieczeństwa cybernetycznego.

Wsparcie rządowe i polityczne

Rząd Polski powinien aktywnie wspierać inicjatywy związane z cyberbezpieczeństwem, zarówno poprzez legislację, jak i bezpośrednie inwestycje. Tworzenie specjalistycznych jednostek do walki z cyberprzestępczością, finansowanie badań nad nowymi technologiami zabezpieczeń oraz wspieranie współpracy między sektorem publicznym a prywatnym to kluczowe kroki, które mogą pomóc w ochronie przed zagrożeniami cybernetycznymi.

Zintegrowany system reagowania

Polska powinna rozwijać i udoskonalać swoje systemy reagowania na incydenty cybernetyczne. Zintegrowane podejście, które obejmuje szybkie wykrywanie, skuteczne reagowanie oraz minimalizowanie skutków ataków, może znacząco zmniejszyć ryzyko długotrwałych przerw w funkcjonowaniu kluczowych usług i infrastruktury.

Podsumowanie

Cyberprzestępczość stanowi poważne zagrożenie dla współczesnych społeczeństw, a ataki takie jak te na KBC-Zagreb pokazują, jak ważne jest przygotowanie i zabezpieczenie infrastruktury krytycznej. Polska, jako kraj o rozwiniętej infrastrukturze i rosnącym znaczeniu na arenie międzynarodowej, musi podjąć zdecydowane działania, aby zwiększyć swoje bezpieczeństwo cybernetyczne. Inwestycje w technologie, edukację, współpracę międzynarodową oraz wsparcie rządowe są kluczowe, aby skutecznie chronić przed zagrożeniami cybernetycznymi i zapewnić ciągłość działania usług i infrastruktury krytycznej.

Żródło tłumaczenia

https://cybernews.com/news/croatia-kbc-zagreb-hospital-cyberattack-lockbit
Maciej Wojciechowski | 28.03.2024

8 kroków do uruchomienia backupu Twojego serwera z FlowBack© 

VMware oferuje różne licencje na swoje oprogramowanie do tworzenia kopii zapasowych, a ceny mogą być wysokie, szczególnie dla dużych środowisk wirtualizacyjnych. Jeśli zmigrowałeś swoje środowisko na Proxmoxa możesz skorzystać z bezpiecznego backupu w chmurze, wykorzystując do tego nasze narzędzie FlowBack© dostępne w sklepie internetowym.  
 
Jak zrobić backup? Poniżej instrukcja dotycząca Integracji instancji środowiska Proxmox z zakupionym zasobem Proxmox Backup Server (PBS).  

Krok 1. W widoku serwerów kliknij na pierwszy wpis, a następnie wybierz opcję „Storage” i dodaj zasób Proxmox Backup Server  

Następnie udaj się do panelu użytkownika Proxmox Backup Server i zaloguj, aby wypełnić pola. 

Krok 2: Wybierz swój Datastore i opcję „show connection information” 

Po kliknięciu pojawią się okna z niezbędnymi informacjami do dokończenia konfiguracji zasobu. 
 

Krok 3: Skopiuj swój adres serwera i wypełnij pola 

Krok 4: Nazwij swój zasób (np. „Flowback”) 

Krok 5: Wypełnij pole nazwy użytkownika. Podaj nazwę w formacie [nazwa użytkownika]@pbs  

Krok 6: Podaj hasło i nazwę Datastore 
 

Ponownie wracamy do panelu użytkownika Proxmox Backup Server. 

Krok 7: Kopiujemy nazwę Datastore i wklejamy w oknie Connection Information 

Ponownie wracamy do panelu użytkownika Proxmox Backup Server. 

Krok 8: Kopiujemy odcisk palca serwera (fingerprint) i wklejamy w oknie Connection Information 

Po poprawnym wypełnieniu wszystkich pól, klikamy „ok”. Zasób Proxmox Backup Server zostanie dodany i będzie widoczny w panelu użytkownika środowiska wirtualnego Proxmox. 

Zobacz tutorial video:  

Tomasz Magda | 29.01.2024

O tym, jak zadbać o bezpieczeństwo kopii zapasowych, opowiada Tomasz Turek z Veeam Software

Co to znaczy, że kopia zapasowa jest NIENARUSZALNA i dlaczego to tak ważny aspekt ochrony danych? Czym jest linuxowe utwardzone repozytorium i czy jest to najlepsza metoda zapewnienia nienaruszalności backupu? Jak skutecznie testować kopie zapasowe i w jaki sposób wykorzystać do tego celu narzędzia ze stajni Veeam? O to i jeszcze więcej zapytaliśmy Tomasza Turka, Senior Systems Engineer z Veeam Software, który o backupie wie niemal wszystko.
 
Zapraszamy więc do materiału w dwu formatach. Dla tych, którzy wolą poczytać, mamy artykuł, a dla tych, którzy lubią pooglądać i posłuchać – wideo. Uwaga – znajdziecie tutaj sporo technicznego żargonu, więc artykuł jest skierowany raczej do specjalistów IT oraz osób z praktyczną wiedzą z obszaru backupu i odtwarzania.

Czym jest nienaruszalność kopii zapasowych i jak ją zrealizować w praktyce?

O nienaruszalności kopii zapasowej mówi nam atrybut Immutability Object Lock, który oznacza, że kopia jest nieusuwalna i niemodyfikowalna przez określony czas. Nie może jej ,,tknąć” ani administrator systemu backupu ani administrator infrastruktury, ani nikt inny w organizacji, bez względu na to, jaki poziom uprawnień posiada. 

Tomasz Turek wskazuje na kilka rozwiązań technicznych oferowanych przez Veeam Software, które realizują nienaruszalność backupu. Do stworzenia podstawowej ścieżki nienaruszalności kopii zapasowej poleca na przykład wykorzystać repozytorium linuksowe, czyli tzw. Linux Hardened Repository, w którym można oznaczyć atrybutem Immutability cały system plików.

W zależności od dostawcy chmurowego, Veeam pozwala nadać flagę Object Lock bezpośrednio na storage’u obiektowym – na przykład na Microsoft Azure lub na buckecie S3 w AWS – bez względu na to, czy mówimy o środowiskach hyperscalerowych czy o środowiskach opartych o macierze S3, znajdujących się w naszej lokalizacji, które natywnie wspierają taką opcję. W przypadku tego rozwiązania również nie ma mowy o usunięciu atrybutu Immutable, bez względu na poziom posiadanych uprawnień.

Ostatnią możliwością jest wykorzystanie urządzeń deduplikacyjnych, jak na przykład HPE StoreOnce, które w ramach swojego firmware’u również pozwala na założenie Object Locke’a i nieusuwanie backupu przez określony czas.

Czym jest linuxowe utwardzone repozytorium? Jak za jego sprawą realizowana jest ochrona przed usunięciem kopii zapasowej?

Linuxowe utwardzone repozytorium to rozwiązanie, które warto stosować, gdy nie posiadamy macierzy obiektowych i nie mamy możliwości wysłania naszych backupów ,,na zewnątrz”, czyli na przykład na taśmę. To rozwiązanie jest bardzo bezpieczne choćby dlatego, że Linux Hardened Repository spełnia kilka amerykańskich regulacji: SEC 17a-4(f), FINRA 4511(c) oraz CFTC 1.31(c)-(d) (według raportu Cohasset Associates), które stawiają to repozytorium na równi z repozytoriami WORM (Write-Once-Read-Many).

A jak to wygląda w praktyce? Veeam w czasie inicjalizacji linuxowego repozytorium wykorzystuje konto root do stworzenia znacznika Immutable w taki sposób, by użytkownik, „po którym” się komunikujemy, nie miał uprawnień do usunięcia lub modyfikacji oznaczonych danych. Można jedynie wydłużyć czas życia znacznika, nie można go natomiast skrócić lub całkowicie zdjąć. Co ważne, gdy mamy już wspierające nienaruszalność repozytorium, włączenie flagi Immutability zrealizować można z poziomu konsoli Veeam za pomocą zaledwie jednego checkboxa.

Czy utwardzone repozytorium linuxowe jest najlepszą metodą realizacji nienaruszalności kopii zapasowych?

Według Tomasza Turka linuxowe repozytorium jest jednym z podstawowych sposobów osiągnięcia nienaruszalności kopii zapasowej, ale nie jedynym. Stosunkowo bezpieczną metodą jest również wykorzystanie środowisk niezależnych od naszej firmowej infrastruktury do przechowywania kopii zapasowych. To na przykład środowiska zewnętrznych service providerów lub hyperskalerów, które gwarantują zupełnie inną domenę uwierzytelniania.

W przypadku ataku na nasze lokalne środowisko mamy jeszcze kopie zapasowe u service providera, gdzie dane są bezpieczne z dwóch powodów. Po pierwsze – zewnętrzna domena uwierzytelniania jest solidną barierą przed zaatakowaniem repozytorium Service Providera, nawet jeśli nasze lokalne dane uwierzytelniania zostały przejęte. Po drugie – dostawcy usługi backupu poza siedzibą (off-site backup) mają możliwość opóźnienia akcji usuwania kopii zapasowych ze swojego repozytorium, co znacząco zwiększa szanse na odzyskania danych po udanym ataku na lokalne repozytorium backupu. 

Rozważając to na przykładzie, gdybyście stali się ofiarą cyberataku mającego na celu nie tyle zaszyfrowanie danych, co na przykład ich usunięcie, service provider może ustanowić politykę, która mówi, że nawet w przypadku otrzymania komendy ,,Usuń kopie zapasowe” zadanie to realnie zostałoby zrealizowane dopiero po 7 dniach, co daje wystarczająco dużo czasu na odtwarzanie awaryjne.

Jakie są najlepsze praktyki testowania kopii zapasowych?

Najlepszą praktyką w zakresie testowania kopii zapasowych jest… sam fakt jej testowania. Najważniejsze jest to, żeby o regularnym testowaniu backupu pamiętać, niezależnie, czy będziemy to robić automatycznie czy manualnie, czy jakkolwiek inaczej – każda forma testowania znacząco zwiększa bezpieczeństwo danych.”

– mówi Tomasz Turek

Proces testowania backupu można skutecznie zautomatyzować – służy do tego na przykład funkcjonalność Veeam o nazwie SureBackup. Aby uruchomić regularny proces testowania backupu za pomocą tego narzędzia, wystarczy raz zdefiniować zadanie testowania, które automatycznie włącza maszyny wirtualne z repozytorium kopii zapasowych, bez konieczności wykorzystywania storage’u produkcyjnego.

Co ważne, w tym procesie maszyny wirtualne włączane są w wyizolowanej strefie sieciowej, czyli w tzw. wirtualnym laboratorium – więc nic nie stoi na przeszkodzie, aby zarówno maszyny produkcyjne, jak i maszyny testowe znajdowały się na tym samym środowisku. Funkcja SureBackup automatycznie weryfikuje, czy maszyna wirtualna została poprawnie uruchomiona, czy system operacyjny takiej maszyny został zainicjalizowany oraz czy pingujemy maszynę po to, by móc podłączyć ją do sieci. Poza tym, w tym procesie możemy zweryfikować poprawność działania aplikacji, czy taka aplikacja została poprawnie włączona. W ostatniej fazie mamy możliwość skorzystania zarówno z predefiniowanych skryptów, jak i skryptów definiowanych przez użytkownika.

W procesie testowania kopii zapasowej ważna jest również identyfikacja uszkodzeń fizycznych oraz obecności wirusów infekujących backup. SureBackup weryfikuje w tym celu cały łańcuch backupowy sprawdzając, czy nie nastąpiła na przykład awaria dysku lub kontrolera na macierzy, a także – wykorzystując najnowsze sygnatury antywirusowe – sprawdza, czy zawartość kopii zapasowej jest bezpieczna od najnowszych znanych malware’ów.

Podsumowanie

Bezpieczeństwo kopii zapasowych to zagadnienie równie szerokie, co trudne, głównie z uwagi na fakt, że niebezpieczeństwa, na które narażone są nasze dane, ewoluują w tempie logarytmicznym – codziennie pojawiają się nowe socjotechniki, coraz inteligentniejsze malware’y i jeszcze bardziej wyrafinowane techniki ataków ransomware.

A choć trudno za tym wszystkim nadążyć, jedno jest pewne – stosowanie sprawdzonych praktyk, narzędzi i strategii zabezpieczania backupu może nie tylko znacząco zwiększyć poziom bezpieczeństwa naszych danych, ale również (czego nikomu nie życzymy) stać się ostatnim bastionem w walce z cyberprzestępcami.

Dobrze zabezpieczona kopia zapasowa to przepustka do odzyskania utraconych danych, szybkiego przywrócenia ciągłości działania organizacji, ograniczenia skutków naruszenia oraz zmniejszenia potencjalnych konsekwencji finansowych i wizerunkowych dla organizacji.

Zatem jeśli wiesz już, że warto zadbać o ten obszar w Twojej organizacji, ale nie masz pewności co do tego, JAK to zrobić, jakich narzędzi użyć i od czego zacząć – zapraszamy do kontaktu z nami poprzez czat lub e-mail oraz do zapoznania się z informacjami o naszych usługach w zakresie backupu i odtwarzania na stronie produktu. Doradzimy, pomożemy i skutecznie przeprowadzimy Cię przez cały proces wdrożenia planu ochrony danych w Twojej organizacji. 


Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Tomasz Magda | 24.08.2023

NIENARUSZALNE repozytorium na Twoje kopie zapasowe!

W zastosowaniu idei nienaruszalności i ochrony danych poszliśmy w ostatnim czasie o kolejny krok dalej – uruchomiliśmy bowiem NIENARUSZALNE repozytorium chmurowe.

To wyjątkowy rodzaj repozytorium na backup, który – ze względu na swoją budowę oraz szereg zabezpieczeń – zapewnia całkowitą niezmienność plików w zadanym czasie. Technicznie, bazowaliśmy na dobrze znanym w pamięciach masowych trybie WORM (write once, read many). Bezpieczeństwo tego rozwiązania oparte jest na  3 filarach:

  1. ,,Termin ważności” danych – każdy plik umieszczony w repozytorium otrzymuje swój indywidualny atrybut czasowy określający okres, w którym system blokuje możliwość zmiany lub usunięcia pliku oraz powiązanych z nim metadanych.
  2. Bezpieczne logowanie – wykorzystujemy poświadczenia jednorazowe i uwierzytelnianie oparte na certyfikatach do komunikacji między serwerem kopii zapasowych Veeam a usługą Veeam Transport Service.
  3. Bezpieczny zegar czasu – jako że w rozwiązaniu niezwykle ważną rolę pełni prawidłowy czas, zegary systemowe naszego klastra Veeam Cloud Connect synchronizują się z bezpiecznym zegarem czasu (NTP).

Kombinacja powyższych rozwiązań zapewnia kompleksową ochronę nie tylko przed standardowymi naruszeniami danych, ale także przed błędami ludzkimi lub przypadkowym usunięciem czy modyfikacją danych. Realizowana w ten sposób idea nienaruszalności kopii zapasowych jest wówczas kompletna.  

Docelowo nasi klienci będą mogli wybrać repozytorium, które im najbardziej odpowiada, lub aktywować oba naraz i realizować bardziej złożone scenariusze backupu.

Nowe repozytorium, testowane już przez naszych klientów. Umieściliśmy je też z dala od podstawowego ośrodka, bo w centrum danych w Opolu. Już wkrótce udostępnimy NIENARUSZALNE repozytorium do zamówienia online w naszym e-commerce: https://flowbergit.pl/veeam-cloud-connect/

Tomasz Magda | 12.04.2023

Backup as a Service – na czym polega outsourcing backupu i odtwarzania danych?

Czym właściwie jest Backup jako usługa? Jakie są zalety i wady sięgania po outsourcing w tym obszarze? Co daje backup poza siedzibą? Jak właściwie chronić kopie zapasowe? 

W ciągu ostatnich 12 miesięcy ponad 70% firm zostało zmuszonych do przywrócenia danych, a niemal połowa z nich potrzebuje do tego od 6 godzin do 2 dni roboczych – to statystyka pochodząca z badania firmy technologicznej IT Focus. Z kolei, jak wynika z raportu Data Protection Trends 2023, aż 82% organizacji doświadcza tzw. deficytu dostępności, czyli różnicy między możliwą, a oczekiwaną szybkością przywrócenia danych i aplikacji po incydencie bezpieczeństwa lub awarii (RTO).

Równie istotnym wskaźnikiem jest RPO, a więc dopuszczalny okres utraty danych – w tym przypadku blisko 79% respondentów twierdzi, że częstotliwość wykonywania kopii zapasowych nie zapewnia możliwego do zaakceptowania poziomu utraty danych. Sytuacja dodatkowo nie napawa optymizmem, gdy uwzględnimy, że w ciągu ostatnich dwóch lat aż 76% firm doświadczyło przynajmniej jednego cyberataku, w konsekwencji tracąc bezpowrotnie niemal jedną trzecią swoich danych. 

Statystyki te dotyczą szerokiego spektrum problemów związanych z utratą danych i wszystkie bez wyjątku prowadzą do jednego wniosku – – kwestia odzyskiwania danych powinna być dla firm jednym z najważniejszych priorytetów. W świetle mnogości zagrożeń, backup to konieczność, która warunkować może dalsze istnienie organizacji. Rzecz w tym, że w dzisiejszym, narażonym na ataki ransomware świecie, może się okazać, że standardowy backup to za mało.

Potwierdza to raport firmy Veeam Software, który wskazuje, że celem większości ataków ransomware jest przede wszystkim system kopii zapasowych – według danych z raportu,

aż 96% ataków obejmowało próbę uszkodzenia kopii zapasowych i w 68% przypadków próba się powiodła.

Pytanie brzmi zatem – czy można się przed tym jakoś zabezpieczyć? A jeśli tak, w jaki sposób?

Okazuje się, że rozwiązaniem, które może być odpowiedzią na wiele ryzyk związanych z ochroną danych, jest przede wszystkim metoda wykonywania kopii zapasowych i architektura rozwiązania, a w mniejszym stopniu konkretna technologia czy też usługa.

Odporny na ataki system backupu 


Dostępna obecnie wiedza w zakresie wektorów ataków i najczęściej wykorzystywanych podatności, daje wiele podpowiedzi w zakresie tego, jak powinien być zbudowany i sparametryzowany bezpieczny system backupu. Wystarczy zastosować 4 generalne zasady dotyczące architektury systemu: 

  1. Fizyczne zabezpieczenie infrastruktury backupu, czyli wyeliminowanie możliwości dostępu do infrastruktury backupu osobom nieupoważnionym, najlepiej w oparciu o usługę certyfikowanego centrum danych. 
  1. Segmentowanie i separowanie elementów infrastruktury, poprzez wykorzystywanie stref sieci. Strefa to obszar o określonej charakterystyce oraz przeznaczeniu i/lub podlegający szczególnym ograniczeniom. W każdej strefie obowiązywać powinny inne reguły dostępu. Na przykład strefa z ograniczeniami powinna realizować wyłącznie połączenia między zaufanymi serwerami, dzięki czemu będzie idealnym miejscem dla pamięci masowej realizującej funkcję repozytorium kopii zapasowych. 
  1. Rozdzielenie ról administracyjnych i stosowanie odrębnych poświadczeń dla systemu backupu, a nawet wybranych usług katalogowych, wraz z dwuskładnikowym uwierzytelnianiem i stosowaniem kluczy U2F dla ról administracyjnych. 
  1. Szyfrowanie kopii zapasowych w ramach każdego zadania backupu i zabezpieczenie klucza szyfrującego. 

Te generalne zasady, dobrze znane architektom bezpieczeństwa są stosunkowo łatwe do implementacji. Warto o nich pamiętać przy wdrażaniu lub modernizacji systemu kopii zapasowych.  

Planowanie bezpieczeństwa danych 


Właściwa ochrona danych i systemów wymaga planowania. Najlepszym sposobem jest spisanie polityki backupu, która jest ważnym elementem strategii bezpieczeństwa, będacej ważną częścią Planu Ciągłości Działania. Polityka backupu to plan działań, który określa m.in: 

  • jakie dane i systemy mają być objęte ochroną, 
  • z jaką częstotliwością mają być one kopiowane (RPO), 
  • jak długo i gdzie powinny być przechowywane (retencja), 
  • jak szybko dane mają być przywrócone (RTO), 
  • w jakiej kolejności mają być przywracane systemy (orkiestracja). 

Polityka backupu określa również procedury, które należy stosować w celu zapewnienia integralności danych, w tym scenariusze testów walidujących poprawność wykonanych kopii zapasowych. Ważne jest, aby polityka backupu była regularnie aktualizowana i dostosowywana do zmieniających się potrzeb i warunków biznesowych, aby nadążała za rozbudową i rozwojem środowiska IT organizacji.  

Outsourcing obszaru backupu 


Backup as a Service (BaaS) to skalowalne rozwiązanie obejmujące pełny system backupu oraz usługi eksperckie, które razem stanową kompleksowe rozwiązanie w zakresie ochrony danych i systemów. Podstawowe składniki backupu w formie usługi to:  

  • licencje zaawansowanego systemu tworzenia i zarządzania kopiami zapasowymi,  
  • instalacja i konfiguracja aplikacji do backupu, raportowania i monitoringu, 
  • skalowalne repozytorium backupu w bezpiecznym centrum danych, 
  • opracowanie polityki backupu wraz z jej implementacją, 
  • obsługa administracyjna ze wsparciem technicznym w określonym standardzie SLA. 

Zakres składowych usługi różnić się będzie zależnie od oferty dostawcy, jednak w większości przypadków outsourcing procesu backupu oznacza, że przenosimy pełną odpowiedzialność za ten obszar na usługodawcę. Nie angażujemy przy tym własnych zasobów, czy to ludzkich, czy infrastrukturalnych. Taka forma usługi odpowiada też na szereg kluczowych wyzwań związanych ze skuteczną i kompleksową ochroną danych w organizacjach. 

Co wybrać?  Outsourcing backupu czy inwestycja we własne zasoby? 


Wdrożenie usługi związanej z ochroną danych i odtwarzaniem po awarii kojarzy się zazwyczaj ze sporą inwestycją na start. Nic bardziej mylnego – w przypadku backupu w chmurze wdrożenie usługi odbywa się bez znaczących nakładów finansowych, bowiem rozliczenie odbywa się w systemie abonamentowym.

Oznacza to, że to klient decyduje, jaki poziom kosztów miesięcznych gotów jest ponosić, wybierając liczbę i rodzaj maszyn podlegających backupowi. Rozliczane jest zatem wyłącznie realne zużycie zasobów wraz z kosztem licencji.

Zwykle też service provider może zaoferować bardzo konkurencyjne warunki, z uwagi na skalę działalności – także dla małych i średnich firm, dla których wysokie koszty stałe mogą być problematyczne. 

Nasuwa się jednak pytanie – czy outsourcing backupu zawsze się opłaca? Może jednak, uwzględniając wybrane parametry, warto rozważyć inwestycję, a więc kupić wszystko, co trzeba i zbudować własne kompetencje?

Oczywistym jest, że w krótszym okresie abonament jest korzystniejszą opcją niż nakłady na własne rozwiązanie. Brak zaangażowania kapitału początkowego minimalizuje przecież ryzyko inwestycyjne, a umiarkowane opłaty miesięczne wpisywane są bezpośrednio w koszty operacyjne, co również generuje spore oszczędności.

A czy tak samo będzie w dłuższej perspektywie? Może okaże się, że w takiej sytuacji inwestycja własna jest korzystniejsza? Nie ma co zgadywać, trzeba sięgnąć po liczby – policzmy więc to na konkretnym przykładzie.

Przyjmijmy, że firma ma 20 serwerów wirtualnych, a szacowane zapotrzebowanie na repozytorium dla kopii zapasowych wynosi 10TB. Dla uproszczenia zakładamy, że w całym trzyletnim okresie zapotrzebowanie na zasoby pozostanie niezmienne. Jednocześnie, w obu opcjach realizatorem usług będzie ten sam podmiot, dlatego wycena wdrożenia systemu backupu oraz stworzenia polityk jest tożsama. Koszty energii i chłodzenia dla jednego serwera, ubezpieczenia, szkolenie zespołu, itp. pomijamy. Spójrzmy, jak to wygląda przy inwestycji we własne zasoby: 

I.                Inwestycja własna w system backupu 

Lp.  Zakres wdrożenia  Opex (brutto m-c) Capex (netto) 
1. Projekt wykonawczy   4 500 zł 
2. Licencje systemu Veeam Backup & Replication Enterprise Plus (ze wsparciem 24/7 na 3 lata).   51 120 zł 
3. Serwer backup wraz z repozytorium 10TB   12 500 zł 
4. Opracowanie polityki backupu   5 000 zł 
5. Wdrożenie systemu backupu i dokumentacja   6 000 zł 
6. Administracja systemem backupu (1/8 etatu) 2 000 zł   
     2 000 zł 79 120 zł 

 

W przypadku outsourcowania backupu do zewnętrznego dostawy koszty kształtują się następująco: 

II.               Outsourcing obszaru backupu 

Lp.  Zakres usług  Opex (netto m-c) Capex (netto) 
1. Projekt wykonawczy   4 500 zł 
2. Licencje systemu Veeam Backup & Replication Enterprise Plus (20 VM). 1 160 zł   
3. Repozytorium chmurowe 10TB 900 zł   
4. Opracowanie polityki backupu   5 000 zł 
5. Instalacja i konfiguracja systemu backupu   6 000 zł 
6. Administracja systemem backupu 1600 zł   
    3 660 zł 15 500 zł 

 

Powyższe zestawienie kosztów operacyjnych (Opex) oraz inwestycyjnych (Capex) pokazuje, że po 3 latach nadal korzystniejszą opcją realizacji backupu jest outsourcing – w tym przypadku Backup as a Service (BaaS). Dociekliwi mogą się jednak zastanawiać, co stanie się później? Czy po pewnym czasie nie powinno nastąpić wyrównanie kosztów w jednej i drugiej opcji? Hipotetycznie mogłoby to nastąpić po 4 latach od wdrożenia, ale w praktyce nic takiego się nie wydarzy. Dlaczego? To proste – przy wyborze inwestycji we własny system do backupu, po 3 latach pojawia się konieczność odnowienia wsparcia dla systemu Veeam Backup & Replication, którego przeciętny koszt dla tego przypadku wynosi 3740 euro (stan na 04.04.2023 roku). Trzeba będzie pewnie dokupić także wsparcie gwarancyjne do serwera, które zwyczajowo z nowym sprzętem obejmuje 3 lata. W usłudze BaaS opartej na Veeam Cloud Connect (VCC), prawo do aktualizacji jest wliczone w cenę usługi, a za sprzęt odpowiada usługodawca.

 

 

  Łączny koszt obszaru backupu 
Outsourcing Inwestycja 
w 1 rok 59 420 zł 103 120 zł 
w 2 roku 43 920 zł 24 000 zł 
w 3 roku 43 920 zł 24 000 zł 
Razem po 3 latach 147 260 zł 151 120 zł 

Bezpieczeństwo kopii zapasowych 


Oczywiście istnieje sporo wątpliwości, na ile dane, będące najcenniejszym aktywem organizacji, będą bezpieczne u dostawcy usług. Kwestie te zabezpieczyć mogą prawnicy (co jest codziennością w kontraktach B2B) oraz odpowiednie procesy po stronie usługodawcy. Z pomocą przychodzi także technologia, a więc na przykład szyfrowanie kopii, które mają być umieszczone w repozytorium chmurowym, co staje się warunkiem świadczenia usługi BaaS. 

Jeżeli jednak przeanalizujemy typowe ataki na dane cyfrowe, wówczas nie może być wątpliwości, że przechowywanie kopii zapasowych poza siedzibą, czyli u dostawcy usługi backupu, to jedna z najskuteczniejszych form ochrony danych. 

Szyfrowanie kopii zapasowych jest jednym z kluczowych elementów utrzymania poufności danych, dlatego system backupu w ramach BaaS weryfikuje każdą stworzoną kopię pod kątem tego, czy dane zostały zaszyfrowane. Klucz szyfrujący posiada jedynie właściciel danych, a całość transferu do repozytorium odbywa się z wykorzystaniem protokołu SSL. Kopie zapasowe powinny być również testowane pod kątem obecności wirusów oraz poprawności wykonania. Służą temu skrypty wykonywane automatycznie w wyizolowanym środowisku, dzięki rozwiązaniom takim jak SureBackup. 

Kopia zapasowa poza siedzibą (offsite backup) 


Najlepsze praktyki tworzenia kopii zapasowych obejmują strategię zgodną z regułą 3-2-1, która obejmuje trzy wystąpienia danych na dwóch różnych nośnikach oraz z jedną kopią przechowywaną poza siedzibą firmy. To właśnie ta ostatnia kopia (offsite backup) jest immanentną częścią planu odzyskiwania danych po awarii oraz jednym z kluczowych elementów usługi BaaS, bo daje pewność, że dane, których kopia znajduje się poza siedzibą, jest nienaruszalna, bezpieczna oraz najczęściej wyizolowana z firmowej sieci. Kopia przechowywana w ten sposób minimalizuje kilka istotnych ryzyk:  

  • pozwala chronić i odzyskiwać dane w przypadku zniszczenia sprzętu produkcyjnego lub lokalnego repozytorium,  
  • jest wolna od błędów ludzkich, w tym działania celowego,  
  • jest również odporna na ataki ransomware, które zazwyczaj infekują wszelkie dostępne w sieci firmowej dane i repozytoria.  

Kopia zapasowa poza siedzibą jest więc nierzadko ostatnią deską ratunku w przypadku utraty danych z lokalnego backupu.  

Jeżeli posiadasz aplikację Veeam Backup & Replication, uruchomienie offsite backup jest niezwykle proste. Wystarczy dodać do infrastruktury backupu (Backup Infrastructure) dostawcę usług (Service Provider), a w nowym lub istniejącym zadaniu backupu skonfigurować dodatkowe miejsce docelowe (Configure Secondary Destination), wskazując na Cloud Service Provider’a. 

Zalety i wady outsourcingu obszaru backupu i odtwarzania 


ZALETY  WADY 
Brak inwestycji – koszty początkowe są minimalne. Nie trzeba nabywać oprogramowania czy sprzętu, ani zatrudniać specjalisty w zakresie backupu.  
Szybki start – podobnie, jak w przypadku aplikacji w formule SaaS, udostępnienie usług podstawowych następuje w ciągu kilku minut, a pełnego zakresu (czyli wraz z wdrożeniem) w ciągu kilku dni.  
Skalowalność – alokacja licencji oraz wielkość repozytorium dla kopii zapasowych dostosowywana jest do bieżącego zapotrzebowania, co oznacza zarówno zwiększanie jak i pomniejszanie zasobów.  
Nowoczesna technologia – dostawcy usług najczęściej wykorzystują rozwiązania o wysokim stopniu niezawodności i zaawansowanych funkcjonalnościach, projektowane dla dużych organizacji. 
Niski próg wejścia – choć rozwiązania techniczne są niezwykle zaawansowane, usługi są przystępne cenowo, gdyż rozliczane są za użycie. Dla niewielkiej organizacji, posiadającej niewiele zasobów, oznacza to niski abonament. 
Wsparcie techniczne – dostęp do ekspertów z dużą wiedzą dziedzinową i doświadczeniem, pozwala klientowi w pełni przekazać zadania związane z obsługą backupu i odtwarzania na usługodawcę.  
Poufność danych -zarządzanie procesem i danymi jest zadaniem usługodawcy, a zatem może to rodzić pytania o bezpieczeństwo i poufność danych. 
Zależność technologiczna – jak każda usługa abonamentowa, także backup w outsourcingu oznacza w pewnym stopniu związanie z dostawcą i określoną technologią. 
Używasz, gdy płacisz – usługa rozliczana jest zwykle w cyklach miesięcznych, zatem problemy z płatnościami mogą wywołać kłopoty związane z dostępnością usługi. 
Brak indywidualizacji – usługi świadczone dla wielu klientów są standaryzowane ze względu na łatwość obsługi. Zwykle więc indywidualne dostosowanie parametrów usługi do wymogów jednego klienta jest niemożliwe. 
Ograniczenia techniczne – odtwarzanie z repozytorium chmurowego wymaga dostępu do sieci Internet, a przepustowość łącza wpływa wprost na szybkość odtwarzania z repozytorium chmurowego. 
Konieczność dostosowania się – usługodawca, jako wyłączny dysponent usługi, może jednostronnie dokonywać zmian w regulaminie, tym samym zmieniając warunki umowy, które wówczas mogą okazać się niekorzystne dla klienta.     

Sprawdzona technologia 


Ważnym aspektem każdego dojrzałego rozwiązania do ochrony danych jest technologia. Od wielu lat numerem jeden w tym zakresie jest Veeam Software, którego system Veeam Backup & Replication jest łatwą w konfiguracji, prostą i intuicyjną platformą do tworzenia kopii zapasowych i odzyskiwania po awarii. Rozwiązanie Veeam Backup & Replication umożliwia tworzenie kopii zapasowych na poziomie obrazu maszyn wirtualnych, fizycznych i chmurowych oraz przywracanie z nich danych, przy jednoczesnej optymalizacji transferu danych i zużycia zasobów. Scentralizowana konsola platformy pozwala samodzielnie administrować operacjami oraz zadaniami backupu, jak również pomaga automatyzować i integrować procesy ochrony oraz odzyskiwania danych.  

Jak nie kupować kota w worku? 


Dobrą praktyką przy wyborze tak istotnej usługi z perspektywy ciągłości działania organizacji, jest to, by wybrać dostawcę i technologię najlepiej dopasowaną do potrzeb. W przypadku BaaS warto skorzystać z możliwości prezentacji usługi na żywo i sięgnąć po bezpłatny okres próbny. W trakcie prezentacji na żywo można zadawać pytania, które pozwolą ocenić stopień dopasowania usługi do potrzeb organizacji. Wersja próba usługi umożliwi zasymulowanie rzeczywistego użycia, czyli na przykład stworzenia kilku zadań backupu i przeprowadzenie odtwarzania z utworzonych kopii.  

Podsumowanie 


Skuteczna ochrona danych wymaga kompleksowego i przemyślanego podejścia. Należy sięgnąć po najlepsze praktyki w zakresie tworzenia architektury rozwiązania, strategii backupu oraz technologii, które, odpowiednio wdrożone, znacząco zmniejszą ryzyko utraty danych i przestojów. Dobra wiadomość jest taka, że nie trzeba robić tego na własną rękę – można zadbać o dane bez konieczności wielkich inwestycji, nakładów na kompetencje techniczne i dużych zasobów. Wystarczy zwrócić się w stronę zaufanego partnera technologicznego i usługi, która odpowiada na wszystkie wyzwania dotyczące strategii ciągłości działania. Backup as a Service jest właśnie taką usługą – warto zatem rozważyć, czy przypadkiem nie jest to właśnie to, czego potrzebuje Wasza organizacja, by spać spokojnie i nie martwić się o swoje dane.  


Recovery Time Objective – oznacza czas, jaki jest potrzebny od chwili wystąpienia awarii do chwili uruchomienia awaryjnego trybu pracy (failover) lub przywrócenia środowiska produkcyjnego. 

Retencja definiuje, jak długo będziemy przechowywać kopie zapasowe w repozytorium backupu, a więc określa czas życia backupu.

Orkiestracja oznacza zaplanowaną sekwencją uruchomień powiązanych ze sobą serwerów i usług, która zapewni prawidłową pracę środowiska IT.


Human Made - no AI
Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.