Tomasz Magda | 29.01.2024

O tym, jak zadbać o bezpieczeństwo kopii zapasowych, opowiada Tomasz Turek z Veeam Software

Co to znaczy, że kopia zapasowa jest NIENARUSZALNA i dlaczego to tak ważny aspekt ochrony danych? Czym jest linuxowe utwardzone repozytorium i czy jest to najlepsza metoda zapewnienia nienaruszalności backupu? Jak skutecznie testować kopie zapasowe i w jaki sposób wykorzystać do tego celu narzędzia ze stajni Veeam? O to i jeszcze więcej zapytaliśmy Tomasza Turka, Senior Systems Engineer z Veeam Software, który o backupie wie niemal wszystko.
 
Zapraszamy więc do materiału w dwu formatach. Dla tych, którzy wolą poczytać, mamy artykuł, a dla tych, którzy lubią pooglądać i posłuchać – wideo. Uwaga – znajdziecie tutaj sporo technicznego żargonu, więc artykuł jest skierowany raczej do specjalistów IT oraz osób z praktyczną wiedzą z obszaru backupu i odtwarzania.

Czym jest nienaruszalność kopii zapasowych i jak ją zrealizować w praktyce?

O nienaruszalności kopii zapasowej mówi nam atrybut Immutability Object Lock, który oznacza, że kopia jest nieusuwalna i niemodyfikowalna przez określony czas. Nie może jej ,,tknąć” ani administrator systemu backupu ani administrator infrastruktury, ani nikt inny w organizacji, bez względu na to, jaki poziom uprawnień posiada. 

Tomasz Turek wskazuje na kilka rozwiązań technicznych oferowanych przez Veeam Software, które realizują nienaruszalność backupu. Do stworzenia podstawowej ścieżki nienaruszalności kopii zapasowej poleca na przykład wykorzystać repozytorium linuksowe, czyli tzw. Linux Hardened Repository, w którym można oznaczyć atrybutem Immutability cały system plików.

W zależności od dostawcy chmurowego, Veeam pozwala nadać flagę Object Lock bezpośrednio na storage’u obiektowym – na przykład na Microsoft Azure lub na buckecie S3 w AWS – bez względu na to, czy mówimy o środowiskach hyperscalerowych czy o środowiskach opartych o macierze S3, znajdujących się w naszej lokalizacji, które natywnie wspierają taką opcję. W przypadku tego rozwiązania również nie ma mowy o usunięciu atrybutu Immutable, bez względu na poziom posiadanych uprawnień.

Ostatnią możliwością jest wykorzystanie urządzeń deduplikacyjnych, jak na przykład HPE StoreOnce, które w ramach swojego firmware’u również pozwala na założenie Object Locke’a i nieusuwanie backupu przez określony czas.

Czym jest linuxowe utwardzone repozytorium? Jak za jego sprawą realizowana jest ochrona przed usunięciem kopii zapasowej?

Linuxowe utwardzone repozytorium to rozwiązanie, które warto stosować, gdy nie posiadamy macierzy obiektowych i nie mamy możliwości wysłania naszych backupów ,,na zewnątrz”, czyli na przykład na taśmę. To rozwiązanie jest bardzo bezpieczne choćby dlatego, że Linux Hardened Repository spełnia kilka amerykańskich regulacji: SEC 17a-4(f), FINRA 4511(c) oraz CFTC 1.31(c)-(d) (według raportu Cohasset Associates), które stawiają to repozytorium na równi z repozytoriami WORM (Write-Once-Read-Many).

A jak to wygląda w praktyce? Veeam w czasie inicjalizacji linuxowego repozytorium wykorzystuje konto root do stworzenia znacznika Immutable w taki sposób, by użytkownik, „po którym” się komunikujemy, nie miał uprawnień do usunięcia lub modyfikacji oznaczonych danych. Można jedynie wydłużyć czas życia znacznika, nie można go natomiast skrócić lub całkowicie zdjąć. Co ważne, gdy mamy już wspierające nienaruszalność repozytorium, włączenie flagi Immutability zrealizować można z poziomu konsoli Veeam za pomocą zaledwie jednego checkboxa.

Czy utwardzone repozytorium linuxowe jest najlepszą metodą realizacji nienaruszalności kopii zapasowych?

Według Tomasza Turka linuxowe repozytorium jest jednym z podstawowych sposobów osiągnięcia nienaruszalności kopii zapasowej, ale nie jedynym. Stosunkowo bezpieczną metodą jest również wykorzystanie środowisk niezależnych od naszej firmowej infrastruktury do przechowywania kopii zapasowych. To na przykład środowiska zewnętrznych service providerów lub hyperskalerów, które gwarantują zupełnie inną domenę uwierzytelniania.

W przypadku ataku na nasze lokalne środowisko mamy jeszcze kopie zapasowe u service providera, gdzie dane są bezpieczne z dwóch powodów. Po pierwsze – zewnętrzna domena uwierzytelniania jest solidną barierą przed zaatakowaniem repozytorium Service Providera, nawet jeśli nasze lokalne dane uwierzytelniania zostały przejęte. Po drugie – dostawcy usługi backupu poza siedzibą (off-site backup) mają możliwość opóźnienia akcji usuwania kopii zapasowych ze swojego repozytorium, co znacząco zwiększa szanse na odzyskania danych po udanym ataku na lokalne repozytorium backupu. 

Rozważając to na przykładzie, gdybyście stali się ofiarą cyberataku mającego na celu nie tyle zaszyfrowanie danych, co na przykład ich usunięcie, service provider może ustanowić politykę, która mówi, że nawet w przypadku otrzymania komendy ,,Usuń kopie zapasowe” zadanie to realnie zostałoby zrealizowane dopiero po 7 dniach, co daje wystarczająco dużo czasu na odtwarzanie awaryjne.

Jakie są najlepsze praktyki testowania kopii zapasowych?

Najlepszą praktyką w zakresie testowania kopii zapasowych jest… sam fakt jej testowania. Najważniejsze jest to, żeby o regularnym testowaniu backupu pamiętać, niezależnie, czy będziemy to robić automatycznie czy manualnie, czy jakkolwiek inaczej – każda forma testowania znacząco zwiększa bezpieczeństwo danych.”

– mówi Tomasz Turek

Proces testowania backupu można skutecznie zautomatyzować – służy do tego na przykład funkcjonalność Veeam o nazwie SureBackup. Aby uruchomić regularny proces testowania backupu za pomocą tego narzędzia, wystarczy raz zdefiniować zadanie testowania, które automatycznie włącza maszyny wirtualne z repozytorium kopii zapasowych, bez konieczności wykorzystywania storage’u produkcyjnego.

Co ważne, w tym procesie maszyny wirtualne włączane są w wyizolowanej strefie sieciowej, czyli w tzw. wirtualnym laboratorium – więc nic nie stoi na przeszkodzie, aby zarówno maszyny produkcyjne, jak i maszyny testowe znajdowały się na tym samym środowisku. Funkcja SureBackup automatycznie weryfikuje, czy maszyna wirtualna została poprawnie uruchomiona, czy system operacyjny takiej maszyny został zainicjalizowany oraz czy pingujemy maszynę po to, by móc podłączyć ją do sieci. Poza tym, w tym procesie możemy zweryfikować poprawność działania aplikacji, czy taka aplikacja została poprawnie włączona. W ostatniej fazie mamy możliwość skorzystania zarówno z predefiniowanych skryptów, jak i skryptów definiowanych przez użytkownika.

W procesie testowania kopii zapasowej ważna jest również identyfikacja uszkodzeń fizycznych oraz obecności wirusów infekujących backup. SureBackup weryfikuje w tym celu cały łańcuch backupowy sprawdzając, czy nie nastąpiła na przykład awaria dysku lub kontrolera na macierzy, a także – wykorzystując najnowsze sygnatury antywirusowe – sprawdza, czy zawartość kopii zapasowej jest bezpieczna od najnowszych znanych malware’ów.

Podsumowanie

Bezpieczeństwo kopii zapasowych to zagadnienie równie szerokie, co trudne, głównie z uwagi na fakt, że niebezpieczeństwa, na które narażone są nasze dane, ewoluują w tempie logarytmicznym – codziennie pojawiają się nowe socjotechniki, coraz inteligentniejsze malware’y i jeszcze bardziej wyrafinowane techniki ataków ransomware.

A choć trudno za tym wszystkim nadążyć, jedno jest pewne – stosowanie sprawdzonych praktyk, narzędzi i strategii zabezpieczania backupu może nie tylko znacząco zwiększyć poziom bezpieczeństwa naszych danych, ale również (czego nikomu nie życzymy) stać się ostatnim bastionem w walce z cyberprzestępcami.

Dobrze zabezpieczona kopia zapasowa to przepustka do odzyskania utraconych danych, szybkiego przywrócenia ciągłości działania organizacji, ograniczenia skutków naruszenia oraz zmniejszenia potencjalnych konsekwencji finansowych i wizerunkowych dla organizacji.

Zatem jeśli wiesz już, że warto zadbać o ten obszar w Twojej organizacji, ale nie masz pewności co do tego, JAK to zrobić, jakich narzędzi użyć i od czego zacząć – zapraszamy do kontaktu z nami poprzez czat lub e-mail oraz do zapoznania się z informacjami o naszych usługach w zakresie backupu i odtwarzania na stronie produktu. Doradzimy, pomożemy i skutecznie przeprowadzimy Cię przez cały proces wdrożenia planu ochrony danych w Twojej organizacji. 


Artykuł został napisany przez człowieka, a nie algorytm sztucznej inteligencji.

Natalia Dutkiewicz | 13.07.2023

ENISA: Ataki ransomware to największe cyberzagrożenie dla sektora zdrowia

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała raport ENISA Threat Landscape: Health Sector, dotyczący cyberzagrożeń dla sektora zdrowia.

Raport to analiza około 215 incydentów cyberbezpieczeństwa, które miały miejsce w obszarze ochrony zdrowia w okresie ostatnich dwóch lat. Identyfikuje on główne zagrożenia, podmioty, skutki i trendy w obszarze cyberbezpieczeństwa branży medycznej w Europie. Materiał obejmuje szczegółową analizę, która dostarcza odpowiedzi na niektóre ważne pytania, takie jak sposób przeprowadzania ataków, rodzaje systemów będących celem ataków oraz typ organizacji opieki zdrowotnej najbardziej dotkniętych wyciekami danych. Analizy te posłużyły jako podstawa do zidentyfikowania listy głównych cyberzagrożeń dla sektora zdrowia.

Liczba cyberataków na sektor medyczny wciąż rośnie

W ciągu ostatnich dwóch lat europejski sektor opieki zdrowotnej stanął w obliczu znacznej liczby incydentów. Szczególnie ucierpieli dostawcy opieki zdrowotnej (53% wszystkich incydentów), a zwłaszcza szpitale (42%). Zaobserwować można również ataki wymierzone w władze, organy i agencje służby zdrowia (14%) oraz ataki na przemysł farmaceutyczny (9%). Co niezwykle ważne, autorzy raportu dostrzegają tendencję wzrostową w zakresie liczby cyberataków – w pierwszym kwartale 2023 roku zarejestrowano ok. 40 incydentów, w porównaniu do średnio około 22 incydentów na kwartał obserwowanych w latach 2021 i 2022. Wśród krajów europejskich, które są najbardziej narażone na cyberataki w okresie ostatnich trzech lat, przoduje Francja (42 przypadki), Hiszpania (25) oraz Niemcy (23). Polska z 6 incydentami znajduje się w dolnej połowie stawki.

Ransomware a pozostałe cyberzagrożenia

Ransomware jest jednym z głównych zagrożeń w sektorze ochrony zdrowia (54%), zarówno pod względem liczby incydentów, jak i wpływu na organizacje służby zdrowia i przewiduje się, iż trend ten się utrzyma. Co więcej, aż 43% incydentów związanych z atakami ransomware łączy się z naruszeniem lub kradzieżą danych. Prawie połowa wszystkich incydentów (99 incydentów, 46%) stanowi zagrożenie dla danych organizacji zdrowotnych (naruszenia, wycieki). Zagrożenia związane z danymi nadal stanowią jedno z głównych zagrożeń w sektorze, nie tylko w Europie, ale także na całym świecie.

Pandemia wzmocniła wartość danych medycznych

Warto również zauważyć, że na niepokojące wyniki raportu ma z pewnością wpływ fakt, iż dane pochodzą głównie z okresu pandemii, kiedy obszar opieki zdrowotnej był jednym z najbardziej narażonych na cyberataki sektorów. Jest to związane z ogólnym wzrostem liczby ataków ransomware, ale także ze wzrostem wartości danych pacjentów, w tym elektronicznej dokumentacji medycznej. W rzeczywistości dane pacjentów były najczęściej atakowanymi zasobami (30%) w okresie ostatnich dwóch lat, ponadto, jak wynika z danych, ponad połowa ataków oparta była o motyw finansowy (53%).

Incydenty bezpieczeństwa spowodowane głównie lukami w zabezpieczeniach

Eksperci oceniają, że ataki na łańcuchy dostaw i dostawców usług opieki zdrowotnej, w połączeniu z zagrożeniami stwarzanymi przez luki w systemach opieki zdrowotnej i urządzeniach medycznych są jednymi z kluczowych problemów w zakresie bezpieczeństwa danych i systemów. W niedawnym badaniu ENISA opieka zdrowotna była sektorem, który zgłosił najwięcej incydentów bezpieczeństwa związanych z lukami w oprogramowaniu lub sprzęcie, co potwierdzają dane z tegorocznego raportu, w którym 80% ankietowanych organizacji opieki zdrowotnej zadeklarowało, że ponad 61% ich incydentów bezpieczeństwa było spowodowanych lukami w zabezpieczeniach.

Ważnym aspektem jest również wzrost liczby ataków DDoS. Rozwój sytuacji geopolitycznej i aktywność haktywistów zwiększyły liczbę ataków DDoS na szpitale i organy służby zdrowia na początku 2023 r., generując 9% wszystkich incydentów. Wynika to według ekspertów z gwałtownego wzrostu liczby ataków DDoS przeprowadzanych przez prorosyjskie grupy haktywistów, których celem było zakłócenie ciągłości działania podmiotów świadczących opiekę zdrowotną i organów służby zdrowia w UE.

Konsekwencje cyberataków

Opisane w raporcie incydenty spowodowały głównie naruszenia lub kradzież danych (43%), zakłócenia w świadczeniu usług opieki zdrowotnej (22%) i innych usług niezwiązanych z opieką zdrowotną (26%). Naruszenia danych dotknęły podmioty opieki zdrowotnej w 40% całkowitej liczby incydentów, a w szczególności szpitale (27%) i podstawową opiekę zdrowotną (8%). Zakłócenia w świadczeniu usług opieki zdrowotnej miały miejsce w przypadku podmiotów opieki zdrowotnej (82%) i organów służby zdrowia (12%).

Do istotnych skutków incydentów naruszenia danych należą również te finansowe. Jak wynika z badania ENISA NIS Investment 2022 mediana kosztów poważnego incydentu bezpieczeństwa w sektorze opieki zdrowotnej wynosi 300 000 euro. Pośredni wpływ na finanse atakowanych organizacji mają również sankcje nałożone przez organy ochrony danych, a także uszczerbek na reputacji podmiotów świadczących opiekę zdrowotną po poważnych naruszeniach danych.

Jak organizacje są przygotowane na cyberataki? Rekomendacje ENISA dla sektora zdrowia

Według niedawnego badania przeprowadzonego przez ENISA, tylko 27% ankietowanych organizacji w sektorze opieki zdrowotnej ma dedykowane programy ochrony przed ransomware, a 40% ankietowanych operatorów usług podstawowych nie ma żadnego programu budowania świadomości w zakresie bezpieczeństwa dla personelu spoza IT. W innym niedawnym badaniu przeprowadzonym przez grupę NIS, 95% ankietowanych organizacji zdrowotnych napotyka wyzwania podczas przeprowadzania oceny ryzyka, a 46% nigdy nie przeprowadziło takiej analizy. Ustalenia te podkreślają pilną potrzebę stosowania przez organizacje opieki zdrowotnej dobrych praktyk dotyczących cyberbezpieczeństwa. W związku z tym autorzy raportu przygotowali kilka najważniejszych rekomendacji w zakresie ochrony danych, które organizacje w sektorze opieki zdrowotnej powinny bezwzględnie wdrożyć.

Do rekomendowanych dobrych praktyk należą:

  1. Szyfrowanie kopii zapasowych – szyfrowane kopie zapasowe krytycznych danych znacząco zmniejszają ryzyko ich utraty.
  2. Edukacja i budowanie świadomości – podnoszenie świadomości i programy szkoleniowe dla pracowników służby zdrowia mogą odegrać istotną rolę w zapobieganiu cyberatakom opartym o socjotechniki i wpływają na poprawę praktyk bezpieczeństwa wśród użytkowników.
  3. Identyfikacja luk w zabezpieczeniach – w celu ograniczenia wektorów ataków należy przeprowadzać regularne skanowanie pod kątem luk w zabezpieczeniach, zwłaszcza tych na urządzeniach mających dostęp do Internetu.
  4. Aktualizacja oprogramowania – należy regularnie aktualizować oprogramowanie i systemy operacyjne do najnowszych dostępnych wersji.
  5. Dobre praktyki – należy przestrzegać najlepszych praktyk w zakresie metod uwierzytelniania dostępu zdalnego, takich jak dwuetapowe uwierzytelnianie (2FA) z wykorzystaniem klucza U2F, długie, niesłownikowe hasła, managery haseł, korzystanie z VPN, itd.
  6. Plan reagowania na incydenty – tworzenie, utrzymywanie i weryfikacja podstawowych planów reagowania na incydenty ma na celu zapewnienie ciągłości opieki nad pacjentami.
  7. Zaangażowanie kierownictwa wyższego szczebla w działania operacyjne – świadomość wyższej kadry managerskiej w zakresie cyberbezpieczeństwa ma kluczowe znaczenie w skutecznym i kompleksowym wdrażaniu działań mających na celu ochronę danych i systemów.

Cały raport do pobrania tutaj: https://www.enisa.europa.eu/publications/health-threat-landscape