ClickySkip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

Het maken van back-ups is niet belangrijk

Door 21 juli 2021 februari 22nd, 2022 Blog, Netwerk beveiliging

Je wordt geraakt door een ransomware-aanval. Een groot gedeelte van je bestanden is versleuteld en je bedrijf ligt stil. Medewerkers kunnen niet meer inloggen, de afhandeling van bestellingen uit de webshop kan niet meer gedaan worden. Je hebt geen idee meer welke artikelen in je overslag liggen. Je moet patiënten naar een ander ziekenhuis sturen. Maar! Geen nood. Je hebt een back-up. En dan begint de uitdaging. Wat moet je in welke volgorde herstellen? Hoe krijg je je hele bedrijf weer operationeel en hoeveel dataverlies heb je? Weet je zeker dat de back-up die je terugzet niet een “backdoor” van de hacker bevat? Of hoef je je daar allemaal geen zorgen om te maken omdat ook je back-up versleuteld is door de ransomware-infectie?

Het maken van back-ups is dus niet belangrijk. Het belang is dat je in het geval van een calamiteit je belangrijke data terug kan krijgen, het gaat om data-protectie. En die insteek geeft een andere kijk op het hele back-up-verhaal. Eigenlijk wordt het daarmee een cybersecurity-verhaal en in dit blog licht ik toe waarom.

Laten we eerst eens kijken naar de reden om back-ups te maken. Je doet dit over het algemeen om je tegen een risico te beschermen. Daarvoor maak je allereerst een risico-inventarisatie. Dat is niet iets dat je als IT-afdeling apart van de organisatie doet, maar dat hoor je samen met de lijnverantwoordelijken te doen. IT is niet verantwoordelijk voor de data en de processen, ze faciliteert de automatisering ervan. Met diezelfde logica is IT niet verantwoordelijk voor het bepalen van de continuïteitseisen, ze faciliteert dit alleen.

Het bepalen van een back-upstrategie is daarmee onderdeel van een bedrijfscontinuïteitsplan.

  • Hoe lang mag je er als organisatie(onderdeel) uit liggen (Recovery Time Objective)?
  • Hoeveel dataverlies is acceptabel (Recovery Point Objective)?
  • Wat is de kans dat dit gebeurt en wat is vervolgens de impact?

Als je al die vragen beantwoord hebt, vergeet dan niet het meest belangrijke: bevestigen dat je vanuit de back-ups de digitale bedrijfsprocessen kan herstellen. Een bestand terugzetten kan vaak wel, maar kan je een heel proces herstellen of de gehele IT-infrastructuur? Te vaak is het maken van back-ups een IT-aangelegenheid. Echter zonder afstemming met de rest van de organisatie kan je het dan eigenlijk nooit goed doen.

Back-ups worden doorgaans voor twee doeleinden gemaakt waarvan slechts de eerste in mijn optiek een valide doel van back-ups is. Ten eerste worden back-ups gemaakt voor het herstellen van een calamiteit of menselijke fout. Ten tweede voor archiveringsdoeleinden, je moet bepaalde data vanwege wet- en regelgeving een x aantal jaar bewaren.

Archivering

Laten we voor het gemak beginnen met archivering. Data die in een back-up wordt opgeslagen is uit het zicht. Een goede back-upstrategie plaatst deze data ook nog eens offsite en wellicht offline. Daarmee verlies je zicht op welke data je waar hebt staan. Wat als je een back-uptape verliest? Of wat als een RAID-set kapot gaat waar back-ups op staan; welke data is dan verloren? Archivering doe je in mijn optiek in een daarvoor bestemd systeem, denk aan een documentmanagementsysteem. Zo hou je de meta-data in tact, kan je er actief in zoeken en kan je de verantwoordelijkheden daar in de organisatie laten liggen waar ze horen. Als laatste, het gebruik van back-ups voor archiveringsdoeleinden is als schieten met een kanon op een mug. Je moet slechts bepaalde data bewaren, maar je slaat veel meer op. Als je dan al data terug moet halen, hoe gaat dat proces dan? Herstel je een database van 3 jaar oud? Kan je überhaupt de data nog vinden? Weet je zeker dat je dan de laatste versie van het bestand hebt?

Calamiteiten

Dan naar herstel bij calamiteiten. Iemand gooit per ongeluk een bestand weg, een server crasht, het datacenter brand af of je wordt geraakt door ransomware. Allemaal voorbeelden waarbij je data verliest die je moet herstellen. Het is in deze situaties van belang dat je de back-ups goed beschermt tegen de calamiteit waar de back-up tegen moet beschermen. Dat klinkt wellicht tegenstrijdig. Ik zie dat als volgt: het is vrijwel vanzelfsprekend dat je een offsite back-up maakt als je brand in het datacenter als risico ziet. Je wilt immers niet dat de back-ups ook letterlijk in rook op gaan. Wij zien vaak dat deze zelfde logica bij het risico op ransomware niet wordt toegepast. Je wilt bestanden terugzetten die versleuteld worden, maar dan moet je wel zorgen dat je back-up niet versleuteld kan worden. Dit kan door offline back-ups te hebben (denk aan een tape) of zorgen dat je back-ups niet te wijzigen zijn. Ook niet door je eigen IT-beheerders, want een van de eerste stappen die ransomware-groepen ondernemen is het verhogen van rechten en het vernietigen van back-ups.

Samenvattend

  • Maak back-ups om bedrijfsrisico’s te mitigeren
  • Zorg dat de inrichting van je back-up het mogelijk maakt je tegen deze risico’s te beschermen
  • Test om te bevestigen dat je het risico kan mitigeren
  • Zorg dat de lijn, en niet IT, de gewenste parameters bepaalt. De lijnorganisaties zijn verantwoordelijk.
  • Back-up is geen archief.

Wilt u ook de cybersecurity basis op orde hebben? Bekijk onze zeven aanbevelingen.

Close Menu