Typická oběť

Představme si menší až středně velkou společnost, jejíž business continuity politika v oblasti IT se spoléhá na obvyklé prvky ochrany a nástroje pro zálohování a obnovu. Tato organizace nevyužívá žádné nástroje typu disaster recovery (DR) pro okamžité převzetí služeb. Organizace má vlastní IT v rozsahu jedné až dvou osob a nevyužívá řízených IT služeb třetích stran. Spolupráce s IT firmami se omezuje na dodávky softwaru a hardwaru. Prakticky v žádné oblasti s výjimkou výměny hardwaru se neuplatňuje SLA.

V čem je zakopaný pes

Jedním z nejdůležitějších úkolů IT je udržet kritické systémy organizace v chodu, respektive minimalizovat případné výpadky kritických systémů na minimum. Každá minuta výpadku generuje organizaci značnou finanční ztrátu. Je proto logické, že vedení organizace vyvíjí patřičný tlak na snížení doby výpadku jak v teoretické rovině, při přípravě disaster recovery plánu, tak v praxi v okamžiku, kdy k výpadku opravdu dojde.

IT je bombardováno požadavky na okamžitou nápravu. A protože neexistuje plán B v podobě převzetí služeb odjinud, nezbývá než přistoupit k obnově – pokud jsou zálohy k dispozici (ale o tom třeba zase jindy). Jenže rychlé obnovování ze záloh, bez důkladné analýzy, má za následek to, že organizace přijde minimálně o část potřebných stop. A tak se pak snadno může stát, že pokud k výpadku došlo v důsledku útoku, organizace se nedopátrá toho, jak byl útok veden a jaká místa byla pro útok zneužita.

Z praxe víme, že po prodělaném útoku se obvykle pozornost věnova­ná bezpečnosti násobně zvýší. Nicméně pokud se skutečná příčina incidentu nikdy neodhalí, pak nikdy nebude existovat jistota, že byla sjednána náprava. A pokud se opravdu stane, že je tato díra pře­hlé­d­nu­ta, pak šance, že bude na organizaci veden další úspěšný útok úplně stejným způsobem, je téměř stoprocentní. Jakmile se orga­ni­za­ce ocitne na „we can easily hack them“ listu, není cesty zpět.

Co funguje vždy

Pokud si nejsem na 100 % jistý, co mám dělat metodou step by step (v prevenci, ale i po útoku), pak není dobré hrát si na hrdinu a tvrdit, že to všechno zvládnu. I větší organizace spolupracují s IT firmami, které jim pomáhají s ochranou minimálně na úrovni konzultací. Jsou to lidé, kteří se tím zabývají každý den. Znají nejnovější trendy, mají prostor na zkoumání nejnovějších metod a mají naučené postupy. Oni nemusí řešit každodenní starosti, které potkávají vás. Pokud taková spolupráce existuje na dlouhodobější úrovni a vaše organizace je z těch rozumnějších (nechá si poradit, je ochotna naslouchat změnám), pak šance, že se stanete obětí úspěšného útoku, klesá. Pokud jste na to zatím úplně sami, nezoufejte. I v Česku existují firmy, které jsou ochotné přijet a pomoct situaci řešit na místě. Je ale třeba mít na paměti, že tato cesta je v součtu všech nákladů tou nejdražší ze všech možných.

Co může velmi dobře pomoct

Nikoli za astronomické částky, ale už za 50 až 100 € měsíčně je možné mít fungující cloudové disaster recovery pro dva kritické virtuální stroje o obvyklé velikosti. Nic víc k tomu není potřeba. Ani linka nemusí být nijak rychlá, protože první full zálohu lze odeslat do DR datacentra z jiného místa. A když kritické systémy fungují – běží z cloudového disaster recovery, pak existuje neomezený prostor na zkoumání příčin problému bez toho, aby na vás někdo řval každých 10 minut.

Neumožňují to zdaleka všechna zálohovací řešení, bohužel, nicméně třeba v Acronis Cyber Protect lze do záloh přibalovat tzv. forenzní data. To jsou logy, dumpy, seznam běžících procesů, výpisy paměti a další data, která mohou pomoct odhalit příčiny problému klidně až potom, co je provedena obnova.

Aleš Hok Autor článku je konzultant a obchodní ředitel ve společnosti ZEBRA SYSTEMS, s. r. o.