Atsarginės kopijos viešajame sektoriuje: kada, kaip dažnai ir kur saugoti

Ransomware atakų bangos prieš savivaldybes ir įstaigas Europoje rodo, kad atsarginės kopijos nebėra techninė smulkmena — tai paskutinė gynybos linija, lemianti, ar institucija po incidento dirbs po valandos, ar po dviejų savaičių. Lietuvoje NKSC ataskaitose nuolat pasikartoja atvejai, kai įstaiga turėjo kopijas, bet jos buvo arba sugadintos kartu su pagrindine sistema, arba niekada nebuvo testuotos atkūrimui.

Šiame straipsnyje — praktiniai sprendimai, kurie tinka tipinei savivaldybės ar biudžetinės įstaigos svetainei, dokumentų valdymo sistemai ir el. paslaugų portalui.

Kodėl viena kopija per parą dažnai nepakanka

Daugelis institucijų vis dar remiasi hostingo teikėjo „nakties kopija“ ir mano, kad to užtenka. Realybėje tai reiškia, kad blogiausiu atveju prarandama iki 24 valandų duomenų: piliečių prašymų, viešųjų konsultacijų atsakymų, naujienų, dokumentų versijų. Jei svetainė priima e. prašymus ar integruojama su VIISP, tokios pertraukos nebepriimtinos.

Sprendimas — vertinti du rodiklius kiekvienai sistemai atskirai:

• RPO (Recovery Point Objective) — kiek duomenų galima prarasti. Statinei informacinei svetainei tai gali būti 24 val., el. paslaugų portalui — 1 val. ar mažiau.
• RTO (Recovery Time Objective) — per kiek laiko sistema turi būti atkurta. Vidaus dokumentų sistemai — gal 8 val., viešam portalui rinkimų metu — kelios valandos.

Šie skaičiai turi būti įrašyti rizikų vertinimo ar veiklos tęstinumo dokumente, o ne paliekami administratoriaus nuojautai.

3-2-1 taisyklė ir kodėl jos vis dar verta laikytis

Klasikinė 3-2-1 taisyklė tebėra minimumas: 3 kopijos, 2 skirtingose laikmenose ar technologijose, 1 kopija fiziškai atskirtoje vietoje. Praktikoje viešajame sektoriuje tai dažniausiai reiškia:

• Veikianti sistema (originalas).
• Vietinė kopija tame pačiame duomenų centre — greitam atkūrimui po techninio gedimo.
• Geografiškai atskira kopija kitame Lietuvos ar ES duomenų centre — apsaugai nuo gaisro, potvynio ar atakos.

Po WannaCry ir vėlesnių ransomware bangų atsirado papildoma 3-2-1-1-0 versija: dar viena offline arba immutable (nekeičiama) kopija ir 0 klaidų testuojant atkūrimą. Nekeičiamos kopijos (pvz., S3 Object Lock, WORM saugyklos) yra esminis dalykas, nes šifruojanti kenkėjiška programa, gavusi administratoriaus teises, pirmiausia bando ištrinti būtent kopijas.

Ką iš tikrųjų reikia kopijuoti

Dažna klaida — kopijuojami tik failai, o pamirštamos duomenų bazės, konfigūracijos ir paslaugų prieigos raktai. Pilnas svetainės ar sistemos atkūrimas reikalauja:

• Duomenų bazių — su nuosekliomis (consistent) kopijomis, ne tik failų kopija „gyvai“.
• Failų saugyklos — įkeltų dokumentų, prisegtukų, vaizdų.
• Konfigūracijos — serverio nustatymų, web serverio konfigūracijos, cron užduočių, SSL sertifikatų.
• Kodo — net jei jis yra Git, vertinga turėti įdiegtos versijos momentinę kopiją.
• Prieigos ir integracijų duomenų — API raktų, VIISP, e. pristatymo, registrų integracijų konfigūracijų (saugomų atskirai, šifruotai).

Kur saugoti: debesis, vietinis serveris ar abu

Viešojo sektoriaus institucijoms aktualu, kad asmens duomenis tvarkančios kopijos liktų ES ekonominėje erdvėje — to reikalauja BDAR ir NIS2 perkėlimo aktai. Praktikoje tinka:

• Valstybės debesijos paslaugos — kai institucija jau naudoja centralizuotą infrastruktūrą.
• Komerciniai ES debesijos teikėjai su duomenų centrais Lietuvoje, Lenkijoje ar kitose ES šalyse, su sutartiniu įsipareigojimu nesaugoti duomenų už EEE ribų.
• Vietiniai NAS / juostiniai įrenginiai kaip antra ar trečia kopija — ypač nekeičiamoms ilgalaikėms kopijoms.

Nepriklausomai nuo pasirinkimo, kopijos turi būti šifruojamos ramybės būsenoje (AES-256 ar lygiavertis), o šifravimo raktai saugomi atskirai nuo pačių kopijų. Jei raktas saugomas tame pačiame serveryje, kurio kopiją darote — apsauga iliuzinė.

Kaip dažnai: rekomenduojami intervalai pagal sistemos tipą

• Informacinė svetainė be aktyvių formų: pilna kopija kartą per parą, konfigūracijos — po kiekvieno pakeitimo.
• Svetainė su e. prašymais, registracijomis: duomenų bazės — kas 1–4 val. (inkrementinės), pilna — kasdien.
• Dokumentų valdymo sistema: nuolatinė replikacija + kasdieninės kopijos su 30–90 d. saugojimu.
• Integracijos su registrais, VIISP: transakcijų žurnalai realiu laiku, pilnos kopijos kasdien.

Saugojimo laikotarpiai turi atitikti dokumentų saugojimo terminus pagal Bendrųjų dokumentų saugojimo terminų rodyklę — kai kuriems duomenims tai 5, 10 ar net 75 metai. Tai reiškia, kad ilgalaikių archyvų strategija turi būti atskira nuo operatyvinių atsarginių kopijų.

Testavimas: kopija, kurios neatkūrei, neegzistuoja

Tai dažniausiai apleidžiama dalis. Įprastas scenarijus: incidento metu paaiškėja, kad kopijos darytos, bet duomenų bazė buvo kopijuojama „karšta“ be tinkamo lock, todėl neatkuriama. Arba kopija yra, bet niekas neprisimena slaptažodžio archyvo šifravimui.

Minimalus testavimo režimas:

• Kas mėnesį — atsitiktinio failo ar lentelės atkūrimas iš naujausios kopijos.
• Kas ketvirtį — pilnas svetainės atkūrimas izoliuotoje aplinkoje, su RTO laiko matavimu.
• Kas metus — „nuo nulio“ scenarijus: tarsi pagrindinis duomenų centras dingo visam laikui.

Kiekvieno testo rezultatai fiksuojami protokole — to reikalaus tiek vidaus auditas, tiek NIS2 priežiūros institucija.

Praktinis žingsnis

• Suinventorizuokite visas institucijos sistemas ir kiekvienai nustatykite RPO ir RTO raštu.
• Patikrinkite, ar kopijuojamos ne tik failų sistemos, bet ir duomenų bazės, konfigūracijos, SSL sertifikatai, integracijų raktai.
• Užtikrinkite, kad bent viena kopija būtų immutable arba fiziškai atskirta (offline) — atspari ransomware.
• Patikrinkite, kad visos kopijos liktų EEE ribose ir būtų šifruotos, raktus saugant atskirai.
• Įveskite kalendorinį testavimo grafiką: mėnesinis dalinis, ketvirtinis pilnas atkūrimas.
• Suderinkite kopijų saugojimo terminus su Bendrųjų dokumentų saugojimo terminų rodykle.
• Įtraukite atsarginių kopijų procedūrą į veiklos tęstinumo planą ir kibernetinio saugumo politiką.
• Užfiksuokite, kas konkrečiai (vardu) atsakingas už kopijų stebėseną ir testavimą — ne „IT skyrius“ abstrakčiai.