Er säkerhetskopia som den sista bastionen mot ransomware

Förr eller senare riskerar alla att bli offer för ransomware. Oavsett om ni är ett produktionsbolag, en (lokal) myndighet eller en vårdinrättning. Exemplen är legio. Nackdelarna är välkända: från driftstopp till ryktesspridning. Men hur kan en strategisk kontinuitetsplan för verksamheten se till att skadan förblir begränsad och att er verksamhet snart är helt tillbaka på rätt spår igen?

"Ja, men vårt nätverk är väl skyddat med de bästa verktygen. Det kommer inte att hända oss. Något vi hör ganska ofta, och ändå är en bra säkerhetspolicy mycket mer än verktygen. Varje organisation måste ha ett förfarande för kontinuitet i verksamheten (Business Continuity Procedure, BCP). Det är ett skydd och en handlingsplan mot alla tänkbara kriser: en strejk, ett tekniskt haveri på grund av en naturkatastrof eller en pandemi. IT spelar en viktig roll i detta sammanhang. IT är i allt högre grad ett företags hjärta. Verksamheten är beroende av tillämpningar, och den som vill skydda sin verksamhet måste därför skydda tillämpningarna.

Vad är det bästa sättet att göra detta? Först tittar vi på kundens verksamhet. På så sätt försöker vi beräkna de potentiella ekonomiska konsekvenserna av en ransomware-attack. Först finns de direkta kostnaderna för driftstoppet - i genomsnitt 7 dagar - och de indirekta kostnaderna. Tänk på den skada på ryktet och moralen hos de egna anställda som kommer att drabbas. Sedan har du naturligtvis kostnaderna efter attacken: omstart, analys, extra skydd, missade beställningar osv.

Syftet med en sådan plan är att hålla tiden mellan driftstoppet och återstarten så kort som möjligt. Det viktiga är att hitta och spara de nödvändiga bevisen för att kunna analysera dem. Precis som i CSI: ett specialteam kommer in för att i detalj inventera alla spår på platsen innan liket kan flyttas från brottsplatsen.

Det finns några utmaningar som man måste ta itu med när man utarbetar en BCP. Ingen tycker om att tala om katastrofåterställning. Det tar mycket tid, är ibland komplicerat och det är långt ifrån enkelt att hantera det. Det ses fortfarande alltför ofta som ett IT-projekt, trots att det i själva verket är ett affärsprojekt. Att öka medvetenheten om detta i organisationen - och bland styrelsen - är ett långvarigt arbete. Den här typen av projekt börjar ofta via IT-tjänsten, men det är viktigt att verksamhetsenheterna och C-nivån involveras från början. En extern "översättare" kan underlätta diskussionerna mellan IT och verksamheten.

En BCP måste besvara tre frågor:

1. Vilka är verksamhetskraven? Vad behövs för att hålla verksamheten igång?
2. Hur ser den nuvarande situationen ut? Var finns potentiella luckor?
3. Vilken färdplan ska följas och vilka lösningar finns tillgängliga?

I vår metod fokuserar vi på de viktigaste kritiska apparna och undersöker vad en 24-timmars driftsstopp skulle kosta för var och en av dessa appar. För varje lucka. Vi kontrollerar också hur mycket data ni kan förlora, och vi kopplar en klassificering till varje (Tier 1 är mycket viktig och därför måste dess återställningstid hållas så kort som möjligt). Detta är en viktig övning för ett företag. Var och en tycker att hans eller hennes app och verktyg är viktigast, men vår objektiva översikt ger en tydlig ekonomisk bild av vikten av varje verktyg som används.

Följande steg är GAP-analysen, som avslöjar skillnaden mellan vad verksamheten efterfrågar och vad IT kan leverera i dag. Dessa gap kan skilja sig åt i omfattning och betydelse för varje app.

Med hjälp av dessa uppgifter kan du definiera åtgärder för att åtgärda varje gap. Dessa är inte nödvändigtvis alltid IT-relaterade. Och naturligtvis har ni snabba vinster som ni kan genomföra mycket snabbt. Därefter kan ni upprätta en färdplan där ni definierar åtgärder på kort, medellång och lång sikt och fastställer prioriteringarna. Med denna objektiva och kvantitativa analys kan ni som IT-avdelning lättare övertyga styrelsen om hur viktigt det är. Det är först efter denna analys som ni kan börja fundera på tekniska lösningar. En avgörande aspekt av en sådan BCP är att ni måste kunna testa konsekvenserna av en tillämpning.

Ibland beslutar sig företagen för att betala den begärda lösensumman. Om (1) återställandet tar för lång tid eller om (2) säkerhetskopian också är krypterad. Eller om de inte vet vilka dokument (3) som är krypterade och vilka som inte är det.

Om ni betalar lösensumman fortsätter ni naturligtvis att mata systemet.

För att förhindra detta behöver ni en sund blandning av säkerhetskomponenter, men säkerhetskopian är också en viktig del av historien. Det är den sista bastionen ni kan lita på, för den ger ett svar på de tre ovanstående skälen. Med en direkt start från säkerhetskopian får ni omedelbar återställning (1) och en kort återställningstid. Immutabilitet (2) är ett system där filer som hamnar i säkerhetskopian inte längre kan ändras. På så sätt är ni säkra på att uppgifterna är säkra och inte krypterade. För att veta vad som är krypterat och vad som inte är krypterat måste ni arbeta med bättre synlighet (3). Och det är fullt möjligt i backupen, där alla data samlas. Genom att analysera säkerhetskopiorna - finns det skillnader mot igår, har filnamnen ändrats eller har stora mängder data flyttats - kan man göra detta mycket effektivt. Tidsbesparingen för ett IT-team är enorm och återställningen går också mycket snabbare.

Er backup som ett ogenomträngligt bålverk är grunden för en bra BCP. Utan denna grund är det egentligen ingen idé att börja leta efter andra säkerhetslösningar.