World Backup Day 31.3.2023 – Miten suojata varmuuskopiot ja todentaa niiden toiminta?

World Backup Day on 31.3.2023. Varmuuskopio kuulostaa yhtä jännittävältä kuin tapaturmavakuutus teini-ikäisen mielestä. ”Ei kai mulle nyt mitään käy?”

Varmuuskopio onkin monella tapaa kuin tapaturmavakuutus — jos vahinko sattuu, varmuuskopio, kuten vakuutuskin, on aika kiva juttu. Ensimmäisessä osassa asiantuntijamme Anne Oikarinen kertoi varmuuskopioiden tärkeydestä ja siitä, mitä kaikkea niiden täytyy sisältää. Nyt syvennytään tarkemmin varmuuskopioiden suojaukseen, todennukseen ja säilytysaikoihin.

Varmuuskopion suojaus – Miten ja miksi?

Hetkinen — varmuuskopiotahan koskevat vähintäänkin samat uhat kuin alkuperäistä tietoa: luottamuksellinen tieto voi paljastua tai varmuuskopio voi tuhoutua. Miten varmuuskopiot siis kannattaisi suojata?

Varmuuskopioiden suojauksen riittävyyttä arvioidessa kannattaa taas käyttää hetki omaan organisaation ja varmuuskopioitavaan tietoon liittyvien riskien arvioimiseen. Usein suojauskeinoina käytetään yhdistelmää seuraavista:

1. Salaus. Jos varmuuskopiot sisältävät jotain luottamuksellista, varmuuskopio on syytä salata. Salausavainten turvallisuus täytyy toki tällöin järjestää. Salaus voi suojata myös varmuuskopion sisältöä luvattomalta muokkaamiselta.
2. Useita varmuuskopioita. Jos kopioita on useita, on epätodennäköisempää, että kaikki kopiot vikaantuvat.
3. Hajautus eri sijainteihin. Etenkin ympäristöltä aiheutuvilta uhilta ja varkauksilta suojautuu parhaiten, jos varmuuskopio sijaitsee maantieteellisesti eri paikassa, esimerkiksi pilvipalveluntarjoajan eri alueen konesalissa.
4. Erilaiset tallennusvälineet. Etenkin jos syystä tai toisesta tietoa ei voi varmuuskopioida pilvipalveluun, kannattaa harkita toisenlaista tallennusvälinettä. Tällöin laiteohjelmistoviat eivät koske sekä alkuperäistä että varmuuskopioitua tietoa.
5. Muuttumattomuus. Kiristyshaittaohjelma voi iskeä myös varmuuskopioihin, kuten Maersk-yhtiölle kävi NotPetya-kiristyshaittaohjelmahyökkäyksessä vuonna 2017. Mikäli varmuuskopiot on tallennettu offline-tilassa olevalle laitteelle, haittaohjelma ei pääse niihin käsiksi – eikä välttämättä myöskään ylläpitäjä niin helposti. Toinen vaihtoehto on käyttää ns. muuttumattomia varmuuskopioita (englanniksi immutable backups), jossa pilvessä olevat varmuuskopiot tallennetaan erityiseen Write Once Read Many -tyyppiseen tietovarastoon. Näissä idea on sama kuin CD-levyissä, joilta joskus oli tapana kuunnella musiikkia: tietoa voi tallentaa kerran mutta lukea tietoa monesti. Helposti naarmuuntuvan kiekon sijasta muuttumattomuus on toteutettu ohjelmallisesti resurssilukoilla (Bucket Lock ja Object Lock).
6. Pääsynhallinta. Jotta varmuuskopioita voitaisiin tarvittaessa palauttaa, jollakulla tulee olla oikeudet varmuuskopioihin ja varmuuskopiointiprosessin hallintaan. Pääsy kannattaa rajata vain pääsyä tarvitseville henkilöille.

Varmuuskopion suojaus onkin asia, joka on toteuttettava perustuen organisaation yksilöllisiin tarpeisiin.

Mikä on sopiva säilytysaika varmuuskopiolle?

Yksi koko ei sovi kaikille. Säilytysajan pituuteen voivat vaikuttaa muun muassa seuraavat asiat:

• Asiakasvaatimukset ja sopimukset. Onko sopimuksissa määritelty jotain tiedon säilytysajoista?
• Toimialastandardit. Esimerkiksi luottokorttimaksamisen tietoturvastandardi, Payment Card Industry Data Security Standard (PCI DSS), vaatii, että auditlokeja säilytetään vähintään vuosi.
• Lainsäädäntö. Esimerkiksi potilasasiakirjojen ja kirjanpitoaineiston säilytysajoista säädetään laissa. Mikäli alkuperäiselle tiedolle kävisi jotain, pitää varmuuskopionkin olla tallessa tarpeeksi kauan.
• Millaista tietoa on kyseessä. Viime vuoden kesäjuhlien suunnittelupöytäkirja ja satunnaiset muistiinpanot viime kuusta eivät kiinnosta enää ketään, somepostausten analytiikka kenties enemmän.
• Liiketoiminnan jatkuvuus. Jos organisaation toiminta nojaa tietoihin, jotka pitää tarvittaessa palauttaa vaikka 10 kk sitten tapahtuneen ja nyt huomatun tietomurron seurauksena, on varmuuskopioita syytä säilyttää kauankin aikaa.

Erityyppisillä varmuuskopioilla voi olla erilaisia säilytysaikoja. Esimerkiksi kerran päivässä otettuja lisäysvarmistuksia dokumenteista voi säilyttää kaksi viikkoa ja kerran viikossa otettua täydellistä varmuuskopiota sitten pidempään.

Etenkin arkaluontoinen tieto ja myös muu tarpeeton tieto olisi syytä poistaa, kun sitä ei enää tarvita. Jos vanha varmuuskopio täytyy palauttaa, jo poistetun tiedon ei tulisi päätyä kummittelemaan tietojärjestelmiin takaisin.

Varmuuskopioinnin klassikkosääntö 3-2-1 tarkoittaa, että tiedosta on kolme kopiota (alkuperäinen ja kaksi varmuuskopiota), kahdella eri tallennusvälineellä ja yksi kopioista sijaitsee maantieteellisesti toisaalla.

Maantieteellistä hajautusta ja eri pilvipalveluiden käyttöä voidaan myös laajentaa, jolloin voidaan puhua 3-2-2- tai 3-2-3-säännöistä. Tämä voi tuoda joustavuutta palautustapoihin.

Varmuuskopioiden eheyteen ja siten esimerkiksi kiristyshaittaohjelmien aiheuttamiin tuhoihin ottaa selkeimmin kantaa 3-2-1-1-0-varmuuskopiointisääntö. Monimutkaisen numerosarjan taustalla on seuraava logiikka: tiedosta tulisi olla kolme kopiota, kahdella erilaisella tallennusvälineellä, yhden kopion tulisi sijaita muualla, yhden kopion pitäisi olla joko offline tai pilvessä siten, ettei tietoa voi muuttaa, ja varmuuskopioinnin virheiden määrä tulisi olla pyöreä nolla. Varmuuskopioinnin virheistä on siis järkevää luoda vaikka sähköpostihälytys, jotta vika tulee esiin ja ongelman syytä voi selvittää.

Viimeisin — mutta ei vähäisin — tapa turvata varmuuskopioita on taata riittävän pitkä säilytysaika varmuuskopioille. Esimerkiksi SaaS-palveluissa säilytysaika varmuuskopioille voi olla oletuksena melko lyhyt.

Miten varmistaa varmuuskopion toiminta?

Kun varmuuskopioita lopulta tarvitsee, olisi tietysti mukava juttu, että tietojen palautus onnistuu riippumatta siitä, tarvitseeko palauttaa yksittäinen tiedosto, kokonainen tietokanta tai jotain siltä väliltä.

Monimutkaisemmissa järjestelmissä varmuuskopioiden palautus ei välttämättä ole aina ihan suoraviivaista. Kriisin keskellä, liiketoiminnan ollessa seis, palautus ei ole myöskään täysin stressitöntä. Siksi varmuuskopioiden palautuksesta kannattaa dokumentoida yksityiskohtainen palautusohje. Lisäksi kannattaa testata säännöllisesti erilaisia palautusskenaariota: esimerkiksi yksittäisen tiedoston palautus, kokonaisen tiedostojärjestelmän tai tietovaraston palautus tai kokonaisen palvelimen ja sen asetusten palautus.

Varmuuskopion palautustestauksen lisäksi on hyödyllistä harjoitella järjestelmien toipumista ja normaaliin toimintaan palaamista osana jatkuvuudenhallintaa esimerkiksi kerran vuodessa. Jos vaikkapa tietomurron seurauksena toiminta keskeytyy, tarvitsee tehdä muutakin kuin palauttaa tiedot varmuuskopiolta: Kuka koordinoi toimintaa? Mitä viestitään ja kenelle? Miten selvitetään, mikä oli tietomurron juurisyy? Miten kauas taaksepäin varmuuskopioissa täytyy mennä? Jos varmuuskopiot nyt palautetaan, onko siellä sama tietomurron mahdollistanut haavoittuvuus? Mitä täytyy tehdä, että työnteko voi jatkua taas normaalisti?

Tarkista varmuuskopiointisuunnitelmasi jo tänään ja järjestä palautusten testausharjoitus vaikka ensi viikolle. Jatkuvuusharjoituksetkin kannattaa laittaa korvan taakse.