Bir çox şirkətdə məlumatların ehtiyat nüsxəsinin yaradılması (backup) İT tapşırıqları siyahısında ən aşağı yerlərdə olur: əvvəlcə saytın və daxili servislərin işə salınması, CRM sisteminin təkmilləşdirilməsi, anbar uçotunun qurulması və s. həyata keçirilir. Backup haqqında isə adətən problem baş verdikdən sonra düşünülür: sifariş bazası açılmır, şifrələyici virus fayllara girişi bloklayır və ya məhsul kataloqu səhvən silinir — üstəlik endirim kampaniyasının başlamasına bir gün qalmış.
Belə məqamda məlum olur ki, ehtiyat nüsxə mövcuddur, amma müəyyən problemlərlə. Məsələn, son backup bir həftə əvvəl yaradılıb və ya məlumatların bərpası iki gün çəkir. Məlumat itkisi və iş dayanması isə çox vaxt biznes üçün ciddi maliyyə zərərinə çevrilir.
"Kiberprotekt" şirkətinin strateji inkişaf departamentinin direktoru Vladimir Marakşin izah edir ki, niyə təkcə ehtiyat nüsxənin mövcudluğu biznesi xilas etmir və backup həllini seçməzdən əvvəl nələri nəzərə almaq lazımdır.
Kiberdavamlılıq nədir?
Kiberdavamlılıq (Cyber Resilience) kibertəhlükələrin nəticələrini minimum itkilərlə aradan qaldırmaq qabiliyyətidir. Bu, ikinci müdafiə xətti hesab olunur. Əgər hücumçular təhlükəsizlik sistemlərini keçə biliblərsə, kiberdavamlılıq biznesə fəaliyyətini tez bir zamanda bərpa etməyə imkan verir.
Böyük yanlış fikirlərdən biri odur ki, yalnız təhlükəsizlik sistemlərinə investisiya etməklə istənilən hücumdan tam qorunmaq mümkündür.
Digər yanlış fikir isə budur ki, kiçik biznes kibercinayətkarların maraq dairəsində deyil. Əslində isə hər bir biznes kibercinayətkarlar üçün potensial qazanc mənbəyidir. Hücum məqsədli də olmaya bilər — məsələn, əməkdaşlardan biri fişinq məktubuna aldanaraq kritik sistemlərin giriş məlumatlarını ötürə bilər.
Kiberdavamlı sistem necə qurulmalıdır?
İlk addım audit və inventarizasiyadır. Şirkətdə hansı İT sistemlərinin olduğunu və onların hansı biznes prosesləri ilə əlaqəli olduğunu müəyyən etmək lazımdır.
Bu məlumatları bir dəfə toplamaq kifayət deyil. Sistemlər və proseslər dəyişdikcə məlumatlar mütəmadi yenilənməlidir.
Ən riskli sahələr:
- Xarici girişə açıq servis və platformalar (CRM, ERP və s.);
- İnfrastruktur idarəetmə sistemləri;
- Virtualizasiya platformaları;
- Giriş hüquqlarının idarə olunması sistemləri.
Bu sistemlərdən birinə giriş əldə edən hücumçu yüzlərlə digər sistemə təsir göstərə bilər.
Audit həmçinin əvvəllər nəzərə alınmayan asılılıqları da aşkar edir. Məsələn, CRM sistemi məlumatları ayrıca verilənlər bazasından götürür və həmin baza backup planına daxil edilməyibsə, ciddi problem yarana bilər.
Kritik sistemlərin müəyyən edilməsi
Auditdən sonra növbəti mərhələ biznes üçün hansı sistemlərin həqiqətən vacib olduğunu müəyyən etməkdir.
Burada əsas məsələ sistemin özü deyil, onun dayanmasının nəticəsidir.
Məsələn:
- Tikinti şirkətinin təqdimat saytı bir neçə saat işləməsə, ciddi problem yaratmaya bilər.
- Onlayn mağaza üçün isə saytın dayanması birbaşa gəlir itkisi deməkdir.
Bu səbəbdən hər sistem üzrə aşağıdakılar qiymətləndirilməlidir:
- Maliyyə itkisi;
- Əməliyyat problemləri;
- Reputasiya riskləri.
RTO və RPO nədir?
Risklər qiymətləndirildikdən sonra iki əsas göstərici müəyyən edilir:
RTO (Recovery Time Objective) — sistemin nə qədər müddət əlçatmaz qala biləcəyini göstərir.
Sadə dillə desək, biznesin ciddi zərər görmədən nə qədər gözləyə biləcəyidir.
RPO (Recovery Point Objective) — qəbul edilə bilən məlumat itkisinin həcmidir.
Məsələn, sifariş bazası dünənki backup-dan bərpa olunursa, son 24 saat ərzindəki sifarişlər ayrıca bərpa edilməlidir.
Onlayn mağaza üçün bu böyük problem ola bilər.
Arxiv sənədləri və ya daxili hesabatlar üçün isə bir günlük məlumat itkisi bəzən qəbuledilən sayılır.
Backup sistemini sonradan əlavə etmək niyə risklidir?
Ehtiyat nüsxələmə sistemi İT infrastrukturunun ayrılmaz hissəsi olmalıdır.
Əgər bu məsələ sonradan düşünülərsə:
- Bəzi sistemlər üçün düzgün backup yaratmaq mümkün olmaya bilər;
- Məlumatların həcmi çox böyüyə bilər;
- Bərpa müddəti biznes tələblərinə uyğun gəlməyə bilər;
- Mövcud texnologiyalar tələb olunan bərpa ssenarilərini dəstəkləməyə bilər.
Bu problemlərin sonradan həlli həm daha bahalı, həm də daha mürəkkəb olur.
Nəyi avtomatlaşdırmaq lazımdır?
Kağız üzərində hər şey ideal görünə bilər. Lakin qəza zamanı məlum olur ki, bəzi proseslər yalnız konkret əməkdaşın biliklərinə əsaslanır.
Stress altında insan səhvi ehtimalı artır.
Bu səbəbdən aşağıdakılar maksimum avtomatlaşdırılmalıdır:
- Backup yaradılması;
- Serverlərin yenidən işə salınması;
- Məlumatların bərpası ssenariləri;
- Monitorinq və xəbərdarlıqlar.
Lakin bəzi qərarlar yenə də insan tərəfindən verilməlidir.
Məsələn:
- Ehtiyat məlumat mərkəzinə keçidin başlanması;
- Hansı sistemlərin ilk olaraq bərpa ediləcəyinin müəyyən edilməsi.
Backup işləyirmi? Yoxlamaq lazımdır
Yaşıl status göstəriciləri backup-un işlədiyini sübut etmir.
Mütəmadi olaraq:
- Backup-dan real bərpa testləri aparılmalıdır;
- RTO və RPO göstəriciləri ölçülməlidir;
- Məlumatların tamlığı yoxlanmalıdır.
Tövsiyə olunur:
- Backup testləri — hər ay və ya rübdə bir dəfə;
- Tam sistem bərpası sınaqları — ildə ən azı bir dəfə.
3-2-1 qaydası artıq kifayət etmir
Klassik backup prinsipi:
- 3 nüsxə məlumat;
- 2 fərqli saxlama növü;
- 1 nüsxə əsas sistemdən ayrı saxlanmalıdır.
Lakin müasir kibertəhlükələr fonunda daha inkişaf etmiş model istifadə olunur:
3-2-1-1-0
Bu model aşağıdakıları nəzərdə tutur:
- 3 məlumat nüsxəsi;
- 2 fərqli saxlama texnologiyası;
- 1 nüsxə əsas infrastrukturdan kənarda;
- 1 dəyişdirilməsi və ya silinməsi mümkün olmayan (immutable) nüsxə;
- 0 bərpa yoxlamalarında xəta.
Bu yanaşma ransomware hücumlarına qarşı daha effektiv müdafiə təmin edir.
Çünki müasir hücumçular əvvəlcə backup-ları silməyə çalışırlar, daha sonra isə əsas məlumatları şifrələyirlər.
Ən çox rast gəlinən səhv
Şirkətlərdə yeni servis və ya verilənlər bazası istifadəyə verilir, lakin backup sisteminə əlavə olunmur.
Nəticədə:
- Backup mövcuddur;
- Testlər uğurludur;
- Amma kritik sistem ehtiyat nüsxəyə daxil edilməyib.
Bu səbəbdən infrastrukturda hər dəyişiklikdən sonra backup planı yenidən yoxlanmalıdır.
Backup sadəcə "işarə qoymaq" üçün deyil
Əsas sual budur:
Biznes qəza və ya kibercinayət hadisəsindən sonra fəaliyyətini nə qədər tez və hansı itkilərlə bərpa edə biləcək?
Şirkət:
- Sistemlərini tanıyırsa;
- Onların kritikliyini qiymətləndiribsə;
- RTO və RPO göstəricilərini müəyyənləşdiribsə;
- Bərpa prosesini test edibsə;
o zaman backup sadəcə formal prosedur deyil, real biznes müdafiə alətinə çevrilir.
Yaxşı backup sistemi biznesi əvvəlcədən hazırlanmış plan əsasında qısa müddətdə fəaliyyətə qaytarmağa imkan verir.
Məhz bu, "bizim ehtiyat nüsxəmiz var" ilə "biz insidentə hazırıq" arasındakı əsas fərqdir.
