„Zálohujeme každý den.“
To je běžná odpověď. Méně častá je odpověď na otázku: „Kdy jste naposledy testovali obnovu?“
Většina firem má dobrý pocit. Někde běží zálohovací software, každý den chodí e-mail s hlášením „OK“, někde na serveru přibývají soubory s dnešním datem. Vše vypadá v pořádku. Až do chvíle, kdy je potřeba data skutečně obnovit.
Právě u zálohování se rozdíl mezi teorií a praxí projeví až při problému. A v tu chvíli už není prostor pro experimenty.
Záloha, kterou nikdo nezkoušel obnovit, je jen Schrödingerova záloha
Dokud ji nepotřebujete, existuje i neexistuje zároveň.
Může být plně funkční.
Může být poškozená.
Může být neúplná.
Může obsahovat jen část databáze.
Může být nečitelná kvůli změně verze systému.
A vy to zjistíte až v momentě, kdy už hoří.
Test obnovy není formalita. Je to jediný způsob, jak si ověřit, že záloha je skutečně použitelná. Nestačí vědět, že „proběhla“. Je nutné vědět, že z ní lze systém reálně nastartovat a data jsou konzistentní.
Nejčastější iluze bezpečí
1. Zálohy jsou ve stejné síti jako produkce
Pokud jsou zálohy dostupné ze stejného prostředí jako server, který může být napaden, jsou při ransomware útoku ohroženy stejně jako původní data. Útočník často cíleně maže nebo šifruje i zálohy.
Záloha bez oddělení (síťového, přístupového nebo fyzického) není skutečná ochrana – je to kopie čekající na stejný osud.
2. Snapshot není záloha
Snapshot je užitečný nástroj. Pomůže při chybě aktualizace, špatném zásahu administrátora nebo krátkodobém problému.
Ale snapshot:
- je obvykle uložen na stejném úložišti,
- není ochranou proti fyzickému selhání disku,
- neřeší kompromitaci celého systému,
- často není navržen jako dlouhodobé úložiště.
Zaměňovat snapshot za zálohu je jeden z nejčastějších omylů.
3. „Chodí nám report, tak je to v pořádku“
Automatický report říká jen to, že proces doběhl. Neříká, že:
- data jsou kompletní,
- lze obnovit konkrétní databázi,
- je možné obnovit celý server,
- záloha není poškozená.
Bez pravidelné kontroly a testu obnovy je to jen víra v systém.
4. Nikdo není skutečně odpovědný
Zálohování „nějak běží“.
Ale kdo je za něj odpovědný?
Kdo kontroluje logy?
Kdo řeší chyby?
Kdo provádí test obnovy?
Pokud není jasně určena odpovědnost, je velmi pravděpodobné, že se spoléháte na předpoklady místo reality.
Zeptejte se sami sebe
- Kde jsou naše zálohy fyzicky uloženy?
- Jsou oddělené od produkční infrastruktury?
- Kdo je odpovědný za jejich kontrolu?
- Proběhl někdy test obnovy celého systému?
- Jak dlouho by trvalo firmu skutečně obnovit do provozu?
Nejde jen o otázku „máme data“.
Jde o otázku „za jak dlouho budeme znovu fungovat“.
Rozdíl mezi pocitem bezpečí a skutečnou odolností
Zálohování není technický detail. Je to základní prvek řízení rizik. V okamžiku incidentu rozhoduje o tom, zda firma obnoví provoz během hodin, nebo řeší krizový režim týdny.
Revize IT umožňuje tuto oblast systematicky prověřit:
- bez zásahu do běžného provozu,
- bez nutnosti měnit dodavatele,
- bez marketingových prohlášení.
Cílem není kritika.
Cílem je ověřit realitu.
Protože záloha, kterou jste nikdy neobnovili, je jen Schrödingerova záloha. A dokud krabici neotevřete, nevíte, co je uvnitř.