Outsourcing IT Warszawa – PM Digital
Outsourcing IT Warszawa – PM Digital

Porozmawiajmy

501 336 299

Najczęstsze błędy firm w bezpieczeństwie IT – jak je szybko naprawić

  1. Home
  2. IT
2025-10-16
admin@outsourcing
/
IT

Najczęstsze błędy firm w bezpieczeństwie IT – jak je szybko naprawić

Dopóki systemy funkcjonują, nikt nie myśli o kopiach zapasowych, testach odtwarzania czy dokumentacji procedur awaryjnych. Niestety, to właśnie w takiej sytuacji najczęściej okazuje się, że kopie zapasowe nie działają, alerty z monitoringu giną w skrzynce e-mail, a instrukcji przywracania danych nikt nigdy nie spisał. Gdy dojdzie do awarii, dane są zaszyfrowane lub serwer przestaje działać, nie ma czego przywracać. To moment, w którym nawet duże organizacje potrafią zatrzymać działalność na wiele dni lub – w skrajnych przypadkach – już się z niej nie podnieść.

Regularne odtwarzanie kopii zapasowych

Pierwszy i najczęstszy błąd to przekonanie, że „backup jest, więc wszystko gra”. Samo wykonywanie kopii zapasowych nie wystarczy – - trzeba jeszcze wiedzieć, czy można z nich coś odzyskać. Tu wchodzą w grę dwa kluczowe pojęcia: RPO (Recovery Point Objective), czyli maksymalna ilość danych, które możemy stracić, oraz RTO (Recovery Time Objective), czyli czas potrzebny na przywrócenie systemu do działania po awarii. Jeśli tych parametrów nikt nie określił, nie ma też świadomości, jak długo firma może być sparaliżowana. Dlatego podstawą jest regularne testowanie odtwarzania kopii – przynajmniej raz w miesiącu, najlepiej w środowisku testowym. Warto przy tym stosować zasadę 3-2-1 - trzy kopie w dwóch różnych miejscach z czego jedna z nich jest w zdalnej lokalizacji. A jeszcze lepszą praktyką jest zasada 3-2-1-1-0, która oznacza, że należy utrzymywać trzy kopie danych, w dwóch różnych lokalizacjach, z czego jedna powinna być offline (czyli fizycznie odłączona od sieci), jedna niezmienialna (immutable), a po każdej kopii powinna być przeprowadzana weryfikacja, która potwierdzi, że nie zawiera błędów (zero błędów).

Brak dokumentacji i procedur

Drugim, równie częstym błędem jest brak dokumentacji i procedur DR – Disaster Recovery, czyli planu przywracania działania po awarii. W wielu firmach tylko jedna osoba wie, jak przywrócić dane. Kiedy tej osoby zabraknie, zespół traci czas na szukanie rozwiązań, co pogłębia skutki incydentu. Tymczasem wystarczy spisać tzw. runbooki, czyli krótkie instrukcje opisujące, gdzie znajdują się kopie, kto jest za co odpowiedzialny i jak wygląda proces odtwarzania. Taką dokumentację warto trzymać również w formie offline – na przykład w postaci wydruku lub pliku PDF zapisanym na odizolowanym nośniku – i aktualizować ją co najmniej raz na kwartał.

Nieumiejętne odtwarzanie danych

Kolejny błąd to nieumiejętne korzystanie z technologii odtwarzania danych. Wielu administratorów w przypadku awarii przywraca całe maszyny wirtualne, choć często wystarczy odzyskać pojedynczy folder czy bazę danych. Narzędzia takie jak Veeam Backup & Replication pozwalają na tzw. Instant VM Recovery, czyli uruchomienie maszyny wirtualnej bezpośrednio z kopii zapasowej, bez czekania na odtworzenie wszystkich danych i uruchomienia systemów dopiero po przywróceniu. Dzięki temu system można przywrócić w ciągu kilku minut, a następnie przywrócić system na docelowy storage produkcyjny. Jeśli natomiast usunięto tylko pojedyncze pliki, lepiej użyć funkcji file-level recovery, która pozwala przywrócić wybrane dane zamiast całej maszyny. To ogromna oszczędność czasu i zasobów.

Brak monitoringu infrastruktury

Czwarty problem to monitoring, który nikt naprawdę nie monitoruje. W przypadku usunięcia lub awarii bazy danych, plików czy też drobnej usterki systemu operacyjnego możemy skorzystać z opcji Quick Rollback i przywrócić tylko i wyłącznie różnice pomiędzy obecną strukturą bazy danych lub plików, a kopią zapasową. To pozwala zaoszczędzić mnóstwo czasu. Dla przykładu, jeśli nasza maszyna wirtualna ma dyski o pojemności 10TB i uszkodził się w niej system operacyjny to możemy przywrócić tylko różnice danych w storage produkcyjnym, a kopią zapasową. Czyli nie będziemy przywracać 10TB danych, tylko znacznie mniej - 50GB.
System powiadomień jest skonfigurowany, ale nikt nie reaguje na alerty, bo trafiają na ogólny adres e-mail lub jest ich zbyt wiele. W efekcie awarię często wykrywa użytkownik końcowy – na przykład dział księgowości, który nie może uruchomić programu. Dobrym rozwiązaniem jest wdrożenie narzędzia takiego jak Zabbix, które umożliwia tworzenie reguł alarmowych opartych o konkretne parametry wydajnościowe (tzw. SLO – Service Level Objective). Warto też skonfigurować powiadomienia wielokanałowe: e-mail, komunikator (Slack, Microsoft Teams) oraz SMS lub połączenie telefoniczne dla incydentów najwyższego priorytetu. Należy również pamiętać, by system monitoringu nie działał na tym samym serwerze, który ma monitorować – to prosta droga do tego, by przestał działać w chwili awarii.

Kopia niezmienialna i offsite

Piątym krytycznym błędem jest brak kopii niezmienialnej i kopii off-site, czyli przechowywanej poza siedzibą firmy. Ransomware potrafi nie tylko zaszyfrować dane produkcyjne, ale też skasować kopie zapasowe, jeśli znajdują się w tej samej sieci. Rozwiązaniem jest immutability, czyli ustawienie mechanizmu uniemożliwiającego usuwanie lub nadpisywanie danych przez określony czas. Technologia WORM (Write Once Read Many) oraz object lock w rozwiązaniach chmurowych pozwalają zabezpieczyć kopie nawet wtedy, gdy ktoś uzyska nieautoryzowany dostęp do infrastruktury. W systemie Veeam Cloud Connect można tworzyć takie kopie w chmurze, które fizycznie nie mogą zostać usunięte ani zmienione – nawet przez administratora. To prosty sposób, by spełnić zasadę 3-2-1-1-0 i mieć pewność, że choć jedna kopia zawsze przetrwa atak. Warto także dodać, że Veeam Cloud Connect ma dodatkowy mechanizm - kosz, który chroni przed przypadkowym lub celowym usunięciem kopii zapasowych. Kopie te pomimo tego że zostaną usunięte, trafiają do kosza na krótką ilość dni. Co pozwala na ich przywrócenie, nawet po skasowaniu danych, które było niepożądane (wykonane przez osobę która wykonuje atak na naszą firmę).

Zasada najmniejszych uprawnień

Nie można też zapominać o kontroli dostępu administratorów. W wielu firmach funkcjonuje jedno konto „admin”, które ma pełne uprawnienia do wszystkiego. To ryzykowne, bo każdy błąd z takiego konta może mieć katastrofalne skutki. Dlatego wszędzie, gdzie to możliwe, należy stosować MFA – Multi-Factor Authentication, czyli uwierzytelnianie wieloskładnikowe. Warto też rozdzielać konta uprzywilejowane od zwykłych, stosować zasadę najmniejszych uprawnień (ang. least privilege principle) i tworzyć tzw. break-glass accounts, czyli konta awaryjne, które pozwalają uzyskać dostęp tylko w sytuacjach kryzysowych. W rozwiązaniach takich jak Veeam można nawet wymusić dwuosobową autoryzację operacji krytycznych – na przykład usunięcia kopii zapasowej – co dodatkowo zabezpiecza dane przed błędami ludzkimi.

Kolejny element to aktualizacje systemów, które często wykonywane są „od święta”. Stare wersje oprogramowania, niezaktualizowane systemy operacyjne i przestarzałe hypervisory to otwarte drzwi dla cyberprzestępców. Każdy zespół IT powinien mieć zdefiniowany cykl patchowania – czyli plan regularnego instalowania poprawek bezpieczeństwa – oraz środowisko testowe, w którym można sprawdzić ich wpływ na systemy produkcyjne. Warto też z góry planować okna serwisowe, aby użytkownicy wiedzieli, kiedy mogą wystąpić przerwy w działaniu.

Segmentacja sieci

Nie mniej istotna jest segmentacja sieci i podstawowa higiena bezpieczeństwa. Częstym błędem jest sytuacja, w której serwer kopii zapasowych znajduje się w tej samej sieci, co stacje robocze pracowników. Jeśli któryś z komputerów zostanie zainfekowany, złośliwe oprogramowanie może łatwo rozprzestrzenić się również na serwer backupu. Rozwiązaniem jest podział sieci na odrębne segmenty (np. VLAN – Virtual Local Area Network) oraz wdrożenie systemów ochrony punktów końcowych, takich jak EDR – Endpoint Detection and Response. Należy też ograniczyć ekspozycję usług zdalnych, jak RDP – Remote Desktop Protocol, który powinien działać wyłącznie przez bezpieczne połączenie VPN lub w modelu ZTNA – Zero Trust Network Access.

Wdrożenie tych zasad nie wymaga miesięcy pracy – wiele z nich można zrealizować w ciągu tygodnia. Wystarczy zdefiniować parametry RPO i RTO dla najważniejszych systemów, zaplanować comiesięczne testy odtwarzania, uruchomić kopie niezmienialne off-site, dodać uwierzytelnianie wieloskładnikowe dla kont administracyjnych i uzupełnić dokumentację DR. Całość warto uzupełnić o skuteczny monitoring, np. Zabbixa z integracją z komunikatorami i alertami SMS, oraz rozdzielić sieć produkcyjną od administracyjnej.

Podsumowując – największym błędem w bezpieczeństwie IT nie jest brak sprzętu, oprogramowania czy budżetu. Najgroźniejsze jest przekonanie, że „skoro działa, to jest bezpieczne”. Prawdziwe bezpieczeństwo nie polega na jednorazowej konfiguracji, lecz na powtarzalnych procedurach, testach, weryfikacji kopii zapasowych i dokumentacji, którą każdy w zespole potrafi wykorzystać. Firmy, które wdrożą takie podejście przetrwają każdy incydent.
Grzegorz Kalinowski PM Digital

admin@outsourcing

Ostatnie wpisy

admin@outsourcing

Najczęstsze błędy firm w bezpieczeństwie IT – jak je szybko naprawić

admin@outsourcing

Polityka dostępu jako tarcza przed cyberatakami szyfrującymi dane

admin@outsourcing

Czym jest SLA i dlaczego jest kluczowe we współpracy z firmą IT?

Kategorie
Tags
backup hasło szyfrowanie VPN