Data van organisaties zijn kwetsbaar wanneer er geen back-ups plaatsvinden op ten minste drie verschillende locaties. Deze zogenaamde 3-2-1-regel combineert cloud-, on-premises- en offline kopieën om ervoor te zorgen dat data kunnen worden bewaard (zelfs als een online back-up wordt verstoord). In onderstaande bijdrage van SANS leggen we het uit.
Back-upsystemen beschermen data tegen onder meer ransomware, diefstal en sabotage. Het is echter belangrijk om te onthouden dat het gebruik van back-ups alléén niet zaligmakend is. Het feit dat organisaties back-upsystemen hebben, betekent niet altijd dat hun data volledig beschermd zijn.
Een bijdrage van Dr. Johannes Ullrich, Faculty Fellow bij SANS Institute
Te midden van het toenemend aantal (snelle) aanvallen, kunnen de gevolgen van ondermaatse back-ups desastreus zijn. Zo berichtte IBM in zijn rapport Cost of a Data Breach in 2022 het volgende:
- wereldwijd stegen de gemiddelde kosten van een datalek met 13% op jaarbasis tot een recordbedrag van $ 4,3 miljoen verlies;
- organisaties in de VS werden het meest getroffen (gemiddeld verlies per breach $ 9,4 miljoen);
- de gemiddelde duur van het identificeren en onder controle krijgen van een datalek duurde meer dan 275 dagen (gelijk aan een downtime van negen maanden).
Aanvallers opereren uiterst geavanceerd en maken daarbij gebruik van lastig te traceren Tactics, Techniques and Procedures (TTP’s) die kwetsbaarheden in back-upsystemen misbruiken. Remote access back-ups zijn vaak afhankelijk van wachtwoordbeveiliging, en vanwege een slecht wachtwoordbeleid (of het ontbreken van 2FA) kunnen back-upsystemen een gemakkelijk doelwit zijn.
3, 2, 1…
Van alle vormen van back-upsystemen zijn cloud back-ups vaak het meest kwetsbaar. Organisaties zouden op hun beurt een on-premises back-up moeten gebruiken die snel herstel op schaal kan stimuleren, vooral in gevallen waarin er een grote hoeveelheid kritieke data moet worden hersteld.
“Data van organisaties zijn kwetsbaar wanneer er geen back-ups plaatsvinden op ten minste drie verschillende locaties. Deze zogenaamde 3-2-1-regel combineert cloud-, on-premises- en offline kopieën om ervoor te zorgen dat data kunnen worden bewaard (zelfs als een online back-up wordt verstoord).”
– Dr. Johannes Ulrich, SANS Institute
Houd er altijd rekening mee dat de herstelsnelheid van tevoren getest moet worden. Dit biedt een nauwkeurige barometer van hoelang het zal duren om gevoelige bestanden te herstellen na een inbreuk. Ter illustratie: het kostte de stad Atlanta zeven volle dagen om na een ransomware-aanval weer up and running te zijn. Bij een soortgelijke aanval op de gemeentelijke afdeling van Baltimore duurde het herstel zelfs langer dan zes weken. Totale kosten als gevolg van operationele downtime? Een slordige 20 miljoen dollar.
Ter overweging
Of het nu gaat om fysieke back-upbestanden die (via post) worden verzonden of online back-ups die naar de cloud migreren: data die een organisatie verlaten, moeten te allen tijde worden versleuteld. Zonder decoderingssleutel hebben kwaadwillenden dan nog steeds niet aan de door hen buitgemaakte data. Daarnaast moeten organisaties prioriteiten toekennen aan de drie basiscomponenten van effectief databeheer:
Databescherming: bescherm zowel primaire als secundaire gegevensback-ups actief tegen verlies, diefstal en corruptie met de mogelijkheid om gegevens snel te herstellen na een incident.
Dataopslag: creëer een goed gedefinieerde security-architectuur die de veilige opslag van databack-ups bevordert (zowel on-premises als in de cloud).
Compliance: zorg ervoor dat alle back-upsystemen en netwerkgebruikers continu een toegangsbeleid volgen dat in overeenstemming is met de geldende nalevingsvoorschriften.
To get things straight: back-upsystemen zijn in eerste instantie nooit ontworpen om de strijd tegen onder meer ransomware aan te gaan – meer in het geval van een data crash of bij het per ongeluk verwijderen van data. Maar nu cyber threats onder meer gevoelige data in het vizier hebben, zijn niet één, niet twee maar minimaal drie back-uplocaties bittere noodzaak geworden. Geen abc’tje, maar een 1-2-3’tje.
Slotwoord vanuit FERM
We onderschrijven Johannes’ visie op het belang van back-ups goed aanpakken. Niet voor niets is ‘segmenteer je netwerk en maak back-ups’ onderdeel van onze Cyberhygiëne top 10. Het maken (en testen!) van back-ups is essentieel als data en systemen zijn aangetast en hersteld moeten worden. Bedenk van welke data back-ups noodzakelijk zijn en hoelang u deze moet bewaren. Test met regelmaat het terugzetten van back-ups zodat je zeker weet dat de bedrijfsvoering bij dataverlies maar beperkt wordt verstoord. Daarbij hebben we zelf ook een 1-2-3’tje, in de vorm van de 3-2-1 regel.
De 3-2-1 regel kan helpen bij de inrichting van uw back-upproces. Deze regel houdt in dat je drie versies hebt van alle data (de productiedata en twee back-ups) op twee verschillende media (bijvoorbeeld verschillende fysieke harde schijven) met één kopie op een andere locatie voor noodherstel (bijvoorbeeld fysiek). Door back-ups op een andere locatie op te slaan kun je, indien bijvoorbeeld ransomware je bedrijfsnetwerk heeft versleuteld, deze systemen herstellen. Beperk de toegang tot de back-ups. Denk hierbij aan de toegangsrechten, maar overweeg ook het versleutelen van de back-ups zelf.
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.
Vind FERM ook op LinkedIn