Ransomware e backup: cosa tenere presente

Indice

La faccenda della Regione Lazio ha riportato in auge discussioni legate alle modalità di esecuzione dei backup. È quindi importante fare chiarezza in merito ad alcuni aspetti nevralgici delle strategie di salvataggio dati.

Prima di cominciare è doveroso specificare che lo scopo di questo articolo non è spiegare come effettuare i backup: nelle conclusioni verrà infatti scritto che questa procedura è complessa e varia da situazione a situazione. Tuttavia è anche vero che l’esecuzione di un backup deve essere progettata tenendo presente alcuni aspetti essenziali. Lo scopo dell’articolo è quello di illustrare i principi base alla base di un backup.

3-2-1

La metodologia 3-2-1 consente di eseguire backup in modo efficace. I numeri hanno il seguente significato:

  • Avere almeno 3 copie dei dati.
  • Assicurarsi che siano su 2 supporti di memorizzazione differenti.
  • Assicurarsi di avere 1 copia off-line (non raggiungibile via rete).

Questo paradigma, che risponde e realizza anche quanto previsto dalla circolare 2/2017 di AgID per le P.A., permette di tutelarsi molto bene dalla perdita dei dati. Di seguito vengono approfondite i principi di ciascuna delle tre regole.

REGOLA 1: perché almeno 3 copie?

Perchè non ci sono solo i ransomware: ci potrebbe essere la necessità di ripristinare un dato storicamente importante ed erroneamente cancellato o alterato. Sarebbe quindi necessario poter andare indietro nel tempo andando a ripristinare dati storici più “vecchi” rispetto a quello esistente. Non è un caso che nella frase sopra riportata è presente il termine almeno, in quanto non vi è un limite massimo ma si ritiene che 3 sia il limite minimo di copie da conservare. L’intervallo di tempo tra una copia e l’altra dovrebbe tenere conto di molti fattori: la frequenza di aggiornamento dei dati, la tipologia di aggiornamento che viene fatto, il tipo di dato da memorizzare, etc…

REGOLA 2: perché 2 supporti di memorizzazione?

Un ransomware, un guasto, un errore di sistema, possono compromettere il regolare funzionamento di un supporto di memorizzazione. Se il secondo utilizzasse una differente architettura, sarebbe possibile fare in modo che venga “risparmiato” dall’evento avverso. Inoltre, logiche architetturali differenti, potrebbero impedire ad una particolare minaccia di propagarsi da un dispositivo ad un altro.

REGOLA 3: perchè 1 copia off-line?

Se una copia viene tenuta off-line1, rimane protetta da eventi avversi quali, ad esempio, l’azione di un ransomware. Avere una copia off-line comporta avere l’attenzione di “disconnettere” il dispositivo di backup al termine delle operazioni di salvataggio. La procedura di disconnessione è considerata essenziale dai tecnici che comprendono molto bene il valore di avere una copia di dati “isolata” rispetto al resto dell’ecosistema informatico.

Conclusioni

Sono molti gli accorgimenti per creare una solida strategia di backup: una tra tutte la corretta attribuzione di privilegi e modalità di accesso ai backup. Ciò che è certo è che la politica di backup è sartoriale e va costruita intorno alle esigenze del cliente; la regola del 3-2-1 è comunque funzionale e può davvero evitare il fenomeno della perdita dei dati.


1 La copia offline può perdere di efficacia se il dispositivo che effettua la copia è raggiungibile, mediante credenziali, da collegamenti intranet/internet: durante l’effettuazione del backup il virus potrebbe danneggiare la copia. È necessario, quindi, che la macchina che esegue il backup sia “isolata” rispetto alla intranet e agisca usando credenziali di rete dedicate e particolarmente limitate.