Kiberuzbrukums var apturēt jūsu biznesa darbību stundās. Izspiedējvīruss šifrē serverus, e-pasts ir nepieejams, klienti nevar pieteikties savos kontos. Cik ilgi jūsu uzņēmums var darboties bez IT sistēmām? Un, kas vēl svarīgāk, — cik ātri jūs varat tās atjaunot? Atbildes uz šiem jautājumiem nosaka biznesa nepārtrauktības plāns (BCP) un katastrofu atkopšanas plāns (DRP).
Šajā rakstā apskatīsim, kā veidot un uzturēt efektīvu biznesa nepārtrauktības stratēģiju kiberdrošības kontekstā — praktiski, bez liekām teorijām.
BCP un DRP — kāda ir atšķirība?
Terminus bieži jauc, bet tie nav sinonīmi:
Biznesa nepārtrauktības plāns (BCP — Business Continuity Plan) ir visaptverošs plāns, kas nodrošina uzņēmuma spēju turpināt kritiskās biznesa funkcijas jebkura traucējuma laikā. Tas aptver ne tikai IT — arī cilvēkus, procesus, komunikāciju, fiziskās telpas un alternatīvus darba režīmus.
Katastrofu atkopšanas plāns (DRP — Disaster Recovery Plan) ir BCP apakškopa, kas fokusējas tieši uz IT sistēmu un datu atjaunošanu pēc incidenta. DRP nosaka, kā atjaunot serverus, datu bāzes, tīklus un lietojumprogrammas.
Uzņēmumam ir vajadzīgi abi. BCP bez DRP nozīmē, ka jūs ziniet, ka jāturpina darbs, bet neziniet, kā atjaunot sistēmas. DRP bez BCP nozīmē, ka jūs atjaunosiet serverus, bet darbinieki nezinās, ko darīt starplaikā.
RTO un RPO — divi kritiskākie rādītāji
Jebkura atkopšanas plāna pamatā ir divi skaitļi:
RTO (Recovery Time Objective) — maksimālais pieļaujamais dīkstāves laiks. Cik ilgi jūsu uzņēmums var atļauties būt bez konkrētas sistēmas? E-pasta serverim RTO var būt 4 stundas, bet grāmatvedības sistēmai — 24 stundas.
RPO (Recovery Point Objective) — maksimālais pieļaujamais datu zudums laikā. Cik daudz datu jūs varat atļauties zaudēt? Ja RPO ir 1 stunda, tas nozīmē, ka rezerves kopijas jāveido vismaz reizi stundā.
Šie rādītāji nav tehniski jautājumi — tie ir biznesa lēmumi. IT komanda nevar noteikt RTO un RPO bez vadības iesaistes, jo tie tieši ietekmē gan investīciju apjomu, gan biznesa riska toleranci.
Piemērs: ja jūsu e-komercijas platforma ģenerē 10 000 EUR dienā, katrs dīkstāves laiks nozīmē tiešos zaudējumus. RTO 4 stundas = potenciālie zaudējumi līdz 1 700 EUR. RTO 24 stundas = līdz 10 000 EUR.
Rezerves kopēšanas stratēģija — 3-2-1 princips
Efektīva rezerves kopēšana ir DRP pamats. Zelta standarts ir 3-2-1 princips:
- 3 kopijas — viena primārā un divas rezerves
- 2 dažādi datu nesēji — piemēram, lokālais disks un mākoņkrātuve
- 1 kopija ārpus uzņēmuma vai izolētā vidē
Kiberdrošības kontekstā šim principam ir papildu nianse — vismaz vienai kopijai jābūt izolētai no tīkla (air-gapped vai immutable storage). Kāpēc? Jo mūsdienu izspiedējvīrusi mērķtiecīgi meklē un šifrē arī rezerves kopijas, kas ir pieejamas tīklā. Ja visas trīs kopijas ir savienotas ar to pašu tīklu, uzbrukuma gadījumā jūs zaudēsiet visas trīs.
Papildu praktiskie ieteikumi:
- Šifrējiet rezerves kopijas. Ja kopija noplūst, dati paliek aizsargāti.
- Testējiet atjaunošanu regulāri. Rezerves kopija, kas nedarbojas atjaunošanas brīdī, nav rezerves kopija. Testējiet vismaz reizi ceturksnī.
- Dokumentējiet atjaunošanas procedūru. Soļu-pa-solim instrukcija, ko var izpildīt arī personas, kas ikdienā nestrādā ar šīm sistēmām.
- Uzraugiet kopēšanas procesus. Neveiksmīga kopēšana, kas paliek nepamanīta nedēļām, ir biežāka problēma nekā varētu domāt.
Atkopšanās no izspiedējvīrusa uzbrukuma
Izspiedējvīruss ir viena no biežākajām katastrofām, ar kurām saskaras Latvijas uzņēmumi. CERT.LV statistika rāda stabilu šo uzbrukumu pieaugumu. Atkopšanās plānam jāietver:
Izolēšana. Pirmais solis — skarto sistēmu atslēgšana no tīkla, lai apturētu izspiedējvīrusa izplatīšanos. Tam ir jānotiek minūtēs, ne stundās. SOC uzraudzība var automātiski izolēt skartās iekārtas.
Novērtēšana. Kuras sistēmas ir skartas? Vai skarti arī rezerves kopijas? Vai ir notikusi datu eksfiltrācija (mūsdienu izspiedējvīrusi bieži nozog datus pirms šifrēšanas)? Šī informācija ir kritiska gan atjaunošanai, gan GDPR paziņošanai.
Lēmums par izpirkuma nemaksāšanu. CERT.LV un drošības speciālisti vienbalsīgi iesaka nemaksāt izpirkumu. Maksājums negarantē datu atgūšanu, finansē noziedzīgās aktivitātes un padara jūsu uzņēmumu par atkārtotu mērķi.
Atjaunošana no tīrām kopijām. Sistēmu atjaunošana no pēdējās nebojātās rezerves kopijas. Pirms atjaunošanas jāpārliecinās, ka uzbrukuma vektors ir novērsts — pretējā gadījumā notiks atkārtota inficēšanās.
Sakaru plāns. Kas informē darbiniekus? Kā sazinās ar klientiem, ja e-pasts nedarbojas? Kas ziņo CERT.LV un DVI? Šiem jautājumiem jābūt atbildētiem iepriekš.
Komunikācijas plāns incidenta laikā
Krīzes komunikācija ir BCP kritiskā sastāvdaļa, ko bieži aizmirst:
Iekšējā komunikācija. Kā informēt darbiniekus, ja e-pasts un iekšējā saziņa nedarbojas? Nodrošiniet alternatīvu kanālu — mobilā grupa, ārējs saziņas rīks, telefonu saraksts papīra formā.
Klientu komunikācija. Sagatavojiet veidnes klientu informēšanai. Krīzes brīdī nav laika domāt par formulējumiem. Esiet godīgi un konkrēti — klienti novērtē atklātību vairāk nekā klusēšanu.
Regulatoru informēšana. NIS2 pieprasa sākotnējo paziņojumu CERT.LV 24 stundu laikā, GDPR — DVI paziņojumu 72 stundu laikā. Sagatavojiet paziņojumu veidnes un nosakiet atbildīgās personas.
Mediju komunikācija. Nosakiet vienu runaspersonu. Nekad nekomentējiet publiski, kamēr nav skaidra situācijas aina.
NIS2 un biznesa nepārtrauktības prasības
NIS2 direktīva izvirza konkrētas prasības biznesa nepārtrauktībai:
- Uzņēmumam jābūt dokumentētam biznesa nepārtrauktības un katastrofu atkopšanas plānam
- Plāns jātestē regulāri (vismaz reizi gadā)
- Jānodrošina rezerves kopēšana un sistēmu atkopšanas spēja
- Vadībai jāapstiprina BCP un jābūt informētai par tā saturu
- Piegādes ķēdes riski jāietver BCP tvērumā
Neatbilstība šīm prasībām var izraisīt sodus līdz 10 miljoniem EUR vai 2% no apgrozījuma būtiskajiem subjektiem. Bet vēl svarīgāk — bez funkcionējoša BCP uzņēmums vienkārši var nespēt pārdzīvot nopietnu kiberincidentu.
Kā testēt biznesa nepārtrauktības plānu
Plāns, kas nav testēts, ir tikai dokuments. Testēšanas metodes:
Galda vingrinājumi (tabletop exercises). Komanda kopā izspēlē incidenta scenāriju teorētiski — “kas notiktu, ja…?” Lēts un efektīvs veids, kā identificēt nepilnības plānā.
Funkcionālie testi. Faktiski atjaunojiet sistēmu no rezerves kopijas testa vidē. Pārbaudiet, vai atjaunošana aizņem RTO ietvaros noteikto laiku.
Pilna mēroga simulācija. Visaptverošs tests, kas simulē reālu incidentu — ieskaitot komunikāciju, lēmumu pieņemšanu un sistēmu atjaunošanu. Veicams reizi gadā, ideāli ar ārēju partneru iesaisti.
Pēc katra testa — dokumentējiet konstatētās nepilnības un izstrādājiet rīcības plānu to novēršanai. BCP ir dzīvs dokuments, kas jāatjaunina pēc katrām izmaiņām infrastruktūrā, personālā vai biznesa procesos.
Biežāk uzdotie jautājumi (BUJ)
Cik bieži jāatjaunina biznesa nepārtrauktības plāns? Vismaz reizi gadā un pēc katrām būtiskām izmaiņām — jauna sistēma, organizatoriskās pārmaiņas, jauns birojs, jauns piegādātājs. NIS2 pieprasa regulāru pārskatīšanu. Praksē ieteicams veikt ceturkšņa pārskatīšanu un gada pilnīgu atjaunināšanu ar testēšanu.
Vai mazam uzņēmumam ar 10 darbiniekiem vajag BCP? Jā, tikai tā mērogu pielāgo uzņēmuma lielumam. Mazam uzņēmumam BCP var būt 5–10 lappušu dokuments, kas atbild uz pamata jautājumiem: kuras sistēmas ir kritiskās, kā tās atjaunot, kas par ko atbild, kur ir rezerves kopijas. Tas ir daudzkārt labāk nekā nekā.
Ko darīt, ja nav budžeta pilna mēroga DRP risinājumam? Sāciet ar pamata lietām — regulāra rezerves kopēšana pēc 3-2-1 principa, dokumentētas atjaunošanas procedūras un incidentu reaģēšanas plāns. Mākoņpakalpojumi ļauj ieviest atkopšanas risinājumus bez lielām sākotnējām investīcijām. Pat vienkāršs plāns ir bezgalīgi labāks nekā nekāds plāns.
Kāda ir atšķirība starp BCP un incidentu reaģēšanas plānu? Incidentu reaģēšanas plāns fokusējas uz pašu incidentu — kā to identificēt, ierobežot un novērst. BCP ir plašāks — tas aptver arī darbības turpināšanu incidenta laikā un pilnīgu atkopšanos pēc tā. Abi plāni ir saistīti un papildina viens otru. Skatiet arī Kā rīkoties pēc kiberuzbrukuma.
Vai mākoņpakalpojumu izmantošana aizvieto DRP? Nē. Mākoņpakalpojumu sniedzēji nodrošina infrastruktūras pieejamību, bet jūs esat atbildīgs par saviem datiem, konfigurācijām un piekļuves pārvaldību. Ja jūsu mākoņpakalpojumu kontu kompromitē, sniedzēja infrastruktūra jums nepalīdzēs. DRP ir jāietver arī mākoņpakalpojumu scenāriji.
Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT — [email protected] vai +371 27555221.