Ransomware je dnes nejdražší forma kybernetického útoku pro většinu firem. Průměrné výkupné v Evropě přesáhlo v roce 2024 hranici 1 milionu eur. Ale skutečná cena není výkupné — je to výpadek provozu, ztráta dat, poškození reputace a náklady na obnovu, které celkové škody násobí. A přitom existuje jedno opatření, které efektivně eliminuje nejhorší scénáře: dobrá zálohovací strategie.
Jenže „mít zálohy" nestačí. Útočníci to vědí a při sofistikovaných útocích záměrně hledají a ničí zálohy jako první krok před vlastní šifrací dat. Zálohy připojené k síti, zálohy v cloudu se stejnými přihlašovacími údaji, zálohy bez testování obnovy — to vše je falešná jistota.
Pravidlo 3-2-1: základ zálohovací strategie
Pravidlo 3-2-1 formuloval fotograf Peter Krogh jako ochranu před ztrátou fotografií — dnes je to základní standard kybernetické bezpečnosti doporučovaný NÚKIB, ENISA i NIST:
- 3 kopie dat — primární data plus dvě zálohy
- 2 různá média / umístění — zálohy nesmí být na stejném fyzickém médiu ani ve stejné síti
- 1 kopie off-site — mimo fyzické prostory organizace, ideálně geograficky vzdálená
Tato tři pravidla adresují tři různé kategorie selhání: technické selhání média (disk se porouchá), lokální katastrofa (požár, povodeň, fyzická krádež) a kybernetický útok (ransomware, sabotáž). Žádné jednotlivé selhání by nemělo způsobit ztrátu všech kopií dat.
Rozšíření 3-2-1-1-0 pro prostředí ohrožené ransomwarem
Moderní best practice rozšiřuje původní pravidlo o dvě podmínky:
- +1 offline/air-gapped záloha — fyzicky odpojená od jakékoli sítě (páska, externí disk uložený mimo server)
- +0 chyb při ověření obnovy — zálohy musí být pravidelně testovány s nulovým počtem chyb
Offline záloha je klíčová proti ransomwaru: útočník, byť má přístup k celé síti, nemůže zašifrovat médium, které není k síti připojeno. Air-gapped záloha (fyzicky izolovaná, nikdy nepřipojená k internetu ani k interní síti) je absolutní ochrana — ale vyžaduje pravidelnou manuální výměnu médií.
RTO a RPO: co si firma skutečně může dovolit ztratit
Před nastavením zálohovací strategie musí každá organizace zodpovědět dvě klíčové otázky:
RPO (Recovery Point Objective) — jak stará smí být data po obnově? Pokud je RPO 4 hodiny, nesmí záloha být starší než 4 hodiny. Pro finanční systémy může být RPO 15 minut nebo méně — každá transakce je kritická. Pro archivní dokumenty může být RPO 24 hodin.
RTO (Recovery Time Objective) — jak dlouho smí trvat obnova provozu? Pokud je RTO 2 hodiny, za dvě hodiny od incidentu musí být systémy znovu funkční. RTO určuje, jak rychlé musí být zálohovací řešení a jak robustní musí být plán obnovy.
RPO a RTO nejsou technické parametry — jsou to obchodní rozhodnutí vedení. IT musí dodat zálohovací řešení, které tyto parametry splní. Firmy, které RPO a RTO nikdy nedefinovaly, zjišťují jejich skutečné hodnoty až při reálném incidentu — a to bývá pozdě.
Různá data, různé požadavky
Nesnažte se aplikovat jednotné RPO a RTO na veškerá firemní data. Segmentujte:
- Kritická data (ERP, finanční systémy, zákaznická databáze): RPO 15–60 minut, RTO 1–4 hodiny
- Důležitá data (sdílené disky, e-maily, projekty): RPO 4–8 hodin, RTO 4–8 hodin
- Archivní data (historické dokumenty, záznamy): RPO 24 hodin, RTO 24–48 hodin
Cloud backup vs. lokální zálohy: jak to kombinovat
Diskuze „cloud vs. lokální zálohy" je falešná dichotomie. Správná odpověď je: oboje, s jasnou rolí pro každou vrstvu.
Lokální zálohy
Výhody: rychlá obnova (nepřenáší se přes internet), nízké průběžné náklady při větším objemu dat, plná kontrola. Nevýhody: zranitelné vůči fyzické katastrofě a ransomwaru, pokud jsou v síti.
Doporučení: NAS nebo zálohovací server v interní síti (online zálohy) + fyzicky odpojená média (offline zálohy) uložená v trezoru nebo mimo budovu.
Cloudové zálohy
Výhody: geografická redundance, odolnost vůči fyzickým katastrofám, škálovatelnost. Nevýhody: pomalejší obnova při velkých objemech dat, průběžné náklady rostou s objemem, závislost na dostupnosti poskytovatele.
Klíčové opatření pro cloudové zálohy: immutable storage (zálohy nelze přepsat ani smazat po definovanou dobu) a oddělené přihlašovací údaje od produkčního prostředí. Ransomware, který kompromituje firemní Azure nebo AWS účet, může jinak smazat i cloudové zálohy.
Testování obnovy: to jediné, na čem záleží
Záloha, která nebyla úspěšně otestována, není záloha — je to příslib zálohy. Praxe ukazuje šokující statistiku: až 30 % zálohovacích procesů selhává nebo produkuje nekonzistentní data, aniž by o tom IT oddělení vědělo. Chybu objeví až při obnově — tedy přesně ve chvíli největšího stresu.
Pravidelné testování obnovy musí zahrnovat:
- Ověření integrity zálohy — automatické checksums po každé záloze
- Testovací obnova — minimálně čtvrtletně obnovit náhodně vybraná data do izolovaného prostředí
- Full DR test — minimálně jednou ročně simulovat kompletní výpadek a měřit skutečné RTO
- Dokumentace výsledků — auditní záznamy testů pro compliance účely
NIS2 směrnice a zákon o kybernetické bezpečnosti vyžadují plán kontinuity provozu (BCM — Business Continuity Management), jehož součástí musí být zálohovací strategie a pravidelně testovaný plán obnovy. Organizace, které BCM nemají, jsou při auditu NÚKIB v přímém střetu s požadavky zákona.
Nastavení zálohovací strategie, která splní 3-2-1 pravidlo, vaše RPO a RTO a zároveň požadavky NIS2, není triviální úkol — ale je to jeden z nejdůležitějších projektů, které vaše IT může realizovat. Tým SecureOn.cz vám pomůže navrhnout, implementovat i pravidelně testovat zálohovací řešení přesně odpovídající vašim datům a byznysovým požadavkům.