Часть 1. Резервные копии

Что происходит с резервными копиями после того, как вы их сделали? Существует несколько вариантов – носитель лежит под замком в том же офисе,  носитель регулярно выносится за пределы помещения, либо отчуждаемого носителя как такового нет, потому что резервное копирование делается на СХД внешнего провайдера, либо на СХД на другой площадке организации, т.н. cross-site backup. В большинстве случае, надо исходить из того,  что уровень защиты этих данных на «периметре» практически нулевой.  Чтобы не быть голословным – несколько заметных примеров хищения лент с резервными копиями.

Итак, правило №1 – обязательное шифрование резервных копий, предназначенных для хранения на отчуждаемых носителях.

Где шифрование, там и управление ключевой информацией. Давайте посмотрим, что надо учесть при выработке правильного подхода к управлению ключами.

1. Ключи должны храниться отдельно от самих резервных копий
2. Ключи не должны быть бесконтрольно доступны людям, имеющим физический доступ к резервным копиям, в противном случае все данные могут легко покинуть организацию в обход любых DLP-систем, а обнаружить факт такой утечки будет крайне сложно.
3. Паранойя должна быть под контролем. В час X ключи должны оказаться доступны на той площадке, на которой будет выполняться восстановление данных, и время их доставки туда не должно [существенно] увеличивать целевое время восстановления RTO.
4. ЧС любого масштаба (в разумных пределах, естественно), затрагивающая основную площадку, не должна приводить к безвозвратной потере ключей шифрования.

Отдельного внимания заслуживает резервное копирование информации, изначально обладающей определенным уровнем защиты (например ресурсы, хранящиеся на зашифрованной файловой системе). Поскольку зачастую целью построения таких решений является защита от неправомерных действий третьих лиц, получивших доступ к оборудованию, важно построить управление ключами таким образом, чтобы доступ к инфраструктуре резервного копирования не давал возможности провести расшифровку резервных копий.

Часть 2. Средства шифрования.

У средств шифрования есть две особенности, которые делают задачу резервного копирования одновременно и более сложной, и более важной. Во-первых, порой резервирование ключевых носителей может быть нереализуемо (например, в случае генерации ключевой пары на токене), либо, возникновение второго экземпляра ключевого носителя делает нелигитимным первый (например, ЭЦП).  С другой стороны, утеря или повреждение ключевых носителей может лишить вас всей информации, поэтому пренебрегать резервным копированием ключевой информации – недопустимо.  Поэтому соблюдение нескольких рекомендации позволит вам обеспечить сохранность данных и там, где используются средств шифрования.

1. При шифровании данных всегда делайте резервные копии ключевой информации, и храните их в надежном месте, вдали от основной площадки. Схемы, в которых нельзя сделать резервную копию ключа для шифрования данных (или, как вариант, мастер-ключа), вам не подходят. Это замечание относится к сценарию, когда вам надо впоследствии расшифровывать данные с использованием  своего закрытого ключа. Для сценария, например, подписи платежных поручений, потеря ключа приведет к некоторому простою, но не приведет к потере информации.
2. Убедитесь (опытным путем) в том, что вы знаете, как восстановить всю необходимую ключевую информацию из резервных копий
3. Кроме собственно ключевой информации, важно иметь дистрибутивы/серийные номера/лицензии для используемых программных средств шифрования данных.
4. При использовании ЭЦП – разработайте четкий регламент, как в случае утери ключевой информации вы будете восстанавливать ключи. Как правило, в этих регламентах нет ничего сложного, важно только, чтобы вы смогли выполнить эти действия в разумные сроки. Иногда, впрочем, технически вполне реально сделать копии контейнера с ключами, и если потеря ключей не привела к их компрометации, то можно просто восстановить их из резервной копии.
5. Для аппаратных решений типа HSM – прислушайтесь к рекомендациям производителя по резервированию.

Очевидно, сегодня мы рассмотрели не весь спектр проблем, но даже следование этим рекомендациям поможет вам избежать ряда проблем, связанных с обеспечением сохранности информации.

Люди, профессионально занимающиеся непрерывностью бизнеса, могут пропустить этот пост – это из серии «наболело». Постараюсь изложить свои эмоции, не используя  профессиональных терминов с одной стороны, и нецензурных выражений с другой.

Три с половиной года назад сгорела редакция Комсомольской правды.

По заявлениям самой КП, «Номер, который уже был готов к подписанию, пришлось переписывать заново, потому что сгорели все серверы и вышли из строя компьютеры. Приютила нас на три дня «Экспресс-газета», которая находилась в соседнем здании. Ущерб от пожара насчитывает около 2 миллионов долларов.»

Сколько из этих двух миллионов пришлось на сгоревшие материальные ценности – я не знаю. Неизвестно также, пытался ли кто-то оценивать безвозвратно потерянную информацию. В любом случае - «Годы работы по созданию одного из крупнейших фотоархивов страны пошли насмарку. В редакции сгорели тысячи дисков с фотографиями за десятки лет. Выгорела ценнейшая библиотека.» [пруфлинк - здесь]

Теперь давайте посмотрим, что произошло на этой неделе с сайтом «Московского комсомольца». По сообщению самого МК, «Неустановленные пока злоумышленники атаковали интернет-сайт нашей газеты. В результате была уничтожена значительная часть информации на mk.ru, и ресурс был некоторое время недоступен для посетителей.[...] Команда сайта работает над восстановлением ресурса в первоначальном виде. К счастью, все тексты публикаций сохранились, однако значительная часть графических- и видеоматериалов была утрачена.»

Несмотря на то, что прямых материальных потерь не было (в смысле, ничего не сгорело, не было украдено и т.п.), по словам главного редактора МК «к сожалению, мы понесли большие финансовые потери, потому что появились большие вопросы с рекламодателями.»

В сухом остатке – безвозвратно погиб архив (или его часть), и на неопределенное время нарушена работоспособность сайта, являющегося, в частности, достаточно крупной рекламной площадкой.

Давайте теперь посмотрим, что общего в этих случаях, и что можно было бы сделать, чтобы избежать столь серьезных последствий.

1. Аксиома управления непрерывностью бизнеса – «shit happens».  Чрезвычайные ситуации случаются. Вне всякого сомнения, надо принимать меры по снижению рисков – и о противопожарной безопасности заботиться, и средства информационной безопасности активно внедрять, но тем не менее – 100% безопасности не бывает. Не у вас сгорит – так у соседей сверху, а вашу серверную для профилактики возгорания пожарные водой прольют. Итого – готовиться надо к худшему. Надеяться, что «со мной этого не случится» – не помогает категорически.

2. Если нет системного подхода к оценке ваших активов с точки зрения их значимости для бизнеса – то почти 100%, что часть останется за кадром. Какая именно часть – вы узнаете, когда случится очередное ЧП. Под словом активы я здесь подразумеваю информацию (как электронную, так и бумажные архивы), инфраструктуру, здания, сотрудников, и т.п. – все, на чем построен ваш бизнес.  Здесь очень важно, чтобы анализ проводился сверху вниз: «продукты и услуги вашей организации» ->»обеспечивающие их бизнес-процессы» -> «инфраструктура, данные, люди…», а не наоборот.

В качестве примера – если сайт дает сотни тысяч долларов выручки от рекламы  - то имеет смысл позаботиться о том, чтобы все данные, необходимые для его работы, были включены в процедуры резервного копирования, а процесс послеаварийного восстановления был спланирован и оттестирован. Здесь нет ничего сверхъестественного – есть методология, есть технические решения. Единственное, что требуется от руководства компании – это не пускать процесс на самотек.

Распространенное возражение – «это стоит денег». Да, это стоит денег. Такова жизнь. Ничего не стоит в основном то, что никому не нужно.  Другой вопрос – адекватность цены. Но именно для этого и делается анализ воздействия на бизнес, чтобы сравнить возможные потери и цену  предотвращения этих потерь. Если рискуем потерять 5 миллионов долларов, а вложить надо 50 тысяч – наверное, игра стоит свеч. Если нужно вложить 500 тысяч – уже не так очевидно, надо внимательнее анализировать вероятность риска. При этом всегда надо помнить, что для любой задачи есть решения разного уровня. Если мы говорим про ИТ-системы, то можно спроектировать одно решение, которое обеспечит полное восстановление в течение 5 минут, а можно другое  - со временем восстановления 24 часа. Затраты будут отличаться в разы, и надо смотреть, насколько критично, что сутки система не будет работать. Но, что важно – по истечении этих суток в обоих вариантах все будет восстановлено, а данные не будут безвозвратно потеряны.

3. Если нет стратегии обеспечения непрерывности бизнеса, то …

- Скажите, пожалуйста, куда мне отсюда идти?

- А куда ты хочешь попасть? – ответил Кот.

- Мне все равно… – сказала Алиса.

- Тогда все равно, куда и идти, –заметил Кот.

- …только бы попасть куда-нибудь, – пояснила Алиса.

- Куда-нибудь ты обязательно попадешь, – сказал Кот. – Нужно только достаточно долго идти.

С этим нельзя было не согласиться.

(Льюис Кэрролл. Приключения Алисы в стране чудес)

С необходимостью наличия стратегии можно соглашаться или нет, даже не применительно к вопросам непрерывности бизнеса. Бывают случаи, когда интуитивное ведение бизнеса дает очень даже неплохие результаты. Но, если посмотреть на компании, которые эффективно преодолевают чрезвычайные ситуации, то как правило у них такие стратегии есть, равно как и планы действий на случай чрезвычайных ситуаций…

В первый день (29 сентября), предваряя процедуру официального открытия выставки, с 12:15 до 13:45 пройдет секция «Построение и сохранение непрерывности бизнеса в существующих условиях. Информационная безопасность, как один из элементов непрерывности?» под чутким руководством Димы Кострова из МТС. Как водится, точный состав выступающих и темы выступлений будут еще утрясаться, за себя могу сказать, что говорить буду про тестирование – как лучше проводить тестирование/учения так, чтобы потом не было мучительно больно .

Кроме того, в тот же день сразу после официального открытия, в 14:30 на презентационной площадке расскажем про решение RecoverGuard от Continuity Software, о котором я писал в предыдущем посте.

Будет еще выступление про безопасность в виртуальных средах (на Круглом столе у Емельянникова, в 15:30 30 сентября)  , и битва во имя решения Reflex VMC на Львах и Гладиаторах (1 октября в 12:15), но это уже отдельная тема, к данному блогу не относящаяся.

Так что всем добро пожаловать