Sicurezza dei backup off-line e come proteggersi dai Ransomware

Traggo lo spunto dell’argomento del post di oggi dalla trasmissione radiofonica del 12 Giugno 2015 di 2024 dell’ottimo Enrico Pagliarini che seguo sempre con grande interesse.

Nella prima parte della trasmissione (17′ 30″)  troviamo l’intervista a Corrado Giustozzi, esperto di sicurezza informatica e membro di ENISA, l’agenzia europea per la sicurezza delle reti e l’argomento trattato è per l’appunto la sicurezza informatica ed i rischi che imprese ed utenti corrono ogni giorno con i propri dati.

In particolare, si parla dei virus di tipo Ransomware di cui abbiamo già trattato in passato su questo blog, e come è giusto si consiglia di proteggersi, con buoni antivirus, firewall dorati di sistemi di protezione perimetrali e di analisi del traffico, e buon antivirus anche sul proprio server di posta.

Ovviamente il backup deve essere realizzato con frequenza almeno giornaliera, per non rischiare di perdere troppi dati, e contemporaneamente si consiglia di eseguire un backup in modalità off-line, ovvero su supporto non connesso in rete ed archiviato in un’altra sede.

Il buon Giustozzi, a questo punto però, tende a confondere un poco le cose, e consiglia di effettuare il backup su di un dispositivo removibile (come un disco o un dvd) e di conservarlo off-line (letteramente fuori sede) ad esempio consegnandolo ad un amico o parente.

Ascoltiamo questa parte dell’intervista

Risulta evidente come le due cose – un backup giornaliero e il trasporto fisico del supporto fuori sede –  risultano molto difficili da eseguire e comportano alla fine una effettiva mancanza di backup e di conseguenza una mancanza di sicurezza.

Nella mia esperienza professionale, tutte le volte che questo tipo di soluzione è stata implementata, nelle piccole e medie aziende, si è finiti per dimenticarsi molto spesso il backup quotidiano e si sono generati moltissimi “buchi” nella copia dei dati aziendali.

Inoltre, la grande dimensione dei dati che ogni giorni produciamo nei nostri pc e nelle nostre aziende, rende praticamente impossibile usare come dispositivi di back i dischi DVD, che oltre ad essere ormai in disuso, hanno in media capacità di 4,7 GB.

Quindi non esiste una soluzione?

Come in tutte le problematiche tecniche è prima di tutto molto importante non fare delle eccessive semplificazioni ma conviene analizzare con attenzione le diverse tipologie di informazioni che vogliamo proteggere e confrontarci con i numerosi rischi che possiamo incontrare (vedi l’elenco dei rischi per perdita dati). Esistono soluzioni più adatte verso alcuni rischi ed altre più orientate alla business continuity ed alla necessità di riprendere il lavoro nel minor tempo possibile (consiglio di leggere l‘articolo sul risk management: un caso pratico).

Proviamo a distinguere i vari dati che gestiamo in azienda ed alcune soluzioni al problema del backup

Documenti  di lavoro e dati prodotti dai vari gestionali

Di norma questo tipo di dati sono i più importanti, e sono costituiti dai vari documenti che produciamo con il nostro lavoro ed i vari applicativi, oppure sono connessi ad applicazioni che risiedono sui server dell’azienda. Di norma non sono file molto grandi (se si escludono coloro che operano nelle elaborazioni grafiche, video ed audio che vanno gestiti in una maniera un poco diversa).

Per questo tipo di dati è importante eseguire un backup giornaliero o anche più volte al giorno, e risulta particolarmente importante eseguire un doppio backup di questi dati: uno on-site (presso la sede dell’ufficio) per garantire un veloce ripristino in caso di cancellazione o perdita ed uno off-site (da distinguere da off-line come proposto da Giustozzi) che esegua un backup con una “giusta” frequenza.

Chiariamo due punti importanti

Cosa si intende per off-site: in generale intendiamo off-site una collocazione dei dati che non sia direttamente soggetta ai rischi dal n.7 al numero 12 (vedi tabella dei rischi di perdita dati). Quindi deve trovarsi in una posizione che ne prevenga il furto, il danno da incendio o da crollo dei locali.

Di norma si intende un NAS che si trova in una altra sede, oppure un servizio  di storage o backup sul Cloud. Oggi esistono numerose soluzioni anche economiche per questo tipo di backup e se si dispone di una connessione internet sufficiente è sicuramente un soluzione molto sicura.

Cosa si intende per giusta frequenza di backup: è la frequenza con cui possiamo garantire un backup che non metta a rischio troppe ore di lavoro perso e che possa essere eseguito il più automaticamente possibile, senza interventi manuali.

Non tutti i dati devono avere un backup giornaliero, anzi ci sono moltissimi dati che vengono conservato in archivio ma non subiscono aggiornamenti per anni, quindi è possibile organizzare un backup che metta al sicuro questi dati senza trovarsi centinaia di GigaByte da archiviare ogni giorno.

Nella sua intervista, l’esperto di sicurezza informatica fa un’altra imprecisione quando parla di backup su server; il rischio di perdere dati sulla copia di backup da parte del virus CryptoLocker è reale solo se il backup viene eseguito in modo insicuro e non utilizzando software di backup come ARCserve che possono eseguire il backup su di un volume di un NAS che risulta però inaccessibile ai client in rete. Questo piccolo accorgimento rende i dati sicuri da attacchi informatici anche se sono on-site. Anche quando si utilizza un NAS come backup di Time Machine per Apple, il volume non è visibile all’utente e risulta pertanto al sicuro da eventuali virus che operino sul Mac.

Ma come faccio se ho troppi TB di dati e non ho una linea veloce?

In questi casi esistono soluzioni per il backup off-line che hanno una velocità e capienza molto maggiore dei DVD: noi ad esempio consigliamo le unità RDX che sono disponibili in tagli da 500GB fino a 2 TB e possono essere utilizzati in modo “alternato” per garantire un backup continuo on-site ed una copia off-site.

Archivio di Posta

L’archivio di posta elettronica oggi rappresenta nelle aziende uno dei più grandi problemi, con raccolte di messaggi che occupano fino a 50GB di spazio sui pc dell’ufficio.

Anche in questo caso, bisogna valutare caso per caso la soluzione migliore, ma se mi si chiedesse di identificare una panacea che possa valere come soluzione per la grande maggioranza dei casi, io consiglio di passare la propria posta su di un servizio Pro di posta online: noi consigliamo Google Apps for Work o Microsoft Office 365.

La posta elettronica risiede su internet in origine e quindi è molto conveniente mantenere sul server originale tutti i messaggi che si intende conservare: entrambi i servizi offrono quantità di memoria espandibile (a partire da 30GB a casella) e servizi di retention dei messaggi che garantiscono da cancellazioni accidentali o dolose.

Per alcuni clienti, poi, consigliamo di creare un archivio annuale dei messaggi che può essere conservato off-line su DVD o altro supporto a solo scrittura (esistono anche dei supporti RDX-WORM che permettono la scrittura senza cancellazione, utili per la conservazione digitale sostitutiva dei documenti).

Foto, video e Musica

Spesso, anche sul lavoro, i nostri dischi sono pieni al 75% di questo tipo di documenti, che ovviamente non è opportuno caricare sul backup aziendale. Anche per questo tipo di dati esistono soluzioni online (Google Photo recentemente offre un archivio delle proprie foto e video online e da tempo Apple offre un servizio simile per Musica e Foto su iCloud).

Questi sono dati che conviene ogni tanto (anche solo una volta al mese) copiare a mano su di un disco esterno, anche economico, e tenere in un cassetto al sicuro da virus e danni accidentali: il peggio che potrà succedere è la perdita di qualche foto e qualche canzone dell’ultimo mese.

Molto importante: ricordarsi di verificare l’efficacia del proprio backup almeno ogni 3 mesi

L’ormai compianto DPS (Documento Programmatico della Sicurezza) scaturito dalla Legge 196/2003 su Privacy e Sicurezza Informatica, oggi è stato completamente soppiantato dalle discussioni sulla Cookie Law .

In realtà uno degli scopi principali del DPS è proprio di definire una giusta procedura  per l’esecuzione dei backup ed una periodica verifica dello stato di salute del backup stesso. Se non verifichiamo, o facciamo verifica ad un tecnico qualificato, se il nostro backup viene eseguito regolarmente e con successo, l’intero sforzo fatto fino ad ora è inutile e molto rischioso.


In sintesi

La sicurezza informatica ed il backup va affrontata con una giusta preparazione ed un’analisi delle casistiche che ogni singolo caso comporta. L’utilizzo di soluzioni diverse per le diverse tipologie di dati può rendere l’intera procedura molto più sicura, affidabile e meno costosa.

Richiedi un’analisi gratuita dalla tua attuale procedura di backup da parte di un nostro Security Manager