Backup immutable – czym jest nienaruszalna kopia zapasowa i dlaczego ransomware jej nie pokona?

Dlaczego klasyczny backup nie wystarczy – liczby, które nie kłamią

Według danych firmy Veeam, 96 procent ataków ransomware jest wymierzonych jednocześnie w systemy produkcyjne i kopie zapasowe. Ponad 76 procent ataków na systemy backupu okazuje się skuteczna. Wynika z tego prosta matematyka: firma, która posiada backup w tej samej sieci co środowisko produkcyjne, traci go w tym samym ataku co dane.

Raport IBM Cost of a Data Breach wskazuje, że średni koszt naruszenia danych w Europie przekroczył 4,5 miliona dolarów. Dla polskiego MSP nawet procent tej kwoty oznacza poważne problemy.

Backup, który może być zmodyfikowany lub usunięty przez atakującego, nie jest strategią odtworzeniową – jest iluzją bezpieczeństwa. Odpowiedzią jest backup immutable – nienaruszalna kopia zapasowa, której nie można zmodyfikować ani usunąć przez z góry zdefiniowany czas nawet przez administratora systemu.

Czym jest backup immutable – mechanizm WORM

Immutable backup (niezmienialny, nienaruszalny) to kopia zapasowa zapisana w modelu WORM (Write Once, Read Many). Dane po zapisaniu nie mogą być modyfikowane ani usuwane przez czas trwania blokady (retention lock), która może wynosić 7 dni, 30 dni, rok lub dłużej. Nawet konto z uprawnieniami root nie może usunąć danych w trakcie blokady. Po upływie okresu retencji blokada wygasa i dane można usunąć zgodnie z polityką zarządzania kopiami.

Jak ransomware atakuje backup – schemat krok po kroku

1. Wejście do sieci – phishing, przejęte konto VPN, podatna usługa. Pierwsza linia obrony to ochrona endpoint EDR/XDR.
2. Rozpoznanie (tygodnie) – atakujący eksploruje sieć, identyfikuje systemy backupu i kontrolery domeny.
3. Eskalacja uprawnień – przejęcie kont administratorskich. System PAM ogranicza dostęp do tych kont nawet gdy inne są skompromitowane.
4. Zniszczenie backupu – usunięcie lub zaszyfrowanie kopii zapasowych. Z immutable backup ten krok jest niemożliwy.
5. Detonacja ransomware – szyfrowanie produkcji. Firma bez punktu odtworzenia staje przed decyzją: płacić lub zaczynać od zera.

Ochrona kont administratorskich to osobna warstwa bezpieczeństwa – system PAM Senhasegura uniemożliwia atakującemu przejęcie kont zarządzających backupem nawet po eskalacji uprawnień w domenie.

Zasada 3-2-1-1-0 – aktualny standard backupu dla firm

3 kopie danych, 2 różne nośniki, 1 kopia offsite (poza siedzibą), 1 kopia immutable (WORM lub air-gap), 0 błędów – każda kopia jest regularnie testowana i wynik testu potwierdzony.

Ten ostatni element – zero błędów – jest najczęściej pomijanym, a jednocześnie najważniejszym. Backup, który nigdy nie był testowany, to backup o nieznanej skuteczności. W praktyce: przeprowadź testowe odtworzenie wybranego pliku lub maszyny wirtualnej przynajmniej raz na kwartał i udokumentuj wynik.

Ważny niuans: RTO (Recovery Time Objective, czas odtworzenia) i RPO (Recovery Point Objective, punkt odtworzenia) to wskaźniki, które firmy często deklarują na papierze, ale nigdy nie sprawdzają w praktyce. Zapytaj o audyt cyberbezpieczeństwa i strategii backupu – sprawdzimy Twój obecny stan ochrony danych.

Gdzie przechowywać nienaruszalne kopie – trzy opcje

Chmura z Object Lock (Amazon S3, Azure, Backblaze B2)

Dane zapisane w bucketcie z Object Lock nie mogą być skasowane ani zmienione przez właściciela konta przed upływem blokady. Fizycznie oddzielone od infrastruktury firmowej – nawet pełna kompromitacja środowiska on-premise nie dosięgnie chmurowej kopii. Koszt: kilka groszy za GB miesięcznie, dla kilku TB to 100–400 zł miesięcznie.

NAS z immutable WORM

Modele NAS QNAP z QuTS hero i Synology z Immutable Snapshots pozwalają tworzyć foldery WORM lokalnie. Dane są nienaruszalne, bez konieczności wysyłania ich do chmury. Ważne: NAS z WORM powinien być w osobnej sieci VLAN z ograniczonym dostępem – nie podpięty do tej samej domeny co środowisko produkcyjne.

Taśmy magnetyczne LTO – fizyczny air-gap

Taśma wyjęta z napędu i odłożona do sejfu jest całkowicie odizolowana od sieci. Ransomware nie może zaszyfrować danych, do których nie ma dostępu sieciowego. Rozwiązania taśmowe Qualstar LTO dostępne w ofercie TI stanowią najsilniejszą formę air-gap dostępną dla firm.

Porównanie: klasyczny backup vs immutable

Plan wdrożenia backup immutable – 30 dni

6. Dni 1–7: Audyt istniejącego backupu. Gdzie są kopie? Kto ma do nich dostęp? Czy są w tej samej sieci co produkcja? Czy były testowane?
7. Dni 8–14: Wybór rozwiązania WORM – chmura (Object Lock), NAS (QuTS hero / Synology Immutable Snapshots) lub taśmy LTO.
8. Dni 15–21: Konfiguracja polityki retencji (minimum 30 dni, dla danych krytycznych 90 dni). Separacja kont: repozytorium backupu niedostępne przez konto domenowe produkcji.
9. Dni 22–28: Pierwsze testowe odtworzenie w izolowanym środowisku. Dokumentacja wyników (RTO/RPO).
10. Dzień 30+: Regularny kwartalny test odtworzenia wpisany w kalendarz jako stały obowiązek.

Podsumowanie

Backup immutable to nie opcja – to konieczność w 2026 roku. Zasada 3-2-1-1-0 z co najmniej jedną kopią immutable i regularnym testowaniem jest dzisiaj minimalnym standardem. Technologie Internetowe oferują rozwiązania backupu, w tym sprzęt NAS z obsługą WORM i biblioteki taśmowe Qualstar LTO. Uzupełnij o audyt cyberbezpieczeństwa i ochronę endpoint EDR. Skontaktuj się z nami.