Przejdź do treści
Breachroad
Wróć do bloga
Ciągłość działania

Kopie zapasowe: strategia 3-2-1 w praktyce

Backup, którego nikt nie testował, to tylko założenie. Zasada 3-2-1, niezmienne kopie odporne na ransomware i plan odtwarzania, który zadziała.

KR
Karol Rapacz
6 czerwca 2026 · 12 min czytania
Kopie zapasowe: strategia 3-2-1 w praktyce

W reagowaniu na incydenty jest moment prawdy, który dzieli firmy na dwie grupy: „odtwarzamy z kopii” i „musimy negocjować z przestępcami”. O tym, w której grupie wylądujesz, decyduje praca wykonana miesiące wcześniej — architektura kopii zapasowych i to, czy ktokolwiek przećwiczył odtwarzanie. Ten tekst przechodzi przez całość: od klasycznej zasady 3-2-1, przez kopie odporne na ransomware, po plan odtwarzania, który nie istnieje tylko na papierze.

Dlaczego backup to zabezpieczenie ostatniej szansy

Kopie zapasowe chronią przed szerszą klasą zdarzeń niż jakiekolwiek inne zabezpieczenie: ransomware, błąd ludzki (przypadkowe skasowanie, nadpisanie), awaria sprzętu, błąd aktualizacji, sabotaż, pożar czy zalanie serwerowni. Właśnie dlatego atakujący traktują je priorytetowo: nowoczesne grupy ransomware najpierw znajdują i niszczą kopie, a dopiero potem szyfrują produkcję. Architektura backupu musi więc zakładać przeciwnika, który ma uprawnienia administratora domeny — bo w dniu ataku prawdopodobnie będzie je miał.

Zasada 3-2-1 (i jej współczesne rozszerzenie)

Klasyczna formuła pozostaje aktualna:

  • 3 kopie danych — produkcja plus dwie kopie zapasowe,
  • 2 różne nośniki/technologie — np. macierz + chmura, dysk + taśma,
  • 1 kopia poza lokalizacją — inna serwerownia, chmura, fizycznie odseparowane medium.

Współczesne rozszerzenie 3-2-1-1-0 dodaje dwa wymagania, które w erze ransomware robią różnicę:

  • 1 kopia offline lub niezmienna (immutable) — taka, której nie da się zaszyfrować ani skasować nawet z konta administratora: taśma w sejfie, storage z blokadą obiektów (object lock/WORM), snapshoty niemodyfikowalne,
  • 0 błędów weryfikacji — kopie są automatycznie testowane, a odtwarzanie regularnie ćwiczone.

Najczęstszy grzech, który znajdujemy w audytach: wszystkie „trzy kopie” są dostępne z tej samej domeny Windows, tym sami poświadczeniami. Formalnie 3-2-1, praktycznie — jedna kopia z punktu widzenia atakującego.

Niezmienność i separacja: jak to zrobić technicznie

Object lock w chmurze. Repozytorium kopii w S3/Azure/GCS z włączoną blokadą obiektów w trybie compliance: przez zadany czas (np. 30 dni) kopii nie skasuje nikt — ani atakujący, ani administrator, ani dostawca na Twoją prośbę. To dziś najtańsza droga do prawdziwej niezmienności.

Osobna tożsamość. Infrastruktura backupu (serwer, repozytorium, konsola) żyje poza domeną produkcyjną: osobne konta z własnym MFA, osobne stacje dostępowe, brak zaufania z AD. Przejęcie domeny nie może oznaczać przejęcia backupów — to samo myślenie co przy hardeningu Active Directory.

Air gap tam, gdzie się da. Taśmy lub dyski odłączane fizycznie wciąż mają sens dla danych krytycznych — nośnik w sejfie jest odporny na każdy atak sieciowy z definicji.

Szyfrowanie kopii. Kopie zawierają wszystko, więc same są celem kradzieży. Szyfruj je, a klucze trzymaj poza systemem backupu.

Co obejmować kopią (checklist, o której się zapomina)

Serwery i bazy to oczywistość. Regularnie znajdujemy natomiast luki w tych obszarach:

  • Dane SaaS — M365/Google Workspace, CRM, systemy księgowe online. Dostawca zapewnia dostępność usługi, nie odzysk Twoich danych po skasowaniu czy złośliwej akcji — pisaliśmy o tym przy M365.
  • Konfiguracje — urządzenia sieciowe, firewalle, definicje infrastruktury (IaC), konfiguracja samego systemu backupu.
  • Sekrety i klucze — sejf haseł, klucze szyfrujące, tokeny; odtworzenie środowiska bez nich bywa niemożliwe.
  • Stacje kluczowych osób — jeśli dane żyją lokalnie (projektowanie, finanse), a nie tylko na serwerach.
  • Zależności odtworzenia — dokumentacja, licencje, nośniki instalacyjne. Odtwarzanie o 3:00 w nocy to zły moment na szukanie klucza licencyjnego.

Dla każdej kategorii ustal RPO (ile danych możesz stracić — czyli częstotliwość kopii) i RTO (jak szybko musisz wstać — czyli technologię odtwarzania). Sklep internetowy może potrzebować RPO 15 minut dla bazy zamówień i RPO 24 h dla plików — te decyzje powinny zapaść z biznesem, nie w serwerowni.

Testowanie: kopia nietestowana nie istnieje

Trzy poziomy weryfikacji, od automatu po pełne ćwiczenie:

  1. Weryfikacja automatyczna — codzienne sprawdzanie sum kontrolnych i możliwości montowania kopii; alert przy każdym błędzie zadania.
  2. Test odtworzenia próbki — co miesiąc odtworzenie wybranego systemu/bazy do środowiska testowego z pomiarem czasu; rotacyjnie, żeby w rok przejść przez wszystko, co krytyczne.
  3. Ćwiczenie scenariuszowe — raz w roku pełna symulacja: „ransomware zaszyfrował domenę, macie ostatnie kopie — wstańcie”. Mierzone RTO z takiego ćwiczenia to jedyna prawdziwa odpowiedź na pytanie zarządu „ile będziemy leżeć”.

Wyniki testów dokumentuj — to dowód wymagany i przez NIS2, i przez ubezpieczycieli, i przez zdrowy rozsądek.

Odtwarzanie po ransomware: dwie pułapki

Po ataku kopie to skarb, ale odtwarzanie ma haczyki. Po pierwsze, nie odtwarzaj zainfekowanego stanu: atakujący często siedzi w sieci od tygodni, więc kopia sprzed trzech dni może zawierać jego furtki. Potrzebna jest analiza punktu wejścia i odtwarzanie do środowiska czystego lub odizolowanego, z wymianą poświadczeń. Po drugie, zachowaj dowody: nadpisanie wszystkiego „żeby szybko wstać” potrafi zniszczyć materiał potrzebny do ustalenia zakresu wycieku danych — a to ma konsekwencje prawne.

Najczęstsze pytania (FAQ)

Czy synchronizacja do chmury (OneDrive, Dropbox) to backup? Nie. Synchronizacja replikuje także szkody: zaszyfrowany lub skasowany plik natychmiast „synchronizuje się” wszędzie. Wersjonowanie pomaga przy pojedynczych plikach, ale nie zastąpi kopii niezależnej od konta użytkownika — przejęte konto może wyczyścić i dane, i wersje, i kosz.

Jak długo trzymać kopie? Warstwowo: dzienne przez 2–4 tygodnie, tygodniowe przez 2–3 miesiące, miesięczne przez rok, a wybrane roczne — zgodnie z wymogami prawnymi (księgowość!). Długa retencja to też obrona przed atakiem wykrytym późno: jeśli włamanie trwało od miesiąca, kopia sprzed sześciu tygodni bywa bezcenna.

Ile firma powinna wydawać na backup? Punktem odniesienia jest koszt przestoju: policz koszt dnia niedostępności (utracona sprzedaż + praca zespołu + kary umowne) i zestaw z budżetem backupu. Zwykle wychodzi, że niezmienne repozytorium w chmurze i licencje to ułamek kosztu jednej doby przestoju.

Mamy backup „w RAID/replikacji”. Czy to wystarczy? RAID i replikacja chronią przed awarią sprzętu, ale nie przed skasowaniem, ransomware ani błędem — replika posłusznie powieli każdą szkodę. To mechanizmy dostępności, nie kopie zapasowe; potrzebujesz obu.

Kto powinien mieć dostęp do systemu backupu? Jak najmniej osób, z osobnymi kontami i MFA, z logowaniem wszystkich operacji i alertem na usuwanie kopii/zmiany retencji. Rozważ zasadę czterech oczu dla operacji destrukcyjnych. W audycie bezpieczeństwa sprawdzamy właśnie te ścieżki — bo sprawdzi je też atakujący.

Podsumowanie

Dobry backup to architektura (3-2-1-1-0, niezmienność, osobna tożsamość), świadome decyzje biznesowe (RPO/RTO per system) i regularnie ćwiczone odtwarzanie. Taki zestaw zamienia najgorszy scenariusz — ransomware z żądaniem okupu — w mierzalny przestój bez płacenia przestępcom. Chcesz wiedzieć, czy Twoje kopie przetrwałyby kontakt z atakującym, który ma admina domeny? Sprawdzimy to w ramach audytu — łącznie z testem odtworzenia. Napisz do nas.

Udostępnij artykuł

Usługi Umów konsultację