Nella mia esperienza professionale tutti i client colpiti da un’infezione ransomware che hanno potuto permettersi di non pagare (notate che non ho detto “che hanno potuto permettersi di pagare”ma “NON pagare”) sono quelle che hanno potuto ripristinare velocemente i loro dati da una copia di backup funzionante.
Si può quindi essere tutti d’accordo nell’affermare che il backup è come il portiere di una squadra di calcio:
quando tutto il resto non è servito rimane solo lui e da lui dipende se subiremo la rete della sconfitta o no.
Il problema non è quindi convincerci dell’importanza di avere un backup (dovrebbe essere obbligatorio per legge come l’assicurazione dell’auto) ma è domandarsi come sia funzionale ricorrere al ripristino dei dati da un backup in caso di necessità
Nessuno infatti fa backup giusto per poterlo raccontare agli amici. Si fa backup di un dato (o di un intero file server aziendale) per poter fare, in caso di necessità, un ripristino (in inglese restore).
Quando si parla di backup bisogna prendere in considerazione alcuni fattori che ne influenzano grandemente l’efficacia:
- RPO (Recovery Point Objective)
- RTO (Recovery Time Objective)
Con RPO intendiamo “quanto indietro nel tempo possiamo andare”. Cioè se mi accorgo di avere “preso” un ransomware il 31 di gennaio fin quando posso andare indietro per ripristinare i dati (quand’è il backup più vecchio a cui posso attingere?). Questo è particolarmente importante perché – spesso – un ransomware non si manifesta immediatamente ma dopo alcuni giorni. È quindi importante poter tornare ad un punto in cui i dati era ancora puliti, per evitare di ripristinare dei dati che contengono ancora l’eseguibile del ransomware nascosto da qualche parte. A tal proposito mi viene in mente un mio conoscente che ha dovuto pagare il riscatto del ransomware per i suo provider di server in cloud gli dava a disposizione solo 1 giorno (giorni UNO) di backup.
Con RTO invece si vuole porre l’attenzione sul tempo necessario per portare a termine la procedura di restore.
Supponiamo infatti che un ransomware abbia completamente bloccato il file server dell’azienda ed il server su cui gira il gestionale.
Ce ne accorgiamo il lunedì mattina ed il nostro consulente IT inizia subito a mettersi al lavoro. Il file server è ancora “buono” come sistema operativo e dobbiamo “solo” recuperare il contenuto del file server che è di circa 1TB. Considerando 1GB/minuto una buona velocità di restore si calcola che ci metteremo circa 17 ore per ripristinare il contenuto del file server!
Nel frattempo proviamo ad accedere al server del gestionale e ci accorgiamo che è stata criptata anche la cartella d’installazione del programma e vediamo anche che il backup che è stato fatto è relativo ai soli dati del gestionali (di solito si dice “backuppiamo solo il db”) quindi bisogna procedere alla reinstallazione anche del gestionale prima di tentare il ripristino dei dati. Telefoniamo al fornitore del gestionale che ci dà appuntamento per il martedì mattina (cioè il giorno seguente). Per martedì sera avremo (forse) il gestionale reinstallato e per mercoledì sera i dati ricaricati nel programma. Se tutto va bene giovedì mattina i nostri colleghi potranno tornare ad usare gli strumenti IT che usano quitidianamente. È probabile che giovedì si verifichino problemi di permessi di accesso alle risorse ed ai file, probabili dopo le operazioni prima eseguite.
Venerdì, quindi a fine settimana, torneremo pienamente (o quasi) operativi.
Se poi invece la velocità di restore è di 500MB/minuto (perché i file sono tantissimi e molto piccoli) e la software house del gestionale non può intervenire fino a mercoledì pomeriggio (e giusto perché ci fanno un piacere) ecco che, per tutta la settimana, sui sistemi informativi aziendali si può mettere un cartello con scritto “chiuso per ferie”.
Vorrei far notare che non sto descrivendo uno scenario irrealistico o volutamente appesantito, ma uno scenario fortunato di un’azienda che ha un backup funzionante da cui può fare restore.
Ciò che succede è che la gran parte dei backup sono pensati per garantire un buon RPO e forniscono un buon RTO solo se si tratta di recuperare pochi file o alcune cartelle. Quando invece si deve recuperare un intero server i discorsi cambiano radicalmente.