Het begon als een Reddit-post in 2011: World Backup Day. Op elke 31 maart wordt het belang van een back-up opnieuw aangestipt, zowel voor individuen als organisaties. Maar het hebben van een back-up is niet genoeg, weet Hans Ten Hove, Area Vice President Continentel Europe bij Kaseya.
De noodzaak voor een dag als deze is duidelijk, meent Ten Hove. Hij concludeert dat organisaties zich veel te weinig bezighouden met back-ups maar misschien nog meer met herstel. En net zo belangrijk: of hun back-ups, als men die heeft, wel werken. Aangezien ransomware-aanvallen het in 98 procent van de gevallen gemunt heeft op back-ups, is het beschermen van deze digitale dekking van cruciaal belang. Ook dit is niet genoeg om een vinkje achter je back-upstrategie te hebben; wat als je back-up niet werkelijk alles herstelt? “Meer dan de helft van alle back-ups werkt niet,” vertelt Ten Hove.
Lees ook: Laat je voortbestaan niet afhangen van een back-up
Back-ups testen
Vooropgesteld: een back-up beschermt je niet tegen downtime. We hebben eerder al uitgebreid met Ten Hove gesproken over het belang van business continuity, dat veel verder gaat dan een kopie van je data. Zo wil je downtime voorkomen. Dat vereist een oplossing om direct op over te kunnen schakelen als het gebruikelijke systeem eruit ligt. Overigens hoeft dat helemaal niet om ransomware te gaan: ook een systeemuitval kan een organisatie dagen kosten.
Zo vertelde de tandarts van Ten Hove onlangs aan hem dat men een server op locatie had, maar zich daar niet al te veel zorgen om maakte. “Wie moet ons nou hebben”, was de uitspraak, eentje die veel voorkomt onder mkb’ers. “Juist deze soort klanten is interessant voor ransomware. Als er 10.000 euro van je geëist wordt, heeft de politie niet de capaciteit om je te helpen en haal je ook de krant niet, het komt al vaak voor. Als aanvaller kun je beter honderd kleinere bedrijven platleggen dan één grote onderneming.” Hackers maken ook geen onderscheid tussen grote en kleine slachtoffers, dus obscuriteit is geen excuus.
Het heeft daarnaast geen zin om te vertrouwen op de betrouwbaarheid van de public cloud. Ten Hove: “Men denkt, de data staat daar veilig, dat is toch al geback-upt? Dat is beide niet waar. Je bent er zelf als gebruiker verantwoordelijk voor om een goede back-up te hebben en een goede security-oplossing te regelen.” Dit is af te nemen via MSP’s, maar “niet iets dat de gemiddelde Nederlander weet”.
Een praktisch voorbeeld: Microsoft 365 in Azure
Stel dat je je data in de cloud bewaart, dan moet je vertrouwen op een externe oplossing voor je back-ups. “Een cloudoplossing is niets anders dan de computer van een ander”, stelt Ten Hove. Net als op je eigen systemen ben je zelf verantwoordelijk voor je herstelmogelijkheden. Eén daarvan wordt aangeboden door Kaseya. Daar is te kiezen voor dienst genaamd SaaS Protection, die de data direct in een backup naar de Kaseya-cloud zet. Hier worden je gegevens versleuteld bewaard. “Mocht er iets misgaan in je Microsoft365-instance, dan herstel je vanuit onze cloud.” Zo kan je organisatie meteen verder werken met deze herstelde data, die drie maal per dag wordt gemaakt. Retentie kun je afspreken met je MSP van 1 jaar tot oneindig.
Om terug te komen bij de tandarts: daar is sprake van een lokale server, iets dat tevens regelmatig het geval is bij bijvoorbeeld industriële partijen. Gezien de grote omvang van de data en/of performance is het soms beter om voor lokale opslag te kiezen. Kaseya kan hier een machine naast zetten. Deze maakt elke 15 minuten, elk uur of elke dag (naar wens) een complete image based backup. Vervolgens wordt deze data in versleutelde vorm bewaard in een datacenter in Duitsland. Desgewenst is er nog een kopie te maken naar een datacenterlocatie in IJsland. Eigenlijk staat de data hierdoor op vier plekken: je eigen apparaat, de back-upmachine en in twee cloud instances. Daarbovenop: de Kaseya-oplossing wordt niet in het netwerk gezien. “Een hacker kan het dus niet verwijderen”, licht Ten Hove toe.
Organisaties die getroffen worden, kunnen gewoon doorwerken op de extra locaties. Dat is verre van de norm. Zo weet Ten Hove dat MSP-klanten soms schrikken van de hersteltijd als de back-updata vanuit het datacenter ingezet moet worden. “Dat kan soms wel weken duren.”
NIS2: niet te onderschatten
Ten Hove acht het een goede zaak dat de NIS2-wetgeving organisaties tot een volwassen business continuity-strategie dwingt. Het aantal bedrijven dat hieronder valt, moet niet onderschat worden. NIS2-plichtige organisaties hebben wellicht 100 leveranciers, waarvan er een aantal van groot genoeg belang zijn om het voortleven van de kritieke infrastructuur te bepalen. Dus ook díé partijen moeten aan de slag met back-up (-planning) en meer.
“Ondanks dat veel bedrijven denken of zeggen dat ze niet onder NIS2 vallen, is de kans groot dat je grote klanten meer weerbaarheid gaan verwachten,” aldus Ten Hove. Dit is niet alleen belangrijk als verplichting, maar ook voor het welzijn van je organisatie. Vele kleinere partijen zijn gevrijwaard van de NIS2-wetgeving omdat ze minder dan 10 miljoen per jaar omzetten en minder dan 50 medewerkers bevatten. Maar wat als je grootste klant, waar je het merendeel van je omzet uit haalt, wél tot de NIS2-wetgeving verplicht is? En waarvoor jij geldt als een cruciale leverancier? Dan geldt de ketenzorgplicht, waar ruim 50.000 mkb-bedrijven onder vallen. Wie toevallig niet in dat rijtje zit, moet zich alsnog afvragen of de geest van de wet ook op hen slaat.
Ten Hove merkt op dat MSP’s, die deze mkb-bedrijven bedienen, hierin een grote rol te spelen hebben. Zij moeten volgens hem voorlichtend optreden en oplossingen adviseren. “Er is een onderschatting van de impact van NIS2.” Die onevenredige afhankelijkheid van sommige grote NIS2-plichtige klanten kan je organisatie van 5 man zomaar omverwerpen als je geen betrouwbare back-ups hebt. Dat wordt ook een voorwaarde van grote klanten, zegt Ten Hove.
Er is wel progressie. Zo communiceert het project Samen Digitaal Veilig via brancheverenigingen met al hun leden om ze alert te maken op NIS2. Daarin zit een tweesplitsing tussen NIS2-entiteiten en mkb-bedrijven als leveranciers. Eerstgenoemde partijen móéten hun toeleveringsketen controleren op cyberveiligheidsvlak en de mkb’ers hebben te voldoen aan de aanstormende eisen. Eén van de doelstellingen is om mkb-bedrijven aan te sporen tot contact met hun MSP, merkt Ten Hove op. Daar kunnen harde vragen gesteld worden over de back-upkwaliteit met soms verrassende antwoorden, zowel goed als slecht. “Ik denk dat praktisch geen enkele MSP of mkb-bedrijf aan NIS2 uitkomt.” Maar, wellicht belangrijker: “NIS2 is maar een wet. De beweegreden erachter is al de call to action. Mensen moeten minder over de wet praten, en meer over waarom die wet er is.”
Met andere woorden: back-uppen, het controleren van back-ups, een veiligheidscheck bij MSP’s, klanten en leveranciers… het is een aardig lijstje om aan te voldoen, maar daar blijft het niet bij. Op World Backup Day is het dus van belang juist verder te kijken dan alleen de back-ups zelf. Anders blijken al je goede bedoelingen wellicht niet genoeg om je back-up te laten werken. Het einddoel, de geest van de wet achter NIS2 en de opsomming van best practices voor cybersecurity, is om je voortbestaan als organisatie te garanderen.