Polityka kopii zapasowych w małej firmie: 3-2-1, testy odtwarzania i plan po incydencie

Backup to nie aplikacja, tylko proces. Na starcie firmy zwykle „jakoś działa” zrzut bazy danych, eksport plików albo zsynchronizowany folder w chmurze. Problem pojawia się w dniu kryzysu: awaria dysku, błąd aktualizacji, ransomware, przypadkowe skasowanie katalogu z projektami, utrata laptopa w podróży. Dobrze opisana i wdrożona polityka kopii zapasowych to różnica między krótką przerwą a paraliżem na wiele tygodni. Poniżej znajdziesz praktyczny, prosty do wdrożenia szkielet polityki dla mikro i małych firm — z priorytetem na skuteczność, powtarzalność i niskie koszty.

1. Ewidencja danych: co chronisz i z jakim priorytetem

Zanim kupisz dysk lub subskrypcję, spisz katalog danych. Podziel zasoby na kategorie: (a) krytyczne dla przychodów (system sprzedaży, księgowość, CRM, projekty klientów, repozytoria kodu), (b) operacyjne (poczta, dokumenty wewnętrzne, grafika), (c) wygodne do posiadania (archiwa, materiały marketingowe). Każdej kategorii przypisz RTO (maksymalny dopuszczalny czas niedostępności) i RPO (ile danych możesz utracić — np. 4 godziny). Te dwie liczby determinują architekturę backupu, częstotliwość i koszty.

2. Architektura 3-2-1 (i jej współczesne odmiany)

Klasyczna zasada: 3 kopie danych, na 2 różnych nośnikach/rodzajach mediów, z 1 kopią off-site. W praktyce dla małej firmy:

• Kopia lokalna (np. NAS lub dysk USB) – szybkie przywracanie dużych wolumenów.
• Kopia w chmurze – inny dostawca niż produkcja; chroni przed pożarem, zalaniem, kradzieżą.
• Kopia odłączana/offline – rotowany zaszyfrowany nośnik (air-gap) przechowywany poza biurem.

Warto rozważyć wariant 3-2-1-1-0: dodatkowa kopia niezmienialna (WORM/immutability) i „zero błędów” w cotygodniowym teście weryfikacji spójności. To realna tarcza przeciw ransomware oraz cichym błędom logicznym (np. nadpisanie plików z błędnymi danymi).

3. Co i jak często backupować (strategie i harmonogram)

Nie wszystkie dane wymagają tej samej częstotliwości:

• Bazy transakcyjne (sprzedaż, faktury, system księgowy): zrzuty co godzinę przyrostowo + pełna kopia każdej nocy.
• Pliki projektowe / repozytoria: przyrostowo codziennie + pełna tygodniowo; dla GIT polegaj na zdalnych mirrorach i snapshotach.
• Poczta i SaaS (M365/Google Workspace, CRM online): dedykowany backup SaaS (nie myl z „koszem” lub wersjonowaniem dostawcy); przyrostowo codziennie.
• Maszyny/serwery: obrazy systemów (bare-metal lub VM snapshots) tygodniowo + przed każdą istotną aktualizacją.

Ustal retencję: np. wersje dzienne przechowuj 30 dni, tygodniowe 12 tygodni, miesięczne 12 miesięcy, roczne 5–7 lat dla danych księgowych. Retencję dopasuj do prawa, branży i kosztów magazynu.

4. Backup SaaS: dlaczego „w chmurze” to wciąż Twoja odpowiedzialność

Dostawcy SaaS zwykle zapewniają dostępność usługi, ale nie zawsze gwarantują przywrócenie Twoich indywidualnych danych po błędnym usunięciu, sabotażu użytkownika czy złośliwym oprogramowaniu. Dlatego dla narzędzi takich jak poczta, dysk, CRM czy PM rozważ zewnętrzny backup (API-based), który tworzy własny, niezależny magazyn wersji i pozwala odtwarzać pojedyncze elementy (wiadomości, pliki, rekordy).

5. Bezpieczeństwo kopii: szyfrowanie, dostęp, klucze

Kopie, które można ukraść lub zaszyfrować razem z produkcją, nie są kopią bezpieczeństwa. Zasady minimum:

• Szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS), najlepiej z własnym kluczem (KMS) albo przynajmniej oddzielnym od produkcji.
• MFA do paneli backupu i magazynów chmurowych; osobne konta serwisowe o minimalnych uprawnieniach.
• Odłączne kopie offline/air-gap (np. rotowane dyski USB/NAS z immutability), których nie „dotknie” ransomware.
• Segmentacja: dostęp do backupów tylko z zaufanych sieci/hostów; brak „wspólnego” hasła administratora.

6. Testy odtwarzania: bez nich backup to tylko nadzieja

Co miesiąc wykonuj próbę odtwarzania losowo wybranego zestawu: plików, bazy, skrzynki, maszyny. Mierz:

• czas odtworzenia (czy mieścisz się w RTO),
• punkt odtwarzania (czy zgadzasz się z RPO),
• spójność danych (sumy kontrolne, integralność bazy),
• procedury — czy instrukcja jest kompletna i zrozumiała „dla człowieka z zewnątrz”.

Raz na kwartał przeprowadź pełną próbę: odtwórz krytyczny system „na zimno” na alternatywnej infrastrukturze (np. na laptopie IT, w innej chmurze lub na zapasowej VM). Zapisuj wyniki i wnioski — to żywy dokument.

7. Playbook po incydencie: od wykrycia do „zielonego światła”

Krótka procedura (maks. dwie strony) powinna zawierać:

1. Detekcja: kto i czym potwierdza incydent (alerty AV/EDR, logi, zgłoszenie pracownika).
2. Izolacja: odłączenie zainfekowanych hostów, zawieszenie kont, weryfikacja integralności backupów.
3. Decyzja o odtwarzaniu: wybór punktu odtworzenia, priorytet usług (kolejność przywracania).
4. Komunikacja: gotowe szablony do klientów/partnerów, informacja o przewidywanym czasie przywrócenia.
5. Weryfikacja: test powdrożeniowy, kontrola logów, dodatkowe skanowanie.
6. Retrospektywa: lista przyczyn, poprawek i zmian w polityce.

8. Rola ludzi: odpowiedzialności, zastępowalność, minimalna biurokracja

W małej firmie jedna osoba często „robi IT”. Zadbaj o zastępowalność: drugi pracownik zna podstawowe kroki, ma dostęp awaryjny do menedżera haseł i wie, gdzie leżą nośniki offline. Ustal kalendarium (kto, kiedy sprawdza czy backup „zszedł”, kto realizuje testy miesięczne i kwartalne). Polityka ma być krótka i zrozumiała: 2–3 strony + checklisty.

9. Koszty i kalkulacja TCO: jak nie przepłacić

Zsumuj: (a) magazyn danych (on-prem i chmura), (b) transfer, (c) licencje agenta/oprogramowania, (d) czas ludzi na testy i administrację, (e) nośniki offline (rotacja co 12–24 mies.). Pamiętaj o koszcie przywracania (czas przestoju × wartość godziny pracy + utracony obrót). Niska cena backupu, który odtwarza się 3 dni, może być pozorna.

10. Metryki, które mają sens

• RTO rzeczywiste (z testów) vs. założone.
• RPO rzeczywiste (z najświeższej dostępnej wersji) vs. założone.
• Odsetek udanych testów w miesiącu/kwartale (cel: 100%).
• Wiek najstarszej kopii offline i liczba punktów odtworzenia.
• Średni czas wykrycia incydentu (MTTD) i odtworzenia (MTTR).

11. Najczęstsze błędy (i szybkie remedia)

• „Backup” = ten sam dysk/NAS co produkcja → Rozdziel magazyny i uprawnienia, dodaj kopię off-site.
• Brak testów odtwarzania → Ustal kalendarz i KPI, dokumentuj wyniki.
• Zaufanie wersjonowaniu w chmurze = backup → Wprowadź niezależne kopie (inny dostawca/region, immutability).
• Brak MFA/do backupu ma dostęp „każdy admin” → MFA i zasada najmniejszych uprawnień.
• Brak kopii offline/air-gap → Rotowane, szyfrowane nośniki poza biurem.

12. Plan wdrożenia na 7 dni

Dzień 1: inwentaryzacja danych, RTO/RPO. Dzień 2: wybór narzędzi, konfiguracja lokalnej kopii. Dzień 3: kopia w chmurze u innego dostawcy; test transferu i ograniczeń. Dzień 4: polityka retencji, harmonogramy, szyfrowanie, MFA. Dzień 5: uruchomienie kopii offline/immutability; procedura rotacji. Dzień 6: pierwszy test odtwarzania (plik + baza + skrzynka). Dzień 7: playbook po incydencie, przypisanie ról, krótkie szkolenie w zespole.

13. Zgodność prawna i branżowa (w pigułce)

Przetwarzając dane osobowe, zadbaj o podstawy RODO: minimalizacja danych w backupach, szyfrowanie, kontrola dostępu, zasady przywracania, procedury usuwania po upływie retencji. W branżach regulowanych (medyczna, finansowa) sprawdź dodatkowe wymogi co do ciągłości działania, testów i retencji — polityka backupu powinna być z nimi spójna.

Podsumowanie

Skuteczna polityka kopii zapasowych w małej firmie jest prosta: katalog danych + 3-2-1 (+immuty), automatyzacja harmonogramów, co-miesięczne testy odtwarzania i krótki playbook na czarną godzinę. To zestaw praktyk, który można wdrożyć w tydzień i utrzymywać bez etatu administratora. W zamian zyskujesz odporność na najczęstsze katastrofy — i spokojniejszy sen.

Źródła

https://cert.pl/ — CERT Polska: ostrzeżenia, analizy incydentów i praktyczne zalecenia dot. reagowania na ataki (w tym ransomware) oraz odporności organizacji.

https://www.enisa.europa.eu/topics/csirt-cert-services/incident-handling — ENISA: materiały o obsłudze incydentów, od przygotowania po odtwarzanie usług i wnioski po zdarzeniach.

https://www.cisa.gov/sites/default/files/2023-08/StopRansomware-Guide.pdf — CISA „Stop Ransomware Guide”: najlepsze praktyki, w tym kopie niezmienialne/air-gap, segmentacja i przywracanie po ataku.

https://csrc.nist.gov/publications/detail/sp/800-34/rev-1/final — NIST SP 800-34 Rev.1 „Contingency Planning Guide”: ramy planowania ciągłości i odtwarzania systemów IT, metryki RTO/RPO, testy.