I ransomware sono un fenomeno relativamente nuovo in cui i dati o i sistemi informatici di un’organizzazione sono tenuti in ostaggio da parte di hacker che chiedono un riscatto per rilasciarli.
Nello scenario tipico gli hacker riescono ad accedere ai sistemi informatici dell’azienda in modalità invisibile e installano malware o criptano i dati sul server, rendendo in pratica le applicazioni dell’organizzazione inutilizzabili. Solo dopo che il riscatto viene pagato, i criminali informatici rilasciano le chiavi di crittografia e permettono all’organizzazione di riottenere l’accesso ai propri dati.
Esistono ovviamente diversi modi per prevenire o ridurre al minimo le intrusioni ma gli esperti ritengono che, se un attacco dovesse comunque verificarsi, i backup possono essere un buon sistema per recuperare i dati sottratti senza dover cedere al ricatto degli hacker. Il tutto senza dimenticare che una corretta strategia di rilevazione e prevenzione degli attacchi è il primo passo per fare sì che l’ambiente IT aziendale non incorra in questi pericoli.
Recovery Time Objective e Recovery Point Objective
I backup vengono solitamente eseguiti per consentire di recuperare lo stato in cui applicazioni o singoli file si trovavano prima di un’eventuale modifica intenzionale o accidentale. Per esempio è possibile eseguire una copia di un sistema di posta elettronica dopo una giornata di lavoro o sottoporre a backup frequenti alcune applicazioni per ottenere un recupero veloce di dati il più aggiornati possibili. I professionisti IT predispongono la frequenza e le modalità di duplicazione dei dati in base ai paramentri di Recovery Time Objective (RTO) e Recovery Point Objective (RPO) definiti insieme al proprietario dell’applicazione nell’ambito delle politiche di disaster recovery. Proprio grazie a questa funzione che permette di ripristinare lo stato antecedente di un sistema informatico, il backup viene visto dagli esperti anche come un sistema utile per recuperare dati sottratti da un attacco hacker.
Utilizzare i backup per recuperare i dati
Gli esperti fanno notare che non tutti i regimi di backup sono in grado di recuperare tutte le informazioni perdute in in modo tempestivo, ma in una strategia di protezione dei dati può essere comunque necessario implementare un processo in grado di affrontare backup più frequenti (da integrare con le funzionalità di storage o con l’hypervisor). Se si decide di implementare i backup specificamente per recuperare i dati in caso di attacchi ransomware, gli esperti raccomandano di considerare due aspetti:
- Come recuperare l’intera applicazione o la gamma di applicazioni?
- Quanto spesso devono essere effettuati i backup, nell’ambito di Service Level Agreement accettabili, se l’intera applicazione deve essere riportata a un punto di ripristino precedente? (Il proprietario dell’applicazione, infatti, potrebbe avere diverse opinioni in merito al recupero dei dati, quando quest’ultimo interessa l’intera applicazione)