Geen enkel medium biedt honderd procent bescherming voor je data, ook de publieke cloud niet. Back-ups maken is in elke situatie noodzakelijk, maar wordt toch nog vaak vergeten.
Dataopslag is in het laatste decennium flink veranderd. Het klinkt bijna archaïsch om vandaag te moeten zeggen dat je bedrijfsdata op harde schijven of tapes bewaard staan. Bedrijven die mee willen zijn met hun tijd, brengen gegevens onder in de cloud. De cloud heeft zo de (onterechte) reputatie gekregen onoverwinnelijk te zijn. Het kan daarom nooit kwaad om deze boodschap nog eens te herhalen: maak back-ups van je data, ook als die in de cloud staan.
Lees de kleine lettertjes
Waar de doorsnee cloudprovider zijn zaakjes wel goed op orde heeft, kan het noodlot altijd toeslaan. Brand of waterschade in een datacenter, cyberaanvallen of gewoon een technische storing bij een provider kunnen gepaard gaan met onherstelbaar dataverlies voor de klant. Eigen back-ups maken voegt een extra laag beveiliging toe aan de cloud.
“Deze laag wordt nog al te vaak vergeten omdat bedrijven te laat beseffen dat het noodzakelijk is” zegt Michael Cade, Global Field CTO Cloud-Native Product Strategy bij back-upspecialist Veeam. “Het is een veel voorkomende misvatting: alles staat in de publieke cloud, dus de data zijn veilig. Back-ups komen daardoor vaak onderaan de lijst met prioriteiten te staan. De infrastructuur om je data te beveiligen wordt wel voorzien door providers, maar uiteindelijk draag je zelf de verantwoordelijk voor je data”.
Dit staat vaak gewoon in de kleine lettertjes van je cloudcontract. Microsoft bijvoorbeeld zegt zwart op wit in de gebruiksovereenkomst voor zijn 365-diensten dat ‘alle online diensten af en toe onverwachte storingen kunnen ondervinden’ en dat het ‘niet aansprakelijk is voor enige onderbreking of verlies dat u als gevolg daarvan kunt lijden’. Ben je je gegevens kwijt, moet je dus niet bij je provider komen aankloppen: jouw data zijn jouw verantwoordelijkheid.
Het is een veel voorkomende misvatting: alles staat in de cloud, dus mijn data zijn veilig. Uiteindelijk draag je zelf de verantwoordelijk voor je data.
Michael Cade, Veeam
Wat weg is, is niet gezien
Er zijn bepaalde situaties waarin bestanden uit de cloud kunnen ‘verdwijnen’. Recent maakten Google Drive-gebruikers nog mee dat bestanden van de ene op de andere dag verwijderd waren door een bug in de clouddienst. In deze, gelukkig zeldzame, gevallen zijn de herstelopties in Microsoft 365 en Google Drive eerder beperkt. Zijn er geen eerder opgeslagen versies beschikbaar of zit je opslagruimte bijna vol, bieden de clouddiensten geen garantie dat je alle verdwenen bestanden opnieuw kan herstellen.
De fout kan natuurlijk ook bij jezelf liggen. Verwijder je een bestand uit OneDrive of Google Drive, dan gaan Microsoft en Google dat natuurlijk niet eeuwig voor je bijhouden. Google maakt iedere dertig dagen je virtuele prullenmand leeg, Microsoft houdt deze 93 dagen bij voor zakelijke gebruikers (zolang je opslaglimiet niet bereikt wordt). Dit is helemaal anders in de Windows-prullenbak: hier kunnen de geesten van bestanden waarvan je dacht dat je ze verwijderd had, nog jarenlang blijven rondspoken. Maak er dus ook een gewoonte van om af en toe de vuilniszakken buiten te zetten in Windows.
Een andere manier waarop je bestanden kan verliezen, is wanneer je van clouddienst wisselt of je je abonnement niet tijdig verlengt. Microsoft en Google zijn gelukkig niet de kwaadste en zullen je gegevens niet onmiddellijk na afloop van het abonnement al definitief verwijderen. In totaal krijg je negentig dagen de tijd om alle gegevens mee over te zetten.
Warm of koud
Clouddiensten zoals Microsoft 365 hebben wel degelijk hun troeven om data en bestanden te bewaren. Het gemak dat de cloud biedt, is dat gegevens altijd beschikbaar zijn, zolang je over een degelijke internetverbinding beschikt, en de toegang ertoe eenvoudig beheerd kan worden. Bewerkingen worden in real-time gesynchroniseerd zodat iedereen met wie het bestand gedeeld is over een actuele kopie beschikt. Dat maakt de cloud vooral een geliefkoosde locatie voor ‘warme’ gegevens die actief in gebruik zijn.
Cade waarschuwt echter dat ook ‘koude’ gegevens niet verwaarloosd mogen worden. “Van oudsher komt in publieke clouds beschikbaarheid vóór herstel, om te garanderen dat gegevens altijd beschikbaar zijn. Jammer genoeg staan veel organisaties hier pas bij stil wanneer blijkt dat het niet mogelijk is om gegevens te herstellen die ‘helemaal nog niet zo oud zijn’. Je moet voor ogen houden dat het moeilijk tot zelfs onmogelijk is om terug te halen wat eenmaal verloren is gegaan.”
Het is dus even belangrijk om back-ups te maken van je warme gegevens dan van je koude gegevens, al hangt wat het geschikte medium is af van het type gegevens. Warme back-ups moeten aan de lopende band bijgewerkt worden om actueel te blijven en zullen daardoor meestal op een online drager staan. Voor koude back-ups bieden fysieke dragers vaak nog een zeer kostenefficiënte oplossing, tapes blijken nog steeds een populair medium te zijn, al zijn er ook clouddiensten die met dit doel voor ogen ontwikkeld zijn.
In 3-2-1 naar de perfecte back-ups
Cloudopslag is een deel van de back-uppuzzel, maar ook niet meer dan dat. Ter afsluiting herhalen we nog eens de gouden back-upregel die iedere IT-gebruiker zich in de oren moet knopen: 3-2-1. Dat betekent drie verschillende versies van je data, op minstens twee verschillende dragers, waarvan één extern. Enkel back-ups die deze regel volgen, zijn de naam waardig. Zitten je back-ups goed verspreid over een eigen bedrijfsserver, de cloud en eventueel nog een harde schijf, dan ben je op alles voorbereid.
Om zeker te zijn dat je back-ups ook werken is het van belang om ze regelmatig te testen. Weet iedereen binnen je organisatie waar de back-ups staan en kan je ze snel activeren? Iedere seconde telt wanneer je bedrijfsdata onbereikbaar zijn tijdens een cyberaanval. Uit recent onderzoek door Veeam blijkt dat organisaties dit gemiddeld pas om de zeven maanden doen. Slechts één op drie organisaties is ervan overtuigd dat ze binnen de werkweek kunnen herstellen van een dataverlies, concludeert datzelfde onderzoek.
Vergeet natuurlijk ook niet de basisprincipes van cyberbeveiliging toe te passen op je back-ups. Cybercriminelen weten hoe kostbaar ze zijn voor je organisatie en zullen niet alleen de originele versies van data proberen te stelen, maar ook back-ups vastzetten om het slachtoffer met de rug tegen de muur te zetten.
Dat bevestigt ook Cade. “Welk platform je ook gebruikt, databescherming moet altijd top-of-mind zijn. Budgetten mogen misschien dan wel geknipt worden, maar op back-ups mag je niet bezuinigen. Cyberaanvallen zullen alleen maar meer voorkomen en uitgebreider worden. Data zijn je levenslijn, draag er dan ook verantwoordelijkheid voor.”