Cyberodporność domu: co mogą nauczyć nas banki
Banki atakowane najczęściej w Europie. Dowiedz się, jak profesjonalna architektura cyberbezpieczeństwa chroni dane i systemy — i jak zastosować te zasady w…
Cyberodporność to zdolność organizacji do bezpiecznego przywrócenia działania na podstawie zweryfikowanych, niezakażonych danych po ataku cybernetycznym — w przeciwieństwie do tradycyjnego backupu, który skupia się tylko na szybkości przywrócenia systemów.
Banki w Europie są najczęściej atakowanymi instytucjami w sektorze finansowym. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wykazała, że w okresie od stycznia 2023 do czerwca 2024 roku banki stanowiły główny cel cyberataków. Polska zajmuje trzecie miejsce w Europie pod względem cyberataków sponsorowanych przez obce państwa, a w samym roku 2025 liczba zgłoszeń i obsłużonych incydentów cyberbezpieczeństwa wzrosła o 44,4 procent rok do roku. Sektor bankowy, jako element infrastruktury krytycznej, znajduje się na pierwszej linii ataku — ale lekcje, które płyną z bankowości, mają znaczenie dla każdego, kto przechowuje ważne dane.
Dlaczego tradycyjny backup to za mało?
W tradycyjnym modelu disaster recovery kluczowe było jak najszybsze przywrócenie działania systemów po awarii, pożarze czy innej katastrofie. Dziś scenariusz jest inny: atakujący uzyskuje dostęp do jednego elementu środowiska — najczęściej poprzez phishing lub podatność w systemie brzegowym — i przez kilka lub kilkanaście dni pozostaje niewidoczny. W tym czasie mapuje strukturę katalogów, lokalizuje repozytoria backupu i identyfikuje konta o wysokich uprawnieniach. Następnie w strategicznym momencie blokuje zasoby i równolegle próbuje usunąć lub skazić dostępne kopie zapasowe.
Dlatego pytanie nie brzmi już: “Jak szybko przywrócić system?” lecz: “Jak uruchomić właściwe środowisko na podstawie właściwych danych, bez ryzyka przywrócenia również samego incydentu?”
Model 3-2-1-1-0: nowy standard kopii zapasowych
W praktyce coraz częściej odchodzi się od klasycznej reguły 3-2-1 na rzecz bardziej zaawansowanego modelu 3-2-1-1-0:
| Element | Opis |
|---|---|
| 3 kopie danych | Redundancja — jeśli jedna kopia zostanie uszkodzona, pozostają dwie |
| 2 różne nośniki | Ochrona przed awarią jednego typu urządzenia (np. dysk vs. taśma) |
| 1 kopia poza środowiskiem produkcyjnym | Fizyczne lub logiczne oddzielenie od systemów głównych |
| 1 kopia odseparowana/niezmienną | Kopia chroniona przed nadpisaniem, usunięciem czy szyfrowaniem (WORM) |
| 0 błędów w testach odtworzeniowych | Potwierdzenie, że backup rzeczywiście działa w warunkach incydentu |
Kluczowa różnica: w starym modelu wystarczało mieć kopie. W nowym modelu liczy się to, czy choć jedna z kopii jest należycie odseparowana, niezmienną i czy organizacja faktycznie potrafi ją odtworzyć w warunkach zaistniałego incydentu bezpieczeństwa.
Cztery filary nowoczesnej architektury cyberodporności
1. Separacja danych od środowiska produkcyjnego
Pierwszym filarem jest odseparowanie danych przeznaczonych do odzyskiwania od systemów, na których pracują użytkownicy. Celem jest zapewnienie, że atakujący — nawet po przejęciu domeny głównej — nie ma dostępu do strefy odtwarzania. To fizyczne lub logiczne oddzielenie, które utrudnia atakującemu znalezienie i uszkodzenie kopii zapasowych.
2. Mechanizmy WORM i niezmienności
Drugim filarem są mechanizmy WORM (Write Once, Read Many — zapisz raz, czytaj wielokrotnie) i opóźnionego kasowania. Chronią one punkty odzyskiwania przed nadpisaniem, usunięciem czy szyfrowaniem — nawet przez konta uprzywilejowane. Oznacza to, że nawet administrator systemu, jeśli jego konto zostanie przejęte, nie będzie w stanie zniszczyć kopii.
3. Weryfikacja integralności
Trzeci filar to weryfikacja, w której kopie są skanowane pod kątem złośliwego kodu, integralności danych i spójności biznesowej. Pozwala to przejść od “mamy backup” do “mamy działający backup” — pewność, że przywrócone dane można rzeczywiście wykorzystać do uruchomienia operacji.
4. Kontrolowane odtworzenie
Ostatnim elementem są testy potwierdzające skuteczność całego procesu cyberodporności. Regularne ćwiczenia odtworzeniowe, z udziałem najwyższego kierownictwa, pokazują, czy architektura rzeczywiście działa w warunkach incydentu.
Co to oznacza dla organizacji po ataku?
Najtrudniejszym momentem dla banku nie jest sam atak, tylko to, co dzieje się około 48 godzin później. Wtedy wszystkie strony spotykają się, aby odpowiedzieć na krytyczne pytania:
- Które dane zostały objęte zdarzeniem i czy obejmują dane osobowe?
- Gdzie te dane się znajdowały i kto miał do nich dostęp?
- Które kopie są pewne, a które mogą być skażone?
- Jakie procesy można uruchomić jako pierwsze, by nie pogłębiać szkód?
- Czy organizacja działała w sposób uporządkowany i adekwatny do ryzyka — i czy potrafi to wykazać?
Właśnie wtedy okazuje się, czy organizacja miała tylko backup, czy całą architekturę cyberodporności. Różnica jest ogromna: backup to przywrócenie danych, cyberodporność to zdolność do bezpiecznego wznowienia operacji.
Różne klasy danych wymagają różnych podejść
W bankowości nie wszystkie dane mają ten sam charakter. Systemy transakcyjne wymagają wysokiej spójności i subsekundowych czasów odtworzenia (RPO). Dokumenty, archiwa i korespondencja mają inne wymogi. Logi, analityka czy środowisko testowe — jeszcze inne.
Skuteczna architektura musi uwzględniać różne klasy danych, ich znaczenie dla biznesu i wymogi dotyczące odtwarzania. Oznacza to łączenie różnych metod ochrony — od replikacji synchronicznej, przez niezmienne migawki, po archiwum hybrydowe integrujące dokumentację papierową i cyfrową.
W uproszczeniu architektura składa się z kilku warstw: środowiska produkcyjnego, kopii operacyjnych, odseparowanej strefy odzyskiwania, obszaru weryfikacji oraz czystej strefy odtworzeniowej. Taki model nie eliminuje ryzyka ataku, ale pozwala ograniczyć chaos po incydencie i zmniejsza prawdopodobieństwo, że do środowiska produkcyjnego trafią dane skażone lub niezweryfikowane.
Wymogi regulacyjne coraz bardziej zaostrzają się
Coraz większą rolę odgrywa otoczenie regulacyjne. Rozporządzenie DORA, dyrektywa NIS2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa traktują cyberbezpieczeństwo nie jako zagadnienie czysto technologiczne, lecz element zarządzania ryzykiem i ciągłości działania. W praktyce oznacza to, że odpowiedzialność za incydenty coraz częściej wykracza poza obszar IT i obejmuje również compliance oraz najwyższe kierownictwo organizacji.
Po nowelizacji KSC cyberincydent może bardzo szybko stać się również problemem RODO. Nowy artykuł 59a zobowiązuje organ właściwy ds. cyberbezpieczeństwa do poinformowania Prezesa UODO o podejrzeniu naruszenia ochrony danych osobowych. W efekcie jedno zdarzenie może uruchomić równolegle postępowania w obszarze cyberbezpieczeństwa i ochrony danych osobowych.
Co gwarantuje powodzenie?
Duże wdrożenia w sektorze publicznym i finansowym pokazują powtarzalny wzorzec: o skuteczności systemu cyberbezpieczeństwa decyduje architektura, proces oraz umiejętność ich spójnego powiązania w model dopasowany do skali i złożoności organizacji. Kluczowe znaczenie ma również rozpoczęcie projektu od analizy biznesowej, a nie od wyboru narzędzi.
Trzema elementami, które gwarantują powodzenie takim inicjatywom, są:
- Zdefiniowany właściciel architektury po stronie biznesu — osoba odpowiadająca za powiązanie wymogów operacyjnych z rozwiązaniami technologicznymi
- Regularne ćwiczenia odtworzeniowe z udziałem najwyższego kierownictwa — pokazujące, że plany są rzeczywiste i wykonalne
- Zewnętrzny partner wspierający warstwę technologiczną — porządkujący procesy i dokumentację
W bankowości kluczowe pytanie nie brzmi dziś, czy dane można odtworzyć, ale czy można na nich bezpiecznie oprzeć działanie organizacji po incydencie. Odpowiedzią są odseparowane i testowane środowiska odzyskiwania danych krytycznych — tzw. “złota kopia” — kontrolowany punkt powrotu do operacji, który stanowi podstawę dalszego bezpiecznego działania.
Najczęstsze pytania
Co to jest cyberodporność i czym różni się od disaster recovery?
Disaster recovery to przywrócenie systemów po awarii w jak najkrótszym czasie. Cyberodporność idzie dalej — pyta, jak uruchomić właściwe środowisko na podstawie właściwych danych bez ryzyka przywrócenia samego incydentu. To nie tylko szybkość, ale pewność, że kopie nie są skażone.
Czy zwykły backup wystarczy na wypadek ataku ransomware?
Nie. Atakujący szukają i usuwają lub szyfrują dostępne kopie zapasowe. Potrzebna jest odseparowana, niezmienną kopia (WORM), do której atakujący nie ma dostępu nawet po przejęciu systemu głównego, oraz regularne testy potwierdzające, że rzeczywiście działa.
Co to jest model 3-2-1-1-0?
To nowoczesny standard kopii zapasowych: trzy kopie danych, na dwóch różnych nośnikach, jedna poza środowiskiem produkcyjnym, jedna odseparowana/niezmienną, oraz zero błędów potwierdzonych testami odtworzeniowymi. Zastępuje starszą regułę 3-2-1.
Jak często powinienem testować odtworzenie kopii zapasowej?
Regularnie — testy powinny być częścią planu ciągłości działania i obejmować najwyższe kierownictwo organizacji. W praktyce pokazuje to, czy backup jest rzeczywiście funkcjonalny w warunkach rzeczywistego incydentu.
Czy cyberodporność to tylko problem dużych organizacji?
Nie. Zasady cyberodporności — odseparowana kopia, weryfikacja integralności, kontrolowane odtworzenie — są ważne dla każdej organizacji przechowującej ważne dane, niezależnie od wielkości.
Na podstawie: Miesięcznik Finansowy BANK. Tekst opracowany redakcyjnie.