Vlákno názorů k článku Postřehy z bezpečnosti: kybernetický útok na slovenský katastr nemovitostí od Lemrouch - Treba meli k zalohovani podobny pristup jako "kolega"...

Treba meli k zalohovani podobny pristup jako "kolega" z diskuze o Bacule https://www.root.cz/clanky/zalohovani-s-baculou-otevreny-system-pro-komplexni-scenare/nazory/1164862/

Hned i ty (jeho) reci o zbytecnosti pasek nabyvaji novy rozmer ;-) Jiste, obnova v takove situaci nejaky cas zabere... ale paska schovana v trezoru se utocnikum sifruje vcelku blbe.

Pokud nezjistíte, že již nějakou dobu záloha na pásku selhává. Pověřený pracovník byl sice náležitě proškolen, ale v materiálu není nic o řešení problému s tím, že by se záloha na pásku nevešla. Takže pracovník udělá přesně to co má včetně toho, že předá pásku pracovníkovi bezpečnostní služby, který ji odveze do trezoru.

Na to, jak vysoké mínění o pásce máme a co všechno kolem ní fyzicky stavíme, tak mi přijde až směšně nebezpečné to, že se rotuje několik málo pásek. Kde jsou ty doby, kdy se záloha dělala tím, že se každý týden vypálilo DVD a šlo do archivu?

Když to dělá někdo, kdo tomu rozumí, tak je to v pohodě a funguje to bezpečně. Jenže dnes to obvykle dělá nějaký junior, který na to byl zaškolen seniorem, kterého kdysi zaškolil někdo, kdo ještě pamatoval člověka, co to navrhl a zprovoznil.

https://www.youtube.com/watch?v=3YDdljZQ-5w&t=20s

To je ale chybne nastaveny proces - a netvrdil bych, ze tomu ne nutne tak vsude. I v pripade pasek vam prece nic nebrani cast medii periodicky vyradit z rotace a archivovat. Zrovnatak postupy pro pripad, kdy jedna paska nestaci - coz se mimochodem muze stejne tak stat i s tim DVD. A take plati, ze by clovek mel obcas byt schopen pouzit vlastni mozek a resit vznikle problemy... a ne byt jen cvicenou opici, co se drzi postupu na papire i kdyz ten viditelne selhava. Aneb i junior by mel umet reagovat na chybovou hlasku typu doslo misto, zeano ;-)

tam, kde pásky používáme, máme automat, který má zásobník na X pásek, ty cykluje, jednou za čas se část pásek bere a dávají se do archivu, nahrazují se novými.

Stejně tak je běžné, že před archivací se kontroluje obsah na páskách, jestli je čitelný.

Zálohování by se v dnešní době (kdy je hrozba ransomware celkem reálná) mělo držet pravidlem 3-2-1-1-0.

Pro tu předposlední "1" pásky nejsou nutnost (jen jedna z možností), lze to vyřešit i různými immutable storage nebo nezávislými zálohami do cloudu. Důležité je udržet takovou nezávislost úložiště, aby jej vzdálený útočník nedokázal vymazat i v situaci, kdy kontroluje vše ostatní a bude mít všechna hesla.

To, co popisujte je silně nezvládnutá část 0 (ta poslední), kdy každá záloha musí procházet kontrolou a pokud tato kontrola selže, musí se to co nejdříve řešit.

Pokud neřeším selhávání zálohovacího procesu, to už rovnou nemusím zálohovat.

Dobry soft a spravne navrzene SOP s edge cases.
V pripade nepopsane vyjimky volejte XY ktery ma oncall.
Co na tom nechapete? Nebo je to dalsi pokus o rizeni ve stylu typicky cesky bordel?

Nebo je to dalsi pokus o rizeni ve stylu typicky cesky bordel?
..
ono v statnych instituciach je ten bordel vsade (nielen SR a CR)
vo vacsine pripadov je sef IT clovek s VS ale bez znalosti IT prace.

Diky, ze jste svetu potvrdil svou zakladni neznalost technologii :-) Zivotnost zaznamu na LTO je bezne 15-30 let, v pripade starsich a dnes uz jen dozivajicich DLT se bavime i o 50 letech. Ano, ty data budou mozna obsahove stara... ale ze budou po 10 letech necitelna je vas nicim nepodlozeny blabol.

Naše zálohovací pásky se těch 10 let běžně namátkově testují, zda jsou čitelné a data obnovitelná.
Dokonce i na dávno mrtvé technologii (před 9 lety nahrazena jako zastaralá, hardware jen pro případ nachystaný na obnovu dat...) to bylo vždy bez problému.

A restore check nebo verifikace i treba jen proti crc rika co? Nikdo
Tech validacnich scenaru zaloh je X.

To jo, technicky jsme vybaveni. Ale i v naší firmě po naprogramování všeho kontrolního se ukáže, že není politická vůle ukázat prstem, kdo za to bude ručit (+ zastupitelsnost a průběžný audit). Takže ve výsledku procesy reportují errory a nikoho to nezajímá (od čeho máme pravidla emailu -> koš že?), dokud v pocesu nenastane lag, kterého si operativa konečně všimne. Většinou pozdě.