Odtwarzanie po awarii, czyli Disaster Recovery obejmuje polityki, procedury postępowania jak i procesy pozwalające na utrzymanie lub wznowienie działania krytycznej infrastruktury IT. Przyczyny awarii mogą być wewnętrzne (np. błąd pracownika), zewnętrzne (np. atak hakerski, ransomware) czy związane z klęskami żywiołowymi (np. pożar) i infrastrukturalnymi (np. brak zasilania / blackout).
Lista czynników mogących przyczynić się do niedostępności krytycznych dla działania biznesu systemów IT ciągle rośnie. Analogicznie rośnie poziom zależności operacyjnej organizacji od ich bezawaryjnego działania. Opinie liderów niektórych firm, że ich biznes nie jest zagrożony, a więc Disaster Recovery ich nie dotyczy, można obecnie klasyfikować już tylko w kategoriach mitologii lub tzw. miejskich legend. Jak wynika z danych Gartnera[1], 76% respondentów w ciągu ostatnich dwóch lat doświadczyło sytuacji, która wymagała uruchomienia planu odzyskiwania danych po awarii IT. Jednocześnie ponad 50% badanych zgłosiło co najmniej dwa incydenty z obszaru utraty danych.
Zacznijmy od ryzyka
Każda firma prędzej czy później stanie w obliczu utraty dostępu do swoich danych – to pytanie „kiedy” a nie „czy”. Jednak, czy będzie w stanie sprawnie i skutecznie je odzyskać, czy udźwignie finansowe konsekwencje awarii, oraz ile czasu zajmie przywracanie normalnej działalności? Znalezienie odpowiedzi na te pytania jest przedmiotem analizy wpływu awarii na działalność firmy – Buisness Impact Analysis oraz analizy ryzyka – Risk Assessment. Analizy te pozwalają na identyfikację kluczowych systemów IT, funkcji i procesów wspierających newralgiczne obszary działalności przedsiębiorstwa, w kolejnym kroku pozwalają określić potencjalne konsekwencje niedostępności i utraty danych, finalnie na ich podstawie możemy określić priorytety, według których powinniśmy zaprojektować strategię odtwarzania po awarii. Tutaj istotne są dwa pojęcia determinujące strategię przywracania działalności, jak i wyboru rozwiązania wspierającego (np. backup, Disaster Recovery Center – DRC, Disaster Recovery as a Service – DRaaS). Należą do nich:
- RTO (Recovery Time Objective) – czas, w jakim należy przywrócić procesy po wystąpieniu awarii,
- RPO (Recovery Point Objective) – akceptowalny poziom utraty danych wyrażony punktem w czasie, do którego zostanie przywrócony stan systemu.
Obok awarii fizycznych coraz większym wyzwaniem jest też zabezpieczenie się przed cyberatakami. Według danych firmy badawczej Forrester w 2019 roku 52% decydentów zajmujących się bezpieczeństwem sieci korporacyjnych doświadczyło co najmniej jednego naruszenia poufnych danych. W roku 2020 obserwowaliśmy lawinowy przyrost skali i liczby ataków, ponieważ znacznie przybyło firm będących potencjalnym celem ataku.
– Do niedawna kwestie zabezpieczenia przed awariami i zapewnienie ciągłości biznesowej były kluczowe głównie dla dużych organizacji, wymagających nieprzerwanego dostępu do systemów informatycznych oraz wytwarzanych i przechowywanych danych. Jednak zmiany technologiczne w ostatnich latach i dodatkowo pandemia COVID-19 ten krajobraz diametralnie zmieniły – zauważa Wojciech Stramski, CEO Beyond.pl, spółki która jest operatorem najbezpieczniejszego Data Center w Europie Centralnej, co potwierdza niezależna certyfikacja Rated 4 ANSI/TIA-942.
Z raportu VMware Carbon Black wynika, że niemal każda globalna firma (92%) doznała takiego ataku w trakcie pandemii COVID-19. Aż 91% oceniło, że wraz z przejściem na pracę zdalną cyberprzestępcy szturmem rzucili się na firmowe sieci i systemy, zwiększając zarówno skalę, jak i częstotliwość ataków.
Ile mogę stracić?
Konsekwencje i skala strat finansowych wynikających z braku backupu i/lub działającego planu odtwarzania po awarii zależą od wielkości przedsiębiorstwa, stopnia jego cyfryzacji oraz branży, w której działa. Przede wszystkim musimy sobie zdawać sprawę, że skutki mogą być różnorodne – nie tylko finansowe. – Brak zabezpieczeń w tym obszarze generuje wiele zagrożeń. Nawet kilkuminutowa przerwa w działalności operacyjnej może nieść ze sobą poważne konsekwencje w postaci zmniejszenia sprzedaży, zakłócenia łańcucha dostaw oraz strat wizerunkowych. – zauważa Wojciech Stramski.
Firma z branży e-commerce uzyskująca przychody ze sprzedaży w sieci nie może sobie pozwolić na dłuższą niedostępność platformy czy utratę lub ujawnienie danych klientów. W przypadku np. wielogodzinnej (jeśli nie kilkudniowej) niedostępności wynikającej z braku szybkiego, najlepiej zautomatyzowanego przywracania po awarii firma traci nie tylko potencjalny przychód z niedokonanych transakcji, ale w konsekwencji strat wizerunkowych może zanotować spadek swojego udziału w rynku. Klienci, którzy musieli dokonać zakupu gdzieś indziej lub z niego zrezygnować – mogą już nie wrócić.
Firmy z bardziej tradycyjnych sektorów, jak np. przetwórstwa rolno-spożywczego, z pewnością nie są wolne od zagrożeń, gdyż konkurencyjność i automatyzacja wymuszają na nich stosowanie rozwiązań IT na każdym etapie procesu wytwórczego. Jeśli firma przetwórstwa mięsnego dostarcza na rynek 1 300 ton przetworów mięsnych dziennie w rozproszonych geograficznie lokalizacjach i osiąga przychód średnio 26 mln zł dziennie, to jest to możliwe tylko dlatego, że łańcuch logistyczny i proces wytwórczy wraz z automatyką linii produkcyjnych są zintegrowane za pomocą systemów IT. Ewentualny jednodniowy przestój oznacza zatem ponad 20 mln zł start tylko z tytułu niezrealizowanej sprzedaży, bez kosztów stałych.
Z awariami mierzą się również instytucje finansowe. W 2020 r. klienci Pekao, Alior Banku czy ING Banku Śląskiego mieli problem z logowaniem się na stronę banku i stracili możliwość dokonywania przelewów.
Zadbaj o bezpieczeństwo z partnerem
Zdecydowana większość menedżerów IT zdaje sobie sprawę, że posiadanie planu Disaster Recovery jest niezbędne, by zachować ciągłość biznesową. Niestety, wyzwaniem jest pozyskanie budżetu na wdrożenie takich rozwiązań ze strony biznesu. Dobrym podejściem jest poszukać wsparcia partnera, który ma doświadczenie we wdrażaniu różnych strategii w zależności od branży i potrzeb organizacji. Do niedawna firmy miały do dyspozycji w zasadzie tylko dwie możliwości: stworzyć własną zapasową lokalizację centrum danych (Disaster Recovery Center on-premise) lub skorzystać z tej usługi od zewnętrznego dostawcy (Disaster Recovery Center off-premise). Obecnie te rozwiązania można uzupełnić lub zastąpić usługą odtwarzania danych w chmurze w modelu Disaster Recovery as a Service (DRaaS). Przegląd rozwiązań dostępnych na rynku wraz z ich wadami i zaletami oraz przekrojowe podsumowanie zagadnienia Disaster Recovery przygotował Beyond.pl wraz z Partnerami. Ebook jest dostępny bezpłatnie do pobrania na stronie https://www.beyond.pl/disaster-recovery-poradnik-ebook/.
Disaster Recovery, czyli jak nie stracić danych – ebook
- Ile tracą firmy z powodu awarii infrastruktury IT?
- Czy Twoja firma potrzebuje Disaster Recovery?
- Mity z rzeczywistość.
- Porównanie modeli Disaster Recovery.
- Na co zwrócić uwagę przy wyborze rozwiązań Disaster Recovery?
- Disaster Recovery w Beyond.pl
[1] Gartner, Inc. “Survey Analysis: IT Disaster Recovery Trends and Benchmarks.” Jerry Rozeman, Ron Blair. April 30, 2020.
