Elisa Pilveteenuste tootejuht: varukoopia pole väärt midagi kui kontor koos nendega kaob

See, et ettevõtte jaoks kõige olulisematest andmetest tuleb teha varukoopia, on tänaseks muutumas üldlevinud teadmiseks. Kuid nii nagu on vahe kindlustusel ja kindlustusel, on vahe ka varukoopial ja varukoopial – tehniliselt saab varunduseks pidada ka arvutis lihtsalt teise kausta tõstetud faili, ent kui eesmärgiks on päriselt oma seljatagust kindlustada, on oluline koopiate hajutamine nii tehnoloogiliselt kui ka geograafiliselt.

“Pole ebatavaline, et andmeid varundatakse samasse seadmesse või samasse ruumi, kus hoitakse originaali. Kuigi see pakub küll teatud kindlust – kui lihtsalt üks fail enam ei avane, saab kasutada teist, ent see pole reaalne kaitse tõsiste probleemide eest,” lausub Elisa ärikliendi pilveteenuste tootejuht Kersti Kuusksalu. “Kui kõik koopiad on ühes ruumis, ühes hoones või ühel tänaval, siis mis juhtub siis, kui puhkeb tulekahju, terve linnaosa jääb elektrist ilma või paduvihmad uputavad terve linna üle?”

Kuusksalu sõnul pole tegu hüpoteetilise probleemiga, vaid reaalsusega, millega on pidanud mitmed ettevõtted rinda pistma. “Oleme näinud juhtumit, kus ettevõte küll varundas oma andmeid ning tegi seda igati korrektselt, kuid hoidis koopiaid samas kontoris paikneval võrgukettal. Kui hoone põlema süttis, hävisid nii töösüsteemid kui varukoopiad – tulemuseks oli see, et ilma jäädi nii originaalidest kui ka koopiatest,“ tõdes ta, lisades, et see on murekoht, mida oleks saanud hõlpsalt ennetada koopiate hajutamisega.

Seetõttu soovitab ekspert, et ettevõtte ärikriitilised andmed oleks dubleeritud vähemalt kahte erinevasse asukohta. Mida suurem on geograafiline hajutatus koopia ja originaali vahel, seda kindlam. “Varundada võib ise, ent enamasti on mõistlikum kasutada mõne välise teenusepakkuja abi, kelle andmekeskused asuvadki juba kuskil mujal kui ettevõtte enda kontor ning kes tagab, et nende süsteemidest on loodud veel omaette koopiad,” lausus ta.

Regulatsioonid seavad omad piirid

Kui üks pool andmete korrektsest varundamisest on mõistlikult ettevõtte toimepidavuse tagamine, siis ei tasu ära unustada ka regulatsioone. Näiteks kehtivad karmid jätkusuutlikkuspõhimõtted elutähtsate teenuste osutajatele, kelleks võivad olla ka üsnagi väiksed ettevõtted. Paljud, kes ei pruugi olla kunagi andmete varundamisega teadlikult tegelenud. Heaks näiteks on pisemad vee- või energiavaldkonna ettevõtted.

“Sageli ei teata, et neil on kohustus oma andmete varundamiseks ja mõistlike taasteprotsesside loomiseks. Aga see, et seda ei teata, ei tähenda, et kohustust poleks: elutähtsa teenuse osutajad peavad tagama, et nende süsteemid on kuulikindlad ning selle kuulikindluse baastase on see, et ärikriitilistest süsteemidest on loodud koopiad. Kui ettevõttele pääseb ligi küberkurjategija, põhisüsteemid hävivad või esineb muu suurem tõrge, peab olema võimalik kibekiirelt algolukord taastada,” selgitas Kuusksalu.

Kuid nii nagu kehtivad nõuded sellele, kes peavad varundama, kehtivad nõuded ka sellele, kuidas tohib varundada. GDPR-i järgi ei tohi Euroopa Liidu kodanike isikuandmeid hoida väljaspool EL-i ilma eritingimusteta, mistõttu pole Ameerika Ühendriigid või muud EL-välised riigid sageli kõigile ettevõtetele sobivad.

“See tähendab, et näiteks ei pruugi kliendiandmete varundamiseks olla sobilikud globaalse mõõtmega veebiteenuste pakkujad või tundmatud väikeettevõtted. Andmete varundaja roll on tagada, et see on tehtud nõuetepäraselt, seega tasub teha kindlaks, et valitud teenusepakkuja ka reeglitele vastab,” lisas ta.

Varundus kui osa äristrateegiast

Kuusksalu tõdeb, et kuigi varundusteenus on küll kulu, siis on see ka nagu kindlustus – see ei takista õnnetust, kuid vähendab kahju. Samas ei piisa ainult poliisi olemasolust, seda tuleb osata ka kasutada. “Kui ettevõte ei tea, mis on nende ärikriitilised andmed, millised süsteemid peavad esmajärjekorras taastuma ja kuidas taasteprotsess kriisiolukorras käivitub, siis on varukoopiatest üksi vähe kasu,“ rõhutas Kuusksalu.

Seetõttu tuleb igal organisatsioonil paika panna oma varunduspoliitika ja kriisiplaan: mis andmeid varundatakse, kus andmeid hoitakse, mitu koopiat tehakse, kes vastutab taaste eest ja kui kiiresti peab töö uuesti käima minema. “Kaasaegne praktika soovitab järgida 3-2-1 reeglit: kolm koopiat, kahes erinevas keskkonnas, millest vähemalt üks asub mujal kui igapäevase töö tegemiseks mõeldud koht. Samuti ei tohi unustada, et koopiate tegemine üksi ei taga midagi – nende olemasolu ja õigsust tuleb regulaarselt kontrollida,” lisas Kuusksalu.