Il ransomware non “cripta soltanto”: blocca accessi, rende i sistemi inutilizzabili e trasforma i dati in leva economica. In questo scenario, i backup sono l’unico modo realistico per tornare operativi senza cedere al ricatto. Ma non basta avere un backup: deve essere continuo, protetto e ripristinabile davvero.
Adotta una strategia 3-2-1: tre copie dei dati, su almeno due supporti diversi, con una copia tenuta offline o immutabile. In particolare, le copie immutabili (o comunque non modificabili dall’attaccante) sono fondamentali, perché molti ransomware tentano anche di cancellare i backup collegati alla rete.
Il “continuo” riduce la quantita di dati persi tra l’ultimo backup e il momento dell’incidente. Imposta job automatici con retention chiare e, soprattutto, testa il restore: un backup non verificato e’ come un estintore mai provato. Periodicamente, simula ripristini su ambienti controllati per verificare tempi e completezza.
Riduci i privilegi con cui vengono gestiti i sistemi di backup e separa logicamente i contesti di rete. Se un attacco ottiene credenziali amministrative, anche il backup puo diventare bersaglio: per questo servono controlli di accesso, rotazione delle credenziali e possibilmente segmentazione e policy di accesso dedicate.
Definisci RTO e RPO: in quanto tempo vuoi riavviare e con quale perdita massima di dati puoi convivere. Imposta monitoraggio delle operazioni di backup, notifiche quando un job fallisce e una procedura chiara per la risposta all’incidente. Così trasformi i backup da “attivita IT” a vero piano di continuita operativa.