In 2024, DNSC a gestionat 101 atacuri ransomware in Romania: 68 au lovit firme private, 20 institutii publice, 13 persoane fizice. In decembrie 2025, Administratia Nationala Apele Romane a pierdut controlul asupra a 1.000 de sisteme IT dintr-un singur atac. Diferenta intre o firma care se opreste cateva ore si una care pierde totul? Un backup testat.
ISO 27001:2022 trateaza backup-ul prin controlul A.8.13 (Information Backup), care inlocuieste vechiul A.12.3.1. Controlul cere sa ai copii de siguranta pentru informatii, software si configuratii de sistem, testate periodic.
Politica de backup conform A.8.13
Controlul A.8.13 nu iti spune exact cum sa faci backup. Iti cere sa ai o politica documentata care stabileste ce date se copiaza, cat de des, unde se stocheaza copiile si cine raspunde de proces.
O politica de backup conforma ISO 27001 contine:
- Inventarul activelor care necesita backup (baze de date, email, configuratii servere, cod sursa)
- Frecventa de backup pentru fiecare activ (zilnic, saptamanal, in timp real)
- Locatiile de stocare (minim doua, din care una off-site)
- Durata de retentie a copiilor
- Procedura de restaurare si cine o initiaza
- Calendarul de testare (cel putin o data pe trimestru)
Auditorul ISO 27001 va verifica nu doar ca ai politica scrisa, ci ca ai dovezi de testare. Un log de restaurare reusita de acum 3 luni valoreaza mai mult decat o politica de 20 de pagini neaplicata.
Regula 3-2-1
Standardul nu mentioneaza explicit regula 3-2-1, dar auditorii o considera buna practica si o recomanda frecvent. Principiul este simplu: pastreaza 3 copii ale datelor, pe 2 medii diferite de stocare, cu 1 copie intr-o locatie separata.
Concret, pentru un SRL cu 15 angajati care lucreaza in IT si are un server de productie, un server de baze de date si un NAS intern, regula arata asa:
- Copia 1: datele originale pe server
- Copia 2: backup zilnic pe NAS-ul intern (mediu diferit de serverul de productie)
- Copia 3: backup criptat in cloud (locatie separata, alt oras sau tara)
Daca ransomware-ul cripteaza serverul si NAS-ul (atacatorii scaneaza reteaua si tintesc backup-urile conectate), copia din cloud ramane intacta.
Tipuri de backup
| Tip | Ce copiaza | Durata | Spatiu ocupat | Cand e potrivit |
|---|---|---|---|---|
| Full (complet) | Toate datele | Mare | Mare | Saptamanal sau la prima configurare |
| Incremental | Doar modificarile de la ultimul backup | Mica | Mic | Zilnic, intre backup-urile complete |
| Diferential | Modificarile de la ultimul backup complet | Medie | Mediu | Cand vrei restaurare mai rapida decat incremental |
Cea mai frecventa combinatie: un backup complet saptamanal si backup-uri incrementale zilnice. Restaurarea inseamna ca aplici ultimul backup complet, apoi fiecare backup incremental in ordine. Daca un incremental este corupt, pierzi datele din acea zi.
Backup-ul diferential ocupa mai mult spatiu, dar restaurarea e mai rapida: aplici ultimul backup complet si un singur diferential.
RPO si RTO
Doua cifre definesc strategia de backup:
RPO (Recovery Point Objective) este cantitatea maxima de date pe care o poti pierde, masurata in timp. Un RPO de 4 ore inseamna ca accepti pierderea a maximum 4 ore de date. Daca faci backup la fiecare 4 ore, esti acoperit.
RTO (Recovery Time Objective) este timpul maxim in care trebuie sa restaurezi sistemele dupa un incident. Un RTO de 8 ore inseamna ca, de la momentul in care sistemul cade, ai 8 ore sa il readuci in functiune.
Sa ai un SRL cu 15 angajati care dezvolta software. Serverul de productie pica vineri la 14:00, ultimul backup a fost la 10:00 dimineata. RPO-ul efectiv este de 4 ore (ai pierdut ce s-a lucrat intre 10:00 si 14:00). Daca echipa restaureaza din backup pana la 20:00, RTO-ul a fost de 6 ore.
Pentru majoritatea firmelor mici din Romania, un RPO de 24 de ore si un RTO de 8-12 ore sunt realiste. Firmele care proceseaza tranzactii financiare sau date medicale au nevoie de RPO sub 1 ora.
ISO 22301 (continuitatea afacerii) cere definirea formala a RPO si RTO printr-o analiza de impact (BIA). ISO 27001 nu cere BIA explicit, dar fara RPO si RTO definite, politica de backup nu are baza de calcul.
Cloud sau on-premise?
Decizia depinde de volumul de date, buget si cerinte legale.
Cloud-ul functioneaza bine pentru firme mici (sub 50 de angajati) care nu au personal IT dedicat. Costul porneste de la 50-200 EUR pe luna pentru 1-5 TB, include criptare, redundanta geografica si monitorizare automata. Dezavantajul: restaurarea unui volum mare de date prin internet poate dura ore sau zile.
On-premise (NAS, server dedicat, benzi magnetice) da control complet si viteza mare de restaurare. Dar necesita investitie initiala (2.000-10.000 EUR pentru hardware), mentenanta si protectie fizica. Daca biroul ia foc sau este inundat, backup-ul local dispare impreuna cu datele originale.
Solutia recomandata de auditori: combinatie. Backup local pentru restaurare rapida, backup cloud pentru dezastre. Aceasta abordare respecta automat regula 3-2-1 si cerinta A.8.13 de stocare in locatii diferite.
Testarea restaurarii
40% din IMM-uri nu au testat niciodata restaurarea din backup. Aceasta este cea mai frecventa neconformitate gasita la auditul ISO 27001 pe controlul A.8.13.
Testarea inseamna:
- Alegi un sistem sau o baza de date din politica de backup
- Initii restaurarea pe un mediu separat (nu pe productie)
- Verifici integritatea datelor restaurate (fisierele se deschid, baza de date raspunde la query-uri, aplicatia porneste)
- Documentezi rezultatul: data testului, ce s-a restaurat, durata, probleme intampinate
Frecventa minima: o data pe trimestru pentru sistemele critice. Pastreaza logul de testare, pentru ca auditorul il va cere.
Legatura cu NIS2 si GDPR
Legea 124/2025 (transpunerea Directivei NIS2) obliga entitatile esentiale si importante sa implementeze backup-uri criptate ca parte din masurile de securitate cibernetica. Neconformitatea poate costa pana la 10.000.000 EUR sau 2% din cifra de afaceri anuala.
GDPR (art. 32) cere “capacitatea de a restabili disponibilitatea si accesul la datele cu caracter personal in timp util in cazul unui incident fizic sau tehnic.” Un backup testat este cea mai directa dovada de conformitate.
Daca ai deja ISO 27001 implementat si controlul A.8.13 functional, acoperi o parte din cerintele NIS2 si GDPR legate de backup. Verificarile de la evaluarea riscurilor determina ce nivel de protectie ai nevoie, iar procedura de gestionare a incidentelor stabileste cum restaurezi dupa un atac.