Jak utrzymać ciągłość działania po ataku ransomware?

10.12.2025 10:12 Karol Mórawski | BANK.pl

Udostępnij

Jak utrzymać ciągłość działania po ataku ransomware?

SafeBank 2025. Egemen Konu. Źródło: BANK.pl

Systemy bezpieczeństwa stosowane w sektorze finansowym należą do najbardziej zaawansowanych, jednak i one potrafią odmówić posłuszeństwa. Zdarza się też, że do incydentu dochodzi z przyczyn niezależnych od samej instytucji finansowej, jak choćby przerwy w łączności. O tym, jak należy postępować w tak skrajnych, acz nie nierealnych przypadkach, czy też po ataku ransomware opowiadał podczas SafeBank 2025 Egemen Konu, Zerto Sales Leader – Central & Eastern Europe & Turkey w HPE.

Prelegent podkreślił, że w rozmowach z osobami odpowiedzialnymi za obszary IT i bezpieczeństwa najczęściej powracają trzy kategorie presji: cyberzagrożenia, przerwy w dostępności usług oraz rosnąca złożoność środowisk chmurowych.

W tym kontekście przedstawił HPE Zerto jako rozwiązanie łączące funkcje disaster recovery, odporności na ransomware oraz mobilności między środowiskami, zaprojektowane tak, by minimalizować przestój i ograniczać ryzyko utraty danych.

Egemen Konu zwrócił uwagę na ograniczenia klasycznych rozwiązań z obszaru kopii zapasowych. Backup wykonywany raz bądź nawet dwa razy na dobę może oznaczać utratę nawet do 24 godzin danych, również snapshoty – także realizowane kilka razy dziennie – pozostawiają wielogodzinną lukę pomiędzy punktami odtworzenia. Dla bankowości, gdzie liczy się aktualny stan transakcji i środków w czasie rzeczywistym, takie ryzyko jest nieakceptowalne.

Alternatywą jest replikacja w trybie ciągłym. Podejście Zerto umożliwia cofnięcie się do punktu odtworzenia liczonego w sekundach – w wystąpieniu padał przykład pięciu sekund.

Istotny element to spójność aplikacyjna: zamiast odtwarzać pojedyncze serwery w różnych momentach, powiązane komponenty systemu mogą być grupowane jako „virtual protection group”, z zachowaniem kolejności zależności i spójnych punktów odtworzenia, tak aby przywracać usługę jako całość.

Czytaj także: Pomiędzy DORA, CER i „światem materialnym

Monitorowanie danych w trybie ciągłym

W części poświęconej ransomware Egemen Konu opowiadał o monitorowaniu zmian danych w trybie ciągłym. Wskazywał na wykorzystanie dodatkowych algorytmów, również bazujących na AI, do analizy charakteru zmian, identyfikacji rodzaju incydentu oraz określenia, które maszyny/zasoby są objęte atakiem.

To ma wspierać decyzję o izolacji, a w razie potrzeby – uruchomieniu scenariusza odtworzenia w ośrodku zapasowym, tak aby utrzymać możliwie nieprzerwaną obsługę klientów. W przeciwieństwie do tradycyjnych kopii zapasowych, które odzyskują serwery indywidualnie, Zerto wykorzystuje „wirtualne grupy ochrony” (VPG) do grupowania serwerów współzależnych (np. aplikacji, stron internetowych, baz danych).

Gwarantuje to odzyskiwanie aplikacji jako całości, zachowując spójność danych i integralność transakcyjną.

Odzyskiwanie danych po ataku ransomware w zgodzie z DORA

Prelegent nawiązał także do wymogów DORA, podkreślając potrzebę udokumentowanych polityk i procedur w obszarze kopii zapasowych oraz odzyskiwania po incydencie. W tym kontekście wskazał na rolę raportowania – według prezentacji Zerto ma dostarczać raporty „ready to use”, które mogą być automatycznie udostępniane organom nadzoru.

Końcówka wystąpienia dotyczyła praktycznych decyzji po zmianach na rynku wirtualizacji. Egemen Konu zauważył, że część organizacji mierzy się z presją kosztową związaną z określonymi systemami, dlatego tak istotna jest możliwość migracji do chmur publicznych i alternatywnych. W prezentacji wskazał m.in. scenariusze migracji z VMware do Azure, AWS, Google Cloud oraz Oracle, a także do innych platform.

Jak podkreślał Egemen Konu, w sytuacji, gdy ataki i awarie są codziennością kluczowym czynnikiem udaremniania przestępczych zakusów staje się ograniczenie utraty danych do minimum oraz szybki, powtarzalny i sprawdzalny proces przywracania krytycznych usług.