Van nutteloze uitwijktesten naar een moderne geïsoleerde Recovery Environment.

Ik weet nog dat ik jaren geleden (decennia eigenlijk, maar daar praten we verder niet over) voor een financial mee deed aan “uitwijktesten” op basis van data herstel vanaf tape. Dit was een bedrijf met meer dan 300 fysieke servers, die terug moest vallen op tijdrovend herstel vanaf een sequentieel medium om onder andere systemen als Swift en (voor die tijd) grote Oracle databases te herstellen op de uitwijklocatie van een dienstverlener.

We hadden een kopie van de data opgeslagen op deze derde locatie en konden daar, geheel gescheiden van het netwerk van de klant de systemen voor de core business herstellen. Hoewel dit technisch redelijk verliep en we applicaties konden opstarten was er eigenlijk niets geregeld wat betreft connectiviteit naar buiten. Het was een test om een vinkje te kunnen zetten, niet iets wat in de praktijk snel van waarde zou zijn als de primaire omgeving verloren zou gaan. Iedereen wist dit maar het was een leuke uitdaging en een gezellig uitje met het team.

In de jaren hierna ontwikkelde de mogelijkheden in connectiviteit, storage en hypervisor platformen zich in rap tempo waardoor we inmiddels al jaren kunnen roepen dat we die externe, geïsoleerde locatie al lange tijd niet meer nodig hebben omdat we ‘geo-redundante’ infrastructuren kunnen bouwen waarbij we niet alleen het uitvallen van wat hardware maar van een heel datacenter kunnen opvangen en systemen binnen enkele minuten, zonder tussenkomst van IT-personeel, weer opkomen op een andere locatie.

We dachten het voor elkaar te hebben

En zo dachten we jaren geleden dat we de basis van IT-continuïteit eindelijk goed en relatief eenvoudig voor elkaar te hebben met deze geo-redundantie op basis van twin-datacenters met stretched clusters. Maar nog voordat we er echt van konden genieten kwam er een nieuwe bedreiging opzetten, de cyber-attack in de vorm van moedwillige dataverminking of versleuteling.

Een nare eigenschap van zo’n cybersecurity-incident is dat, hoe beter je traditionele geo-redundantie voor elkaar hebt, hoe sneller het cybersecurity-incident ook de tweede locatie onderuithaalt. Inmiddels zijn er verschillende maatregelen te nemen om deze verspreiding tegen te gaan, of in ieder geval lastiger te maken en daarmee te vertragen. Het blijft echter een aandachtspunt voor dergelijke architecturen.

Een definitie van het woord “incident” die ik tegenkwam op het internet is “een gebeurtenis of actie die een afzonderlijke ervaringseenheid is”. Een cyber event is zeker te beschrijven als een “afzonderlijke ervaringseenheid” maar we moeten er iets dieper induiken om de impact van een dergelijk incident beter te begrijpen.

Nederlanders gebruiken soms de uitdrukking “de boel staat in de fik” om aan te geven dat de “afzonderlijke ervaringseenheid” er eentje is met significante impact. En dat is een cybersecurity-incident zeer zeker. Tijdens het incident melden mensen vaak acute en hevige stress, paniek en verwarring, angst voor fouten en beschuldigingen maar ook spanningen tussen teams die anders goed samenwerken. Op de langere termijn, lang na het afwikkelen van het incident, wordt chronische stress en burn-out ervaren en het verdwijnen van vertrouwen en de moraal binnen en tussen teams. Het gaat hier soms om PTSS symptomen door langdurige hoogoplopende spanning.

Hoe nu verder?

De vraag is of wij onze geo-redundante IT-oplossingen zo kunnen uitbreiden zodat deze niet alleen resistent zijn tegen traditionele verstoringen zoals brand, uitval van stroom of connectiviteit maar ook een component in zich hebben voor herstel van een cyber-incident. Daarbij moet de oplossing rekening houden met het feit dat organisaties soms cyberverzekeringen hebben met hun eigen, soms wat “bijzondere” aanpak van een cyber incident. Daarbij speelt dat herstel van data geen zin heeft voordat patiënt zero is gevonden en het gat is gedicht. De oplossing moet gescheiden zijn van de geo-redundante infrastructuur en er moet op getest kunnen worden zodat iedereen de procedures en werking van de systemen kan leren voordat het in de praktijk nodig is. Dit alles verkleint de impact van een cyber-incident op de IT-collega’s, zodat ze met een veel betere voorbereiding en meer vertrouwen, dus als beter functionerend team, een cyber-incident aan kunnen pakken.

Het verschil tussen zelf doen of afnemen als een dienst

De oplossing is wat de industrie een “Isolated Recovery Environment” (vanaf nu IRE) noemt. Een geïsoleerde plek met een kopie van de bedrijfsdata en IT-resources waarop het herstel kan worden uitgevoerd ten tijde van een cybersecurity-incident. Eigenlijk een moderne versie van de uitwijk testomgeving waar onze tapes lagen en niets van connectiviteit was geregeld, maar dan met de voorbereidingen om dit met het fysiek inprikken van een kabel wel te kunnen realiseren. 

Zelf een IRE opzetten en onderhouden is echter een flinke en unieke opdracht die specialistische kennis vereist. Het is onder normale omstandigheden een darksite, die echter wel beheerd en gemonitord moet worden, en er moet een actuele kopie van de backup data aanwezig zijn. Daarnaast moet het IRE richting het einde van een cyber-incident kunnen fungeren als normale IT-infrastructuur zonder afhankelijk te zijn van de ‘standaard’ IT- infrastructuur.

Ook is het risico op het indringen van cybercriminelen tot de IRE groter wanneer de klant zelf de IRE onder eigen beheer heeft, bijvoorbeeld door het gebruik van dezelfde laptops, netwerk toegang en internet access.

BPSOLUTIONS biedt IRE-as-a-Service oplossingen die de klant voorziet in een managed IRE. De IRE kan zonder enige impact op de productieomgeving worden gebruikt voor cyber recovery (draaiboek) testen, zodat teams zich uitstekend kunnen voorbereiden op wat er moet gebeuren tijdens een cyber incident. Omdat alles in isolatie gebeurt inclusief ondersteunende infra zoals domain controllers kunnen applicatietesters verder gaan dan beperkte testen in kleine bubbels op de productie hardware. In de IRE wordt de gehele minimum viable business (datgene wat nodig is om de primaire processen te ondersteunen)  hersteld waar de organisatie weken of zelfs maanden op kan draaien in het geval van een cyber-incident.

Wat volgt?

In een volgende blogpost gaan we dieper in op onze recovery quick scan service.

Op dinsdag 15 april organiseert BPSOLUTIONS een webinar met waardevollen inzichten en strategieën om zo goed mogelijk voorbereid te zijn als je wordt gehackt. Wil je meer weten over ons webinar? Klik hier

Webinar:

Gehackt, maar geen hectiek.
De 3 cruciale elementen voor snel herstel.
Detectie, isolatie, continuïteit.
Zonder stress in je team.

Datum: 15 april 2025
Tijdstip: 10:00 - 11:30
Locatie: Online, na afloop krijg je de presentatie toegestuurd

Meer weten over hoe BPSOLUTIONS uw organisatie kan helpen? Neem contact op met stefan.folkerts@bpsolutions.com of bel 030 303 2900.