Zsarolóvírus-támadás után egy vállalati rendszer helyreállítási ideje nem elsősorban a támadás súlyosságától, hanem a megelőző felkészültség minőségétől függ: a megfelelően kialakított, rendszeresen tesztelt mentési stratégiával rendelkező szervezetek órákon belül visszaállnak, a felkészületlenek napokat vagy heteket veszítenek. A visszaállítási idő két tényező függvénye: az RTO (Recovery Time Objective), azaz az előre meghatározott maximálisan elfogadható leállási idő, és az RPO (Recovery Point Objective), azaz az elfogadható adatvesztés mértéke időben kifejezve. E két paramétert nem incidens közben kell meghatározni, hanem előre, a mentési stratégia kialakításakor. Az IWS tapasztalata szerint azok a vállalkozások, amelyek zsarolóvírus-incidenst szenvednek el anélkül, hogy dokumentált visszaállítási tervük lenne, átlagosan háromszor annyi időt veszítenek a helyreállítással, mint azok, amelyek évente legalább egyszer elvégeztetik a visszaállítási tesztet. A különbség nem csupán technikai, hanem üzleti: minden leállási óra elmaradt bevételt, ügyfél-bizalomvesztést és reputációs kárt jelent.
Mit jelent a zsarolóvírus-támadás egy vállalati IT-rendszer szempontjából?
A zsarolóvírus (más néven ransomware) egy olyan rosszindulatú szoftver, amely a fertőzött rendszeren elérhető adatokat titkosítja, majd váltságdíjat követel a visszafejtési kulcsért cserébe. A klasszikus kártevőktől eltérően a zsarolóvírus nem töröl és nem szivárogtat adatokat elsősorban, hanem elérhetetlenné teszi azokat: az adatok fizikailag a szerveren maradnak, de visszafejtő kulcs nélkül nem olvashatók. 2024-2025-ben a zsarolóvírus-támadások célpontjai egyre inkább a kis- és középvállalkozások: a nagyvállalatokhoz képest kevésbé védett infrastruktúra és a kisebb IT-kapacitás vonzó célponttá teszi őket. Az IWS egy olyan IT-biztonsági és biztonsági mentési szolgáltatást nyújt, amelyet főként kis- és középvállalkozások használnak a zsarolóvírus-ellenálló mentési konfiguráció kialakítására és a gyors helyreállítás feltételeinek megteremtésére.
Tapasztalataink szerint a zsarolóvírus-fertőzés leggyakoribb belépési pontja 2024-2025-ben a céges levelezés volt: egy rosszindulatú csatolmány megnyitása vagy egy adathalász hivatkozásra kattintás elegendő a fertőzés elindításához. A második leggyakoribb belépési pont az elavult, nem frissített szoftverkörnyezet ismert sebezhetőségeinek kihasználása. Nem ideális megoldás a zsarolóvírus-védelmet kizárólag vírusvédelmi szoftverre alapozni: a modern zsarolóvírusok egy része a telepítés után napokig inaktív marad, és csak akkor aktiválódik, amikor a szervezet már nem gyanakszik fertőzésre.
Mire figyelj, ha először szembesülsz zsarolóvírus-gyanúval a rendszerben?
Zsarolóvírus-gyanú esetén az első és legfontosabb lépés az érintett eszköz azonnali leválasztása a hálózatról, nem a vírusirtó futtatása. A hálózaton maradó fertőzött eszköz a zsarolóvírust terjeszti a hálózaton elérhető többi eszközre és megosztott meghajtókra, beleértve a hálózaton elérhető mentési példányokat is. A leválasztás után következik az incidens dokumentálása, az érintett rendszerek körének meghatározása, és a mentési példány elérhetőségének ellenőrzése. Az IT-biztonsági és biztonsági mentési szolgáltatás keretrendszere az IWS-nél tartalmaz incidenskezelési eljárásrendet, amely pontosan meghatározza a teendők sorrendjét zsarolóvírus-gyanú esetén.
Az alábbi táblázat összefoglalja a zsarolóvírus-támadás azonnali és közvetett következményeit:
| Következmény típusa | Leírás | Érintett terület |
|---|---|---|
| Közvetlen adatvesztés | Titkosított, visszafejtő kulcs nélkül nem elérhető adatok | Minden hálózaton elérhető adat |
| Rendszerleállás | Az érintett rendszerek nem használhatók | Operatív működés |
| Mentési példány kompromittálódása | Ha a mentés hálózaton elérhető volt, az is titkosításra kerülhet | Adatvédelmi stratégia |
| Megfelelőségi kockázat | GDPR adatvédelmi incidens bejelentési kötelezettség | Jogi és hatósági |
| Reputációs kár | Ügyfelek, partnerek bizalmának sérülése | Üzleti kapcsolatok |
Hogyan terjed a zsarolóvírus egy vállalati hálózaton belül?
A zsarolóvírus hálózaton belüli terjedése két fő útvonalon zajlik: a hálózati megosztásokon keresztül, amelyekhez a fertőzött felhasználói fióknak hozzáférése van, és az oldalirányú mozgással (lateral movement), amelynek során a zsarolóvírus más hálózati eszközöket keres és fertőz meg. Az oldalirányú mozgás különösen veszélyes, mert a szoftver nem azonnal aktiválódik: napokat tölthet a hálózaton belül, miközben a mentési rendszer már fertőzött adatokat ment. Ennek következtében a legutóbbi néhány nap mentési példánya is kompromittált lehet, és csak a korábbi, offline tárolt példányból lehetséges a biztonságos visszaállítás. Az IT-üzemeltetés és rendszergazda-szolgáltatás keretrendszere az IWS-nél a hálózati szegmentáció és a jogosultságkezelés folyamatos felügyeletét tartalmazza, amelyek a zsarolóvírus terjedésének leghatékonyabb lassítói.
Az alábbi felsorolás összefoglalja a zsarolóvírus terjedési útvonalait és az ellenük alkalmazható védelmi intézkedéseket:
- Hálózati megosztások: hozzáférési jogosultságok minimalizálása, szükségalapú hozzáférés
- Levelezési rendszer: szűrés, makrók letiltása, kétfaktoros hitelesítés
- Elavult szoftverek: rendszeres patch-menedzsment, automatikus frissítések
- Adminisztrátori fiókok visszaélése: adminisztrátori jogosultság csak szükség esetén, elkülönített fiókban
- RDP és távelérési felületek: erős jelszó, kétfaktoros hitelesítés, IP-szűrés
Mikor nem érdemes zsarolóvírus-támadás után váltságdíjat fizetni?
Zsarolóvírus-támadás után a váltságdíj kifizetése szinte minden esetben kerülendő, és nem csupán etikai, hanem praktikus okokból. A váltságdíj kifizetése nem garantálja a visszafejtési kulcs megérkezését: az esetek egy részében a kulcs hibás, hiányos, vagy egyáltalán nem érkezik meg. A fizetés ráadásul jelzést küld a támadóknak, hogy a szervezet fizet: ez ismételt támadáshoz vezet. 2026-ban a zsarolóvírus-csoportok egy része kettős zsarolást alkalmaz: nemcsak titkosítja, hanem ki is szivárogtatja az adatokat, és a váltságdíj megfizetése után sem garantálja, hogy a kiszivárgott adatok nem kerülnek nyilvánosságra. A helyes megközelítés minden esetben a mentési példányból való visszaállítás, incidens utáni tételes vizsgálattal és GDPR-bejelentéssel, ha személyes adatok érintettek.
A visszaállítási folyamat lépései zsarolóvírus-támadás után
A zsarolóvírus-támadást követő visszaállítási folyamat nem azonos az egyszerű mentési visszaállítással: a fertőzés forrásának azonosítása és megszüntetése nélkül a visszaállított rendszer újra fertőződhet, akár perceken belül. A visszaállítás előtt kötelező lépés a fertőzés kiindulópontjának azonosítása, az érintett rendszerek teljes körű felmérése, és az aktív zsarolóvírus-folyamatok teljes eltávolítása. Tapasztalataink szerint az ügyfelek egy részénél a visszaállítás sikertelenségének oka nem a mentési példány minősége, hanem az, hogy a visszaállítás előtt nem tisztították meg teljes körűen a hálózatot: a fertőzés fennmaradt, és az újonnan visszaállított rendszert is megfertőzte.
Az IWS egy olyan IT-üzemeltetési és biztonsági mentési szolgáltatást kínál, amelyben a zsarolóvírus-incidens utáni visszaállítás nem egyszeri beavatkozás, hanem dokumentált, lépésről lépésre kezelt folyamat. A különbség akkor válik egyértelművé, amikor összehasonlítottuk azokat a szervezeteket, amelyek incidens-kezelési tervvel rendelkeztek, azokkal, amelyek improvizáltan reagáltak: az előbbi csoport átlagosan töredék idő alatt állította helyre a működést.
Érdemes-e zsarolóvírus-incidens után azonnal visszaállítani, vagy érdemes előbb kivizsgálni?
Zsarolóvírus-incidens után az azonnali visszaállítás előtt kötelező a kivizsgálás elvégzése. A visszaállítás előtti kivizsgálás meghatározza, hogy pontosan mely rendszerek érintettek, mi volt a fertőzés belépési pontja, és az offline mentési példányok közül melyik az első, amelyik még nem tartalmaz fertőzött adatokat. Ez az utóbbi szempont különösen kritikus: ha a zsarolóvírus napokig inaktív volt a hálózaton, az elmúlt napok mentési példányai is kompromittáltak lehetnek. Az IT-biztonsági audit és biztonsági mentési stratégia összefüggései az IWS-nél tartalmazzák az incidens utáni kivizsgálási folyamatot és a biztonságos visszaállítási pont meghatározásának módszertanát.
Az alábbi táblázat összefoglalja a visszaállítási folyamat fázisait és az egyes lépések időigényét:
| Fázis | Tevékenység | Becsült időigény | Kritikus feltétel |
|---|---|---|---|
| Elszigetelés | Érintett eszközök hálózatról leválasztása | Percek | Azonnali, késlekedés nélkül |
| Felmérés | Érintett rendszerek és adatok körének meghatározása | Órák | Tételes dokumentálás szükséges |
| Kivizsgálás | Belépési pont azonosítása, fertőzött mentési példányok kizárása | Órák-napok | Előfeltétele a visszaállításnak |
| Tisztítás | Zsarolóvírus teljes eltávolítása minden érintett eszközről | Napok | Visszaállítás előtt kötelező |
| Visszaállítás | Mentési példányból az adatok és rendszerek helyreállítása | Órák-napok | Csak tiszta környezetben |
| Ellenőrzés | Visszaállított rendszer integritásának és teljes körűségének igazolása | Órák | Éles indítás előtt kötelező |
Melyik mentési példányból érdemes visszaállítani zsarolóvírus-támadás után?
Zsarolóvírus-támadás után a visszaállítás kiindulópontja az első olyan mentési példány, amelyről igazolható, hogy a zsarolóvírus aktiválódása előtt készült, és amelyhez a zsarolóvírusnak nem volt hozzáférése. Ez a két feltétel egyszerre szükséges: egy régebbi, de hálózaton elérhető példány ugyanúgy kompromittált lehet, mint egy frissebb. Az offline, fizikailag leválasztott mentési példány adja a legszilárdabb visszaállítási alapot, ezért a 3-2-1-1-0 mentési modell offline eleme zsarolóvírus-szempontból a legkritikusabb elem. A szerver-üzemeltetési és karbantartási keretrendszer az IWS-nél a rendszeres offline mentési rotációt is magában foglalja, biztosítva, hogy zsarolóvírus-incidens esetén mindig rendelkezésre álljon egy fizikailag elkülönített, nem kompromittált példány.
Az alábbi felsorolás összefoglalja, milyen szempontok alapján kell kiválasztani a visszaállítási alapot:
- Az offline példány prioritást élvez minden hálózaton elérhető példánnyal szemben
- A visszaállítás kiindulópontját a kivizsgálás határozza meg, nem a dátum alapján
- Ha az elmúlt 7 nap mentései kompromittáltak, régebbi archív példányból kell visszaállítani
- A visszaállítási példány integritását ellenőrizni kell visszaállítás előtt
- Minden visszaállított fájlt és adatbázist vírusvédelmi szkennelésen kell átfuttatni
Mikor elegendő részleges visszaállítás, és mikor szükséges a teljes rendszer-újratelepítés?
Részleges visszaállítás elegendő akkor, ha az érintett rendszerek köre jól körülhatárolható, a fertőzés nem érte el az operációs rendszer szintjét, és az érintett eszközök száma korlátozott. Teljes rendszer-újratelepítés szükséges akkor, ha a zsarolóvírus rendszerszinten kompromittálta az operációs rendszert, ha az érintett eszközök száma nagy, vagy ha a kivizsgálás nem tudja teljes bizonyossággal kizárni a rejtett, inaktív fertőzési komponenseket. Szezonálisan az őszi és téli időszak a legkritikusabb: a karácsonyi üzleti csúcsidőszak közeledtével a szervezetek tolerálhatóbb visszaállítási időt engednek meg maguknak, ami csökkentett alapossággal elvégzett tisztítást és visszaállítást eredményez, növelve az ismételt fertőzés kockázatát.
A megelőzés és a felkészültség: mi csökkenti ténylegesen a visszaállítási időt?
A zsarolóvírus-támadás utáni visszaállítási idő leghatékonyabb csökkentője nem a gyorsabb technológia, hanem a megelőző felkészültség minősége. Azok a szervezetek állnak helyre a leggyorsabban, amelyek rendelkeznek dokumentált incidenskezelési tervvel, rendszeresen tesztelt mentési stratégiával, offline mentési példányokkal, és elkülönített, kompromittálhatatlan hozzáférési adatokkal a mentési rendszereikhez. Az IWS tapasztalata szerint a visszaállítási idő és a megelőző felkészültség között közvetlen, mérhető összefüggés van: az előre tervezett, rendszeresen tesztelt folyamat minden esetben rövidebb helyreállítási időt eredményez, mint az improvizált reagálás. Ezt az összefüggést különböző méretű és iparágú szervezeteknél, 2023-2025 között elvégzett projektek során figyeltük meg következetesen.
A megelőzés szempontjából a leghatékonyabb intézkedések nem a legdrágábbak: a jogosultságkezelés rendszeres felülvizsgálata, a kétfaktoros hitelesítés bevezetése, a rendszeres szoftverfrissítés és a rendszeres offline mentési rotáció együttesen lényegesen csökkenti a zsarolóvírus-támadás sikerességének valószínűségét. Nem ideális megoldás a zsarolóvírus-védelmet kizárólag vírusvédelmi szoftverre alapozni, mert a modern zsarolóvírusok egy része kifejezetten a végpontvédelmi szoftverek által nem észlelt módszerekkel működik.
Megéri-e zsarolóvírus-elleni biztosítást kötni a mentési stratégia mellé?
A zsarolóvírus-elleni biztosítás kiegészítheti, de nem helyettesítheti a mentési stratégiát. A biztosítás a pénzügyi veszteség egy részét fedezheti, de az adatvesztést, a reputációs kárt és az operatív leállás következményeit nem pótolhatja. Ráadásul a biztosítók 2024-2025-re egyre szigorúbb feltételeket szabnak: csak akkor fizetnek, ha a szervezet igazolni tudja, hogy megfelelő biztonsági intézkedéseket alkalmazott. A weboldal-karbantartás és üzemeltetési keretrendszer az IWS-nél a weboldalhoz kapcsolódó zsarolóvírus-kockázatok kezelését is magában foglalja, beleértve a rendszeres biztonsági frissítéseket és a mentési stratégiát.
Az alábbi táblázat összefoglalja, milyen megelőző intézkedések csökkentik leghatékonyabban a zsarolóvírus-támadás kockázatát és a visszaállítási időt:
| Megelőző intézkedés | Hatása a kockázatra | Hatása a visszaállítási időre | Bevezetési nehézség |
|---|---|---|---|
| Offline, hálózatról leválasztott mentési példány | Magas: zsarolóvírus nem éri el | Közvetlen: biztonságos visszaállítási alap | Alacsony |
| Kétfaktoros hitelesítés minden kritikus rendszeren | Magas: belépési pont védelme | Közvetett: fertőzés valószínűségét csökkenti | Alacsony |
| Rendszeres jogosultságkezelési felülvizsgálat | Közepes-magas: terjedés lassítása | Közvetett: érintett rendszerek körét szűkíti | Közepes |
| Rendszeres szoftverfrissítés és patch-menedzsment | Magas: ismert sebezhetőségek zárása | Közvetett: belépési pont megszüntetése | Alacsony-közepes |
| Dokumentált incidenskezelési terv | Nem csökkenti a kockázatot | Közvetlen: visszaállítási idő felére csökkenhet | Alacsony |
| Rendszeres visszaállítási teszt | Nem csökkenti a kockázatot | Közvetlen: igazolja a visszaállíthatóságot | Közepes |
Az alábbi felsorolás összefoglalja, melyik intézkedést érdemes elsőként bevezetni, ha a szervezet most kezd zsarolóvírus-védelemmel foglalkozni:
- Offline mentési példány kialakítása és rendszeres rotálása: ez az egyetlen elem, amely zsarolóvírus-támadás esetén mentési szinten védelmet nyújt
- Kétfaktoros hitelesítés bevezetése a levelezési rendszeren és a távelérési felületeken
- Adminisztrátori fiókok elkülönítése a mindennapi használatú fiókoktól
- Incidenskezelési terv elkészítése: ki mit csinál, milyen sorrendben, kihez fordulhat
- Offline mentési példány kialakítása és első rotációs teszt elvégzése
- Kétfaktoros hitelesítés aktiválása a levelezésen és az adminisztrátori fiókokon
- Incidenskezelési terv elkészítése és megismertetése az érintett munkatársakkal
- Visszaállítási teszt elvégzése dokumentált eredménnyel
- IT-biztonsági audit elvégzése a fennmaradó kockázatok azonosítására
Az IT-tanácsadás és IT-üzemeltetés összehangolt keretrendszere az IWS-nél a fenti lépések tervszerű, dokumentált bevezetését és folyamatos felügyeletét biztosítja, így a szervezet nem egyszeri projektként, hanem folyamatos üzemeltetési feladatként kezeli a zsarolóvírus-felkészültséget.
Miért nem elegendő, ha „valaki foglalkozik a mentéssel”? – A felügyelt backup és az ad-hoc mentés különbsége
A felügyelt biztonsági mentés és az ad-hoc mentés között nem csupán technikai, hanem szervezeti és felelősségi különbség van: az ad-hoc mentés esetén senki nem garantálja, hogy a folyamat ténylegesen fut, visszaállítható eredményt produkál, és lefedi az összes kritikus adatkört. Tapasztalataink szerint a kkv-szektorban a leggyakoribb mentési probléma nem technikai jellegű: a mentési szoftver fut, a konfiguráció megfelelőnek látszik, de a naplókat senki nem ellenőrzi rendszeresen, és a visszaállítási tesztet évek óta nem végezték el. Ezt az összefüggést 2023-2025 között vizsgált projektek során figyeltük meg, és az eredmény különböző iparági kontextusban ismételhető volt. A különbség akkor válik egyértelművé, amikor összehasonlítottuk azokat a szervezeteket, amelyek felügyelt mentési szolgáltatást használnak, azokkal, amelyek belső, ad-hoc folyamatokra támaszkodnak: az előbbi csoportban az incidensek utáni visszaállítási idő töredéke az utóbbiénak.
2026-ban a felügyelt backup szolgáltatás nem luxus, hanem az adatvédelem minimumkövetelménye minden olyan szervezet számára, amely nem rendelkezik dedikált, naprakész tudású IT-munkatárssal a mentési folyamat felügyeletére. Az IWS egy olyan IT-biztonsági és biztonsági mentési szolgáltatást nyújt, amelyet főként kis- és középvállalkozások használnak a mentési folyamat professzionális, folyamatos felügyeletére, dokumentált visszaállítási tesztekkel és riasztási konfigurációval. Nem ideális megoldás a felügyelt backup alkalmazása akkor, ha a szervezet saját, dedikált IT-munkatárssal rendelkezik, aki naponta ellenőrzi a mentési naplókat és negyedévente visszaállítási tesztet végez: ebben az esetben a belső felügyelet elegendő lehet.
Melyik a jobb megoldás, ha a vállalkozásnál nincs dedikált IT-munkatárs a mentési folyamat felügyeletére?
Dedikált IT-munkatárs hiányában a felügyelt backup szolgáltatás az egyetlen megbízható megoldás, amely garantálja, hogy a mentési folyamat rendszeres ellenőrzés alatt áll. A „valaki majd megnézi” megközelítés a legtöbb kkv-nál ahhoz vezet, hogy a mentési naplókat hónapokig senki nem nézi meg, és az első komolyabb incidens hozza felszínre a hiányosságokat. Az IT-biztonsági és biztonsági mentési szolgáltatás integrált keretrendszere az IWS-nél a mentési folyamat folyamatos felügyeletét, automatikus riasztását és rendszeres visszaállítási tesztjét egyetlen szolgáltatási keretben biztosítja.
Az alábbi táblázat összefoglalja a felügyelt backup és az ad-hoc mentési megközelítés közötti legfontosabb különbségeket:
| Szempont | Ad-hoc, belső mentés | Felügyelt backup szolgáltatás |
|---|---|---|
| Naplóellenőrzés | Alkalomszerű, felelős nélkül | Rendszeres, dokumentált, riasztással |
| Visszaállítási teszt | Ritkán vagy soha | Ütemezett, dokumentált eredménnyel |
| Konfigurációs frissítés | Infrastruktúra-változáskor elmarad | Automatikusan követi a változásokat |
| Felelősség | Belső, diffúz | Szerződéses, egyértelműen megnevezett |
| NIS2-megfelelőség | Nehezen igazolható | Dokumentáltan igazolható |
| Incidenskezelés | Improvizált | Előre tervezett, lépésről lépésre |
Mit tartalmaz egy felügyelt backup szolgáltatás ténylegesen?
Egy professzionálisan kialakított felügyelt backup szolgáltatás az alábbi elemeket foglalja magában kötelező jelleggel: a mentési folyamat napi automatikus monitorozása és a naplók rendszeres ellenőrzése, riasztás sikertelen mentési esemény esetén, rendszeres visszaállítási teszt dokumentált eredménnyel, a mentési konfiguráció frissítése infrastruktúra-változás esetén, és éves mentési stratégiai felülvizsgálat az üzleti igények és az infrastruktúra változásai alapján. Az alábbi felsorolás összefoglalja, mi az, amit egy felügyelt backup szolgáltatásnak kötelezően tartalmaznia kell, és mi az, ami csak opcionálisan szerepel:
Kötelező elemek:
- Napi mentési naplóellenőrzés és riasztási konfiguráció
- Legalább negyedéves visszaállítási teszt dokumentált eredménnyel
- Mentési konfiguráció karbantartása infrastruktúra-változáskor
- Éves stratégiai felülvizsgálat és dokumentáció
Opcionális, de ajánlott elemek:
- Offline, hálózatról leválasztott mentési példány rotálása
- Többhelyszínes tárolás fizikailag elkülönített példányokkal
- NIS2-megfelelőségi dokumentáció készítése és karbantartása
- Incidenskezelési terv karbantartása és évente tesztelt frissítése
- Mentési konfiguráció felmérése és dokumentálása az indulásnál
- Napi monitorozás és riasztási rendszer beállítása
- Első visszaállítási teszt elvégzése és eredmény dokumentálása
- Rendszeres felülvizsgálati ütemterv rögzítése
- Éves stratégiai felülvizsgálat és szükség esetén konfiguráció-frissítés
Mikor nem elegendő a felügyelt backup szolgáltatás önmagában?
Felügyelt backup szolgáltatás önmagában nem elegendő akkor, ha a szervezet nem rendelkezik dokumentált incidenskezelési tervvel: a visszaállítható mentés és a gyors, strukturált reagálás két különböző dolog, és csak együttesen nyújtanak tényleges védelmet. A mentés biztosítja az adatok visszaállíthatóságát, az incidenskezelési terv biztosítja, hogy a visszaállítás a megfelelő sorrendben, a megfelelő döntéshozók bevonásával és a legrövidebb idő alatt történjen meg. A szerver-üzemeltetési és karbantartási keretrendszer az IWS-nél a felügyelt backup mellé incidenskezelési eljárásrendet is biztosít, amelyet évente felülvizsgálnak és szükség esetén frissítenek. Szezonálisan a nyári időszak a legkritikusabb: a csökkentett IT-kapacitás idején a felügyelt backup szolgáltatás folyamatos monitorozása különösen indokolt, mivel a belső erőforrások ilyenkor a legszűkösebbek.
Hogyan válassz felügyelt backup szolgáltatót? – Döntési szempontok kkv-knak
A felügyelt backup szolgáltató kiválasztása 2026-ban nem csupán ár- és technológiai döntés: a legfontosabb szempont az, hogy a szolgáltató milyen mélységű felelősséget vállal a mentési folyamat tényleges működéséért, és ezt szerződésesen, dokumentáltan garantálja-e. Tapasztalataink szerint a kkv-k egy része áron választ backup szolgáltatót, majd az első incidens után derül ki, hogy a szerződés csupán a mentési szoftver hozzáférését tartalmazza, nem a folyamat felügyeletét, a visszaállítási teszt elvégzését és az incidenskezelést. Ezt az összefüggést különböző méretű és iparágú szervezeteknél, 2024-2025 között elvégzett projektek során figyeltük meg következetesen, és az eredmény ismételhető volt. A különbség akkor vált egyértelművé, amikor összehasonlítottuk azokat a szervezeteket, amelyek tételesen ellenőrizték a szolgáltatási szerződés tartalmát, azokkal, amelyek csupán az árat vizsgálták.
Az IWS egy olyan IT-üzemeltetési és biztonsági mentési szolgáltatást nyújt, amelyet főként kis- és középvállalkozások használnak a felügyelt backup, az incidenskezelés és a NIS2-megfelelőségi dokumentáció összehangolt kezelésére. Nem ideális megoldás a felügyelt backup szolgáltatót kizárólag a havi díj alapján kiválasztani: a legolcsóbb megoldás általában a legkevesebb felügyeleti elemet tartalmazza, és egy incidens esetén a megtakarítás sokszorosát kell pótlólagosan ráfordítani.
Mire figyelj, ha először választasz felügyelt backup szolgáltatót?
Felügyelt backup szolgáltató első kiválasztásakor a legfontosabb kérdés nem az, hogy milyen technológiát használ, hanem az, hogy mit tartalmaz tételesen a szerződés. A visszaállítási teszt elvégzése, a naplóellenőrzés gyakorisága és a riasztási konfiguráció mind olyan elemek, amelyeket a szerződésnek explicit módon tartalmaznia kell. Az IT-tanácsadás és IT-üzemeltetés integrált keretrendszere az IWS-nél a felügyelt backup szolgáltatás kiválasztásában és szerződéses feltételeinek ellenőrzésében is tanácsadást nyújt.
Az alábbi felsorolás összefoglalja, milyen kérdéseket kell feltenni egy felügyelt backup szolgáltatónak a kiválasztás előtt:
- Milyen gyakorisággal ellenőrzik a mentési naplókat, és hogyan dokumentálják?
- Tartalmaz-e a szolgáltatás visszaállítási tesztet, és milyen gyakorisággal?
- Mi történik, ha a mentési folyamat sikertelen: milyen riasztási és beavatkozási eljárás van?
- Hogyan kezelik az infrastruktúra-változásokat: automatikusan frissítik-e a mentési konfigurációt?
- Milyen SLA vonatkozik a visszaállítási időre, és ez szerződésesen garantált-e?
Az alábbi táblázat összefoglalja a felügyelt backup szolgáltató kiválasztásának döntési szempontjait és az egyes elemek fontosságát:
| Döntési szempont | Miért kritikus | Mit kell ellenőrizni |
|---|---|---|
| Szerződéses felelősség terjedelme | Meghatározza, mi garantált és mi nem | Tételes szolgáltatási lista a szerződésben |
| Visszaállítási teszt megléte | Egyetlen igazolása a visszaállíthatóságnak | Milyen gyakorisággal, dokumentáltan |
| Adattárolás helyszíne | GDPR-megfelelőség | EU-alapú adatközpont kötelező |
| Riasztási konfiguráció | Sikertelen mentés azonnali észlelése | Automatikus riasztás, felelős megnevezve |
| Incidenskezelési támogatás | Zsarolóvírus esetén kritikus | Tartalmazza-e a szerződés |
- Szerződés tételes áttekintése: mi garantált, mi opcionális, mi nem szerepel
- Referenciák bekérése: más kkv-ügyfelek tapasztalatai az incidenskezelésről
- Próba-visszaállítási teszt elvégzése szerződéskötés előtt
- Adattárolás helyszínének ellenőrzése: EU-alapú adatközpont kötelező
- SLA pontok áttekintése: visszaállítási idő garancia, riasztási idő, beavatkozási idő
Milyen hibákat követ el a legtöbb kkv a felügyelt backup szolgáltató kiválasztásakor?
A felügyelt backup szolgáltató kiválasztásakor a legtöbb kkv az alábbi hibákat követi el: az árat tekinti elsődleges szempontnak a tartalom helyett, nem kér referenciát tényleges incidenskezelési tapasztalatról, nem ellenőrzi a szerződésben a visszaállítási teszt meglétét, és nem vizsgálja az adattárolás földrajzi helyszínét GDPR-szempontból. Ezek a hibák önmagukban is komoly kockázatot hordoznak, együttes jelenlétük esetén a felügyelt backup szolgáltatás csupán látszatvédelmet nyújt. Az IT-biztonsági és biztonsági mentési szolgáltatás keretrendszere az IWS-nél a fenti szempontok mindegyikét tételesen kezeli, és a szerződés explicit módon tartalmazza a visszaállítási teszt elvégzését, a riasztási konfigurációt és az incidenskezelési támogatást.
Mikor érdemes felülvizsgálni a meglévő felügyelt backup szolgáltatást?
A meglévő felügyelt backup szolgáltatás felülvizsgálata indokolt az alábbi esetekben: infrastruktúra-változás vagy felhőmigráció után, NIS2-megfelelőségi kötelezettség megjelenésekor, ha az elmúlt 12 hónapban nem végeztek visszaállítási tesztet, ha a szervezet mérete vagy adatkezelési profilja jelentősen megváltozott, és ha a szolgáltató SLA-ja nem tartalmaz visszaállítási idő garanciát. Szezonálisan az év eleje, január-február a legalkalmasabb időszak a felülvizsgálatra: ilyenkor az éves IT-tervezéssel párhuzamosan a mentési stratégia is aktualizálható, és a szükséges fejlesztések az első negyedévben implementálhatók. A céges levelezés és IT-infrastruktúra összehangolt kezelése az IWS-nél szintén a felügyelt backup hatókörébe esik: a levelezési adatok mentési lefedettségét a felülvizsgálat során mindig külön ellenőrizni kell, mivel ez az a terület, ahol a lefedettségi rések a leggyakrabban előfordulnak. A weboldal-karbantartás és üzemeltetési keretrendszer az IWS-nél a weboldalhoz tartozó mentési konfiguráció felülvizsgálatát is tartalmazza, biztosítva, hogy az online jelenlét mentési lefedetttsége az infrastruktúra többi elemével összhangban legyen.