Foranstaltning:

Backup


Senest opdateret 7.11.23.

Hvilke risici adresseres?

Backup kan anvendes til at genetablere adgang til data, som er blevet utilgængelig eller ødelagt af fx ondsindet software eller et it-nedbrud. Der er altså tale om en korrigerende foranstaltning, som kan mindske konsekvensen ved hændelig eller ulovlig tilintetgørelse, tab eller ændring af data.

Man kan sige, at en backup gør "tab af tilgængelighed" til et midlertidigt tab i stedet for et permanent tab. Backup kan også anvendes til at rette op på datas integritet, hvis data fx er kompromitteret af en computervirus eller hacker.

Backup kan handle om andet end data i form af fx personoplysninger. Det kan dreje sig om at sikre sig muligheden for at kunne genskabe hele systemer og dermed backup af fx operativsystemer, databaser, certifikater, krypteringsnøgler, licenser, systemindstillinger (herunder firewall-indstillinger), som er komplekse og tidskrævende at genoprette manuelt.

Effekten af backup er meget afhængig af tidsfaktoren – hvor lang tid går der, fra tab af tilgængelighed/integritet og til backup er anvendt, til data kan genetableres? Hvis der fx kun skal gå meget kort tid med utilgængelige data, før konsekvensen er maksimal, kan det være, at backup ikke kan løse dette (alene), men at der skal anvendes dublerede it-systemer.

Backup kan ikke genetablere et it-system, som det så ud, lige da en hændelse fandt sted, men som det så ud et stykke tid før hændelsen. Dermed er backup også kendetegnet ved, at der normalt altid er en risiko for tab af data, som ikke helt kan elimineres – hvor denne risiko er mindre ved anvendelse af dublerede data/systemer.

Idet backup normalt ikke inkluderer de sidste ændringer af data, vil der stadig være et (mindre) problem med datas integritet efter en backup er anvendt til at genskabe data. Ligeledes kan backup inkludere data, som er slettet fra it-systemet, og som derfor skal slettes igen, efter backup er anvendt.

Backup må ikke forveksles med en "kopi af data". Backup er meget mere end en kopi af data og kan derfor også beskytte imod flere trusler. Nogle trusler (fx ransomware) er indrettet til at påvirke både data på it-systemet og kopien af samme data, og derfor er en kopi af data ofte kun en falsk tryghed.

Hvilke tiltag kan overvejes?

Backup af data: Der tages løbende kopier af data til backup. Data lagres på en måde, så de ikke kan slettes – også kaldet WORM (Write Once, Read Many).

Procedurer for tildeling af adgange sikrer, at samme person ikke har adgang til både produktionsdata og kopien af disse data. Hvor dette ikke kan undgås, er adgangene delt, så det kræver forskellige brugerkonti at tilgå dem.

Intervaller mellem backup: Jo længere tid der går, mellem data kopieres til backup, desto større datatab kan opleves, hvis backup skal anvendes til at genetablere adgangen til data. Den tid, der går mellem hver kopiering af data, bestemmes ud fra risikovurderingen – altså en vurdering af, hvor lang tid tilbage seneste kopi må være taget, før konsekvensen kan blive for stor for de registrerede. I en backup-strategi angives intervaller og typen (fulde/inkrementelle kopier).

Alarm: Hvis backup er automatiseret, sikrer en alarm, at det bliver opdaget, hvis den automatiske backup fejler.

Backup af software og hardware: Det undersøges, hvilken hardware og software, der kan generhverves og hvor hurtigt. Det gælder fx fysiske servere, operativsystem, database-software, licenser, krypteringsnøgler, mv. Alternativt sikres det, at også disse elementer findes i en kopi.

Fysisk placering af backup-kopi: Den fysiske placering afgøres ud fra risikovurderingen, dvs. ud fra en vurdering af, hvilke trusler der kan ramme den fysiske lokation, hvor de originale data ligger. Hvis der fx er en mulighed for, at it-systemer ødelægges af en oversvømmelse, så placeres kopien et sted, der ikke kan blive ramt af samme eller andre oversvømmelser skabt af samme uvejr.

Logisk placering (netværksmæssig placering): Backup lagres et sted, hvor der er mere begrænset adgang, idet kun få (it-administratorer) har behov for adgangen. De netværk, der opbevarer produktionsdata og backupdata er ikke netværksmæssigt forbundet, fx ved at backup ligger hos en backup-leverandør. Hvor dette ikke kan undgås, er netværkene segmenteret fra hinanden via firewall, som begrænser adgangen til det absolut nødvendige, så backup er bedre beskyttet imod hackerangreb, som kan ramme andre dele af netværket.

Test af backup-kopi: Det testes med jævne mellemrum, om backup udføres med de forventede intervaller (hyppighed), om backup-kopien er tilgængelig, om backup-kopien indeholder alle relevante data (omfang), om backup-kopien er retvisende (integritet). Sidstnævnte kan fx være en type integritets-test (checksum eller andet).

Test af genetablering: Det testes, om data reelt kan genindlæses og anvendes i et it-system. Dette er en test af, (1) om genetablering kan udføres med eksisterende vejledninger/procedurer, (2) at alt det, som der er kopier af (hardware, software, data) kan fungere sammen, og (3) at genetablering kan ske hurtigt nok ift., at konsekvensen normalt stiger med tiden (Recovery Time Objective).

Sletning efter backup: Der fastsættes procedurer, som sikrer, at data, der skal være slettet, bliver slettet igen efter anvendelse af en backup, så der ikke opbevares data i længere tid end nødvendigt, jf. herved databeskyttelsesforordningens artikel 5. 

Det sikres, at anvendelsen af backup – og dermed spredningen af data – ikke øger risikoen for de registrerede. Det sker ved, at transmission og opbevaring af data i backup er sikret imod uvedkommendes adgang, og ved at håndteringen af data i backup sker under den dataansvarliges kontrol. Det sker gennem databehandleraftaler og ved kryptering af data, før overførsel og opbevaring.

Hvornår er foranstaltningen nødvendig?

Det er primært en risikovurdering efter databeskyttelsesforordningens artikel 32, som skal vise, hvilke tiltag der er relevante, idet risici er meget afhængige af konsekvensen for de registreredes rettigheder – rettigheder der påvirkes, hvis deres personoplysninger ophører med at være tilgængelige for den dataansvarlige.

Hvis der fx er tale om patientjournaler på et sygehus, så kan manglende tilgængelighed have betydning for, om patienten kan få den optimale behandling – i værste tilfælde kan det få fatale konsekvenser. Hvis der derimod er tale om et kunderegister for en online-butik, der sælger kjoler, er der antageligt mindre eller ingen konsekvens for de registrerede ved manglende tilgængelighed.