Aproape orice firmă are astăzi un backup care raportează „succes". Bifele verzi în dashboard sunt liniștitoare: joburile rulează noaptea, se termină fără eroare, cineva se uită din când în când și dă din cap mulțumit. Problema e că un job de backup terminat cu „verde" și un backup din care te poți efectiv recupera sunt două lucruri diferite — iar distanța dintre ele se măsoară exact în ziua incidentului, când e prea târziu să o mai afli.
Un audit de backup pornește tocmai de la această întrebare incomodă: nu „ai backup?", ci „poți dovedi că te recuperezi din el, complet și la timp?". Diferența nu e semantică. Este diferența dintre a supraviețui unui atac ransomware și a închide firma.
Ce arată datele din 2025-2026
Statisticile recente sunt neplăcut de consistente. Rapoartele din 2025 arată că doar aproximativ 61% dintre încercările de restaurare ating rezultatul dorit — cu alte cuvinte, aproape 4 din 10 restaurări eșuează atunci când ai efectiv nevoie de date. Iar motivul principal nu e că tehnologia e proastă, ci că nimeni nu a verificat-o înainte: peste 60% dintre organizații nu fac exerciții regulate de restaurare, iar doar jumătate testează planul de recuperare măcar o dată pe an.
Când vine momentul adevărului, decalajul devine brutal. Un studiu Veeam pe 1.300 de organizații a constatat că doar 10% și-au recuperat peste 90% din date după un incident, în timp ce 57% au recuperat mai puțin de jumătate. Și mai revelator: peste 60% dintre firme cred că se pot recupera în câteva ore, dar doar aproximativ 35% chiar reușesc. Restul descoperă, sub presiune, că „aveam backup" nu era un plan — era o speranță.
Un backup neverificat nu este un backup. Este o presupunere pe care o testezi pentru prima dată exact în ziua în care nu îți poți permite să greșești.
De ce un „job verde" te minte
Un job de backup raportează că a copiat datele — nu că le poți folosi din nou. Între cele două se strecoară o listă întreagă de eșecuri tăcute, pe care un dashboard verde nu le prinde niciodată:
- Fișiere corupte sau incomplete: jobul se termină „cu succes", dar arhiva e coruptă, o bază de date e inconsistentă sau lipsesc exact fișierele critice.
- Restaurare netestată: nimeni nu a încercat vreodată să aducă datele înapoi, deci nimeni nu știe cât durează sau dacă funcționează.
- RPO/RTO nedefinite: nu știi cât timp de date îți permiți să pierzi, nici cât de repede trebuie să fii operațional — deci nu ai cum să știi dacă backup-ul actual e suficient.
- Backup accesibil atacatorului: dacă backup-ul stă pe aceeași rețea, cu aceleași credențiale, un ransomware îl criptează odată cu producția. Studiile arată că aproximativ 96% dintre atacurile ransomware vizează direct copiile de backup.
- Găuri de acoperire: laptopurile angajaților, cutiile Microsoft 365 / Google Workspace, aplicațiile SaaS sau serverele noi nu sunt deloc în backup — pentru că nimeni nu a actualizat scope-ul.
- Drift de configurare: backup-ul a fost setat corect acum doi ani, dar de atunci s-au schimbat servere, licențe și priorități, iar nimeni nu a reverificat.
Niciuna dintre aceste probleme nu apare ca eroare. Toate trăiesc liniștite în spatele bifei verzi, până în ziua în care contează.
Ce verifică un audit de backup
Un audit de backup nu se uită la dashboard și nu te crede pe cuvânt. Îți inventariază strategia reală și o pune la încercare. Concret, un audit serios acoperă șapte zone:
1. Test de restaurare real, nu pe hârtie
Piesa centrală. Se restaurează efectiv date — fișiere, o bază de date, o mașină virtuală — și se verifică că sunt integre și utilizabile. Fără test de restore, tot restul e teorie. Aici se descoperă majoritatea surprizelor.
2. Validare RPO și RTO față de nevoia reală
RPO (cât timp de date îți permiți să pierzi) și RTO (cât de repede trebuie să revii) nu sunt setări tehnice, ci decizii de business. Auditul măsoară cât durează de fapt o recuperare și compară cu ce își permite firma — nu cu ce speră.
3. Acoperire completă a datelor
Se verifică ce intră și, mai important, ce NU intră în backup: servere, baze de date, endpointuri, dar și datele din cloud. Multe firme presupun greșit că Microsoft 365 sau Google Workspace „se salvează singure" — responsabilitatea pentru datele tale rămâne a ta.
4. Imutabilitate și izolare (anti-ransomware)
Cel puțin o copie trebuie să fie imutabilă sau air-gapped — imposibil de șters sau criptat de un atacator, chiar dacă acesta obține drepturi de administrator. Este linia de apărare care transformă un ransomware dintr-o catastrofă într-un inconvenient; copiile imutabile reduc semnificativ timpul de recuperare (studiile indică o scădere de circa 42%).
5. Retenție și versiuni
Cât timp păstrezi copiile și câte versiuni ai contează enorm. Multe atacuri stau „la pândă" săptămâni întregi; dacă retenția e prea scurtă, singurele tale copii sunt deja infectate. Auditul verifică dacă poți reveni la un punct curat, dinainte de compromitere.
6. Criptare și locația datelor
Backup-ul trebuie criptat (în tranzit și în repaus), iar locația datelor trebuie să fie cunoscută și conformă — un aspect tot mai important sub NIS2 și GDPR, care așteaptă păstrarea datelor în UE și dovada că nu pot fi alterate.
7. Documentație, runbook și responsabil
Cine restaurează, de unde, în ce ordine, cu ce credențiale? Dacă răspunsul stă doar în capul unei persoane care e în concediu în ziua incidentului, nu ai un plan. Auditul verifică existența unui runbook scris și a unui responsabil clar.
Cât de des ar trebui testat backup-ul
Regula clasică 3-2-1 (3 copii, 2 medii diferite, 1 off-site) a evoluat în 2025 spre 3-2-1-1-0: încă o copie imutabilă/offline și — esențial — „0 erori", adică verificare automată care confirmă că backup-ul chiar se poate restaura. Un backup neverificat nu contează.
O cadență practică de testare, adaptată la criticitatea sistemelor:
- 1Lunar — verificare de restaurare a fișierelor și a datelor de zi cu zi.
- 2Trimestrial — test de recuperare la nivel de aplicație pentru sistemele critice (Tier-1).
- 3Anual — exercițiu complet de failover al întregului mediu, ca o repetiție a unui dezastru real.
Backup, restore și conformitate (NIS2)
Pentru un număr tot mai mare de firme din România, testarea backup-ului nu mai e doar bună practică, ci obligație. Directiva NIS2 (transpusă în legislația națională) cere, prin Articolul 21, politici explicite de continuitate a afacerii, inclusiv managementul backup-ului și disaster recovery. În practică, auditorii așteaptă dovezi: politică de backup documentată cu RPO/RTO, teste de restaurare cu timpi măsurați, cel puțin o copie imutabilă și datele păstrate în UE. Sancțiunile pentru entitățile esențiale ajung până la 10 milioane de euro sau 2% din cifra de afaceri globală — un motiv în plus ca „avem backup" să fie o afirmație pe care o poți proba, nu doar rosti.
De la audit la un backup în care ai încredere
Vestea bună este că un audit de backup e rapid și ieftin în comparație cu ce previne. În câteva zile afli exact unde ești expus, cu un raport prioritizat de vulnerabilități și un plan de remediere cu termene. Exact asta livrăm în pachetul de audit backup & restore: inventariere completă a strategiei curente, un test de restore real (nu pe hârtie) și un plan concret. Dacă rezultatul arată că trebuie reconstruit ceva, o facem în cadrul unui proiect de protecția datelor, cu strategie 3-2-1-1-0, copii imutabile și runbook-uri testate.
Cel mai bun moment să afli dacă backup-ul tău funcționează nu este în timpul unui atac. Dacă nu ai testat niciodată o restaurare completă, hai să discutăm 30 de minute — îți spun concret ce să verifici prima dată.
Concluzie
Bifa verde din dashboard îți spune că datele au fost copiate. Nu îți spune că le poți aduce înapoi. Datele din 2025-2026 arată că această diferență prinde nepregătite majoritatea firmelor exact când miza e maximă. Un audit de backup transformă „sper că merge" în „știu că merge, pentru că am testat" — și e cea mai ieftină asigurare pe care o poți cumpăra împotriva celei mai scumpe zile din viața firmei.