Aproape orice firmă îți va spune, cu un aer liniștit, că „are backup". Problema e că atacatorii știu asta mai bine decât tine — și se bazează pe ea. Conform rapoartelor Veeam din 2025, în 96% dintre atacurile ransomware backup-urile sunt vizate direct, iar în circa 76% dintre cazuri atacatorii reușesc să le compromită. Cu alte cuvinte, prima țintă nu sunt datele tale de producție, ci exact plasa de siguranță pe care contezi ca să te ridici.
Aici e capcana: „ai backup" și „poți reveni în funcțiune într-un timp acceptabil" sunt două afirmații complet diferite. Prima e despre stocare. A doua e despre o capacitate de recuperare pe care ai testat-o și în care ai încredere. Între ele stau firmele care, în ziua unui incident, descoperă că fișierele copiate erau și ele criptate, sau că restaurarea completă durează trei zile în loc de trei ore.
Backup-ul pe care nu l-ai testat este doar o speranță
Datele despre recuperarea reală sunt necruțătoare. Din organizațiile lovite de ransomware, doar aproximativ 10% au reușit să recupereze peste 90% din date, în timp ce 57% au recuperat sub jumătate (Veeam, 2025). Un raport din 2026 confirmă tiparul: doar 28% dintre victime și-au recuperat integral datele afectate, iar 44% au rămas sub pragul de 75%. Nu vorbim despre firme fără niciun backup — vorbim despre firme care „aveau backup".
Chiar și când datele sunt recuperabile, timpul te omoară. Un studiu din 2026 arată că 60% dintre responsabilii IT au nevoie de șase ore sau mai mult pentru o restaurare completă, iar doar 5% o pot face în sub o oră. Pentru o firmă care facturează, produce sau livrează în fiecare zi, diferența dintre trei ore și trei zile de nefuncționare nu e un detaliu tehnic — e diferența dintre un incident și o criză existențială.
De ce eșuează backup-urile exact când ai cea mai mare nevoie de ele? De obicei din câteva motive care se repetă:
- Backup-ul e conectat permanent la aceeași rețea — așa că e criptat împreună cu tot restul, în același atac.
- Nu a fost testat niciodată printr-o restaurare reală — nimeni nu știe dacă arhiva se deschide până în ziua în care contează.
- Restaurarea „merge", dar aplicațiile nu pornesc: lipsesc permisiuni, dependențe, ordinea de pornire a serviciilor.
- Nimeni nu a decis, în cifre, cât de multe date își permite firma să piardă și cât timp poate sta oprită — deci nu există un obiectiv față de care să măsori succesul.
Sincronizarea în cloud nu este backup
Există o confuzie costisitoare, foarte răspândită în firmele mici: sincronizarea nu este backup. OneDrive, Google Drive sau Dropbox țin fișierele la zi pe toate dispozitivele — dar exact de aceea propagă și criptarea. Când ransomware-ul îți criptează fișierele local, versiunea „sigură" din cloud se suprascrie cu cea criptată în câteva secunde. Un serviciu de sincronizare fără versionare și fără o copie imutabilă separată nu te salvează de un atac, ci doar îl replică mai repede pe toate dispozitivele conectate.
Motivul pentru care merită efortul este simplu: costul nefuncționării. Pentru o firmă care depinde de sistemele ei ca să factureze, să producă sau să livreze, fiecare oră de stagnare înseamnă comenzi întârziate, oameni plătiți degeaba și încredere pierdută. Un backup ieftin care nu funcționează nu economisește bani — doar amână și amplifică factura.
De la 3-2-1 la 3-2-1-0: ce schimbă ultimul zero
Regula clasică 3-2-1 rămâne fundația corectă: 3 copii ale datelor, pe 2 tipuri diferite de medii, cu 1 copie off-site. Ani de zile a fost suficientă. În era ransomware, nu mai este — pentru că presupune că o copie „off-site" e automat și în siguranță, ceea ce nu mai e adevărat când atacatorii caută activ backup-urile.
De aici a apărut extensia 3-2-1-0 (și varianta 3-2-1-1-0). Cele două cifre adăugate nu sunt marketing, ci exact golul prin care intră astăzi majoritatea firmelor:
- 1„1" suplimentar — o copie imutabilă sau air-gapped: o copie care nu poate fi modificată sau ștearsă nici măcar cu credențiale de administrator compromise. Este singura care supraviețuiește unui atac care a preluat controlul rețelei.
- 2„0" — zero erori la recuperare: fiecare backup este verificat, iar restaurarea este testată periodic până când numărul de erori este zero. Un backup netestat nu este protecție, este o presupunere.
Cifra care ar trebui să te îngrijoreze: deși 89% dintre organizații raportează că atacatorii le-au vizat backup-urile, doar 32% folosesc efectiv un depozit imutabil (Veeam, 2025). Restul au înțeles amenințarea, dar nu au închis ușa. Aici se câștigă sau se pierde recuperarea — nu în softul de backup, ci în arhitectura din jurul lui.
Un backup pe care nu l-ai restaurat niciodată nu este o copie de siguranță — este o promisiune pe care nu ai verificat-o. Ransomware-ul o verifică în locul tău, exact în ziua în care nu îți permiți să afli.
RPO și RTO: cele două numere care se decid înaintea uneltelor
Cea mai frecventă greșeală de implementare este să începi cu întrebarea „ce soft de backup cumpăr?". Ordinea corectă e inversă. Înainte de orice unealtă, firma trebuie să răspundă la două întrebări de business, în cifre concrete:
- RPO (Recovery Point Objective) — cât de multe date îți permiți să pierzi, măsurat în timp? O oră de muncă? O zi întreagă? Răspunsul stabilește cât de des rulează backup-ul.
- RTO (Recovery Time Objective) — cât timp poate sta firma oprită până când revenirea devine inacceptabil de scumpă? Răspunsul stabilește ce fel de infrastructură de restaurare ai nevoie.
Un obiectiv de recuperare pe care nu l-ai testat niciodată este o simplă ghicitoare. Aceste două numere, decise împreună cu managementul și nu doar cu „omul de IT", transformă backup-ul dintr-o cheltuială tehnică vagă într-o decizie de continuitate a afacerii. Fără ele, orice implementare este supra- sau subdimensionată — plătești prea mult pentru date care nu contează, sau prea puțin pentru cele de care depinde firma.
Un exemplu face totul concret. Dacă RPO-ul stabilit este de o oră, un backup zilnic nu e o soluție: la un incident la ora 17:00 ai pierde toată ziua de muncă. Dacă RTO-ul este de patru ore, o restaurare care trage terabytes peste internet dintr-un cloud îndepărtat nu se încadrează — ai nevoie și de o copie locală rapidă, pe lângă cea off-site. Cele două numere nu sunt birocrație; ele dictează direct arhitectura, frecvența și bugetul întregii soluții.
Cum arată o implementare care chiar te protejează
O implementare serioasă nu înseamnă „instalăm un program și bifăm backup-ul". Este un mic proiect cu pași clari, în care fiecare etapă închide una dintre gaurile de mai sus. Așa structurăm o implementare de strategie de backup 3-2-1-0:
- 1Workshop RPO/RTO cu managementul: stabilim, pe fiecare sistem critic, cât de multe date se pot pierde și cât timp de nefuncționare e acceptabil. Aici se nasc obiectivele reale.
- 2Design 3-2-1-0: proiectăm cele 3 copii pe 2 medii, cu o copie off-site și, esențial, o copie imutabilă pe care ransomware-ul nu o poate atinge.
- 3Configurare (Veeam Backup & Replication + storage QNAP): montăm efectiv soluția, cu retenție, criptare și imutabilitate activate — nu doar „pornit", ci configurat pentru scenariul de atac.
- 4Test de restore real: restaurăm efectiv date și aplicații într-un mediu controlat, ca să dovedim că se deschid, pornesc și funcționează — și că ne încadrăm în RTO-ul promis.
- 5Runbook-uri + training pentru administratorul local: documentăm pas cu pas cine ce face în ziua unui incident, ca recuperarea să nu depindă de o singură persoană sau de noroc.
Ultimul pas e cel pe care majoritatea firmelor îl sar — și exact cel care face diferența. Un backup se testează pe un ritm, nu o singură dată la instalare. Cadența practică pe care o recomandăm:
- Lunar: o restaurare de fișiere, ca verificare de rutină că arhivele se deschid.
- Trimestrial: o restaurare la nivel de aplicație, cu tot cu dependențe și permisiuni.
- Anual: un exercițiu complet de failover al mediului critic, cronometrat față de RTO.
Câteva capcane pe care le vedem des și pe care o implementare bună le închide din start: retenție prea scurtă (descoperi infecția abia după ce singura copie curată a expirat), imutabilitate „pe hârtie" dar nesetată efectiv pe storage, o singură persoană care știe cum se face restaurarea, și lipsa unei copii complet deconectate pentru cele mai critice sisteme. Fiecare dintre ele transformă un backup care „există" într-unul care nu te ajută exact în ziua Z.
Vestea bună e că maturitatea contează: firmele care testează și au copii imutabile se recuperează vizibil mai repede — proporția celor care revin complet într-o săptămână a urcat de la 35% la 53% într-un singur an. Nu e magie, e metodă. Dacă vrei să vezi cum se traduce asta pentru infrastructura ta, pornim de la arhitectura ta de infrastructură IT și de la sistemele care nu au voie să cadă.
Concluzie
Backup-ul nu este o cutie pe care o bifezi, ci o capacitate de recuperare pe care o dovedești. Diferența dintre „am backup" și „mi-am adus firma înapoi în două ore" o fac exact cele două zerouri: o copie imutabilă și un test de restore real, pe obiective RPO/RTO decise conștient. Dacă nu ești sigur că backup-ul tău ar trece un test real astăzi, hai să vorbim 30 de minute — îți spun concret unde ești vulnerabil și de unde începi.